Взлом сайта на HostCMS.

Добрый день всем, и особенно Администрации.
У меня странная ситуация сложилась.
Есть сервер виртуальный на FirstVDS. Переехал с FastVPS. Около 25-30 сайтов.
На FastVPS все было нормально. После переезда через месяцок начались взломы сайтов.
Типов взломов два вроде бы.
Один это скрипты которые спамят что-то.
Второй тип интереснее - в какую-то глубокую штатную папку пихают мелкий сайт и правят .htaccess  чтобы через Rewrite я так понял вместо какого-то урла был их сайт (БАДы и прочая фигня).
Причем  сначала они были наглее пихали свой мусор в корень, правили основной .htaccess, делая Rewrite, потом поумнели, стали прятать в глубину.
Файлы были с дикими именами, их можно было вычислять через find -mtime.
Последнее время стало сложнее - они начали править системные файлы HostCMS, дописывая свой код в начало. Логику я не уловил, не разбирал - какие-то base64 коды дикие. Находить такое сложнее, файл считается не созданным, а измененным и причем у меня есть подозрение что как-то они подделывают дату.
Сайты разнесены по разным пользователям (так не сразу стало, когда устранял последствия первых взломов, сделал), но ломают разных пользователей.
Права везде сделаны 755 и 644 соответственно. Пароли менялись неоднократно. Рутовый никому не давал и юзерские тоже. Подчеркну - НА РАЗНЫХ ПОЛЬЗОВАТЕЛЯХ такая ситуация.

Внимание вопрос. У меня есть подозрения на взлом именно HostCMS. Не верю в это, но т.к. ломают как мне кажется скриптом и всех пользователей то другого объяснения я просто не вижу. Возможно конечно сидит руткит, но rkhunter подозрительного не выдает.
Обращась за советом к общественности и Администрации. Что можно сделать в такой ситуации.

1. Используйте virusdie, у вас где-то остается зараза в файлах, может быть в папках с картинками и т.п., через которую снова получаете заражение и так до бесконечности, потому что до конца не вылечиваете от неизвестного первичного заражения.
2. Смотрите внимательно http логи, ищите использование этих файлов. Удаляйте все найденное.
3. Не используйте ФТП, не сохраняйте пароли в программах. Если ФТП включен, проверяйте и ФТП логи.
4. Проверяйте SSH логи.
Теоретически могут быть дыры в старых версиях серверного ПО, однако по опыту крайне маловерятно, 99% причины в оставшихся от первичного заражения файлах.