Primero de todo , debes desactivar la raiz de las webs para que no se pueda seguir accediendo a ellas y hasta que no verifiques la limpieza de los sistemas que te diré después
A poder ser si puedes acceder via rescue a lo que son las webs prueba a cambiar ese nombre de la raiz de los documentos si es que se está accediendo desde afuera
Con esto anteriormente realizado prueba a levantar el servidor y de seguido instala CSF y bloquea los puertos que salen por UDP para evitar esa actividad en un primer instante , te dejo algunas guias para no tener que escribirlo todo
No levantes los servicios aunqeu pongas a funcionar el server , es deciir para Apache y demás servicios
Instalar CSF :
http://configserver.com/free/csf/install.txt
Instalar Sistema anti Rootkits :
http://www.woktron.com/secure/knowle...S-5-and-6.html
Dentro del archivo de configuración de CSF , bloquea todos esos puertos :
Edita con nano o vi o el sistema que uses desde SSH :
csf.conf
cd /etc/csf
o
nano /etc/csf/csf.conf
# Allow incoming TCP ports
TCP_IN = 20,21,22,25,53,80,110,143,443,465,587,993,995,2077 ,2078,2082,2083,2086,2087,2095,2096
# Allow incoming UDP ports
UDP_IN = 20,21,53
Read more:
http://www.digitalfaq.com/forum/web-...#ixzz2efjgVs5N
Con todo esto ya listo comprueba los logs de tu sistema , a posteriori accede a cada dominio y ve activándo las web secuencialmente , mira sobre todo si en el código fuente hay alguna inyección y actualiza si utilizas un wordpress , etc , mira también si por FTP hay archivo del tipo .js insertados en el sistema o en las cabeceras , a veces se hacen estas inyecciones , un truco cuando la web carga mira abajo en el navegador si algo tarda en cargar , los tios que meten estas cosas usan conexiones remotas y usan curl para acceder y zombificar tu servidor
Desactiva curl por php , a veces te acceden por ahi , mira la directiva de opendir como la tienes , es importante que vigiles esto
Hay plugins si usas wordpress para escanear por archivos maliciosos en el sistema , si no sabes de alguno te recomiendo Wp Security que es un firewall de wordpress altamente efectivo
También cambia tu puerto 22 de SSH a otro , quita las llaves de acceso por ssh de OVH e instala failtoban
Con esto tu servidor estará seguro pero se taxativo en materia de seguridad y siempre ponte en lo peor , haz tb backups por si acaso pero sobre todo de mysql
Espero que te sirva un saludo !