У меня была подобная ситуация (писал тут
litl-admin.ru/web-server/poisk-i-vychistka-postoro...)
Вредоносные фрагменты кода зашиваются в Wordpress темы (мой случай). Затем, на сайтах-жертвах продают ссылки. Выявить? Просмотрите html-код в браузере, пробегитесь анализатором внешних ссылок и т.д.
Обезопаситься - чистите код. Используйте только проверенные плагины, темы.