nginx phishing, me clonan web en tiempo real

Hola, no logro resolver un problema.
me están haciendo phishing con mi servidor o tengo algún virus.
Mi web: https://www.bitspiele.de/spiele/simple-search

Uso Nginx proxy y php 7.2 con plesk actualizado todo ...
El caso es que me clonan la web en tiempo real y me cambia algunos parámetros con algún script
ejemplo web phishing ->
https://www.swedpaperp.tk/spiele/simple-search
¿cómo lo hacen?
intento bloquearlo con variables en nginx como $host $host_name y he probado todo, pero me reemplaza estas variables de su dominio por el mio y es imposible. En PHP también poniendo variables de $_SERVER y también me reemplaza su host name por el mio.
Ya no sé que hacer, alguna ayuda?
Gracias.

primero cambia, todas las contraseñas referentes a tu web, correos, usuarios ,ftps, etc.. puede que en algun momento, pusiste alguno de esos datos, a un tercero

segundo, la clonacion no estan dificil de realizar, basta que se tenga todos los recursos a la mano y con un bot que revise tu web cada X tiempo, vaya actualizando la otra web en X tiempo tambien, agregando los nuevos datos,

tercer: si en tu web tienes algun campo que algun usuario puede insertar, ya sea en base de datos subir archivos o algun archivo que administra algun uploader por ejemplo, fijate que todos esten debidamente funcionales y con las medidas de seguridad adecuadas, por que si no tu web esta siendo victima de un SQLInject o phpInject , o puede que en algun momento cuando tu web inicio, alguien te inserto algun archivo ene l servidor, , revisa los archivos y verifica que son de tu propiedad y no esten alterados,