Юрий Чудновский

С чем это может быть связано?

Вас взломали.

Какие промахи в безопасности такое производят?

Вопрос из серии: "что я сделал не правильно?".
Это могут быть:
* доступ на основе популярных логинов/паролей
* похищение пароля админа, через XSS
* слабо защищенный FTP/SFTP
* SQL инъекции
* загружаемые файлы имеют право на выполнение
* загружаемые файлы могут быть включены в основной код
* сайт на CMS со включенным debug режимом
* встречал случаи взлома "изнутри" когда взломщиком является коллега
* возможно взломали на самом деле хостера, а вам просто не повезло
* наружу торчат открытые порты доверенных сервисов: mysql, memcached, redis,...
* ...

Смотрите логи, может что полезное будет

Обосновать можно исключительно вашим личным предпочтением.
Если вы не занимаетесь каким-либо реальным исследованием, которое ставит перед собой задачу написать на чем-то, то пишите на том, на чем ВАМ будет проще.

Чтобы совсем нигде не фиксировалось никаких ошибок, практически не бывает. Приведите события из журнала ошибок в момент времени, когда самопроизвольно закрываются программы.

Пользовался всем - особой разницы нет.

iptables -tnat
не сработает т.к. -t nat будет валидным.

#собственно думаю понятно, что я хотел сделать
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

вы дропнули весь форвардинг трафика. После первого правила последующие не сработают.

#принимаем только установленные
iptables -P INPUT DROP

Вы перезагрузили компьютер. Установленных соединений пока нет. как будете подключатся ?

require __DIR__ . "/vendor/autoload.php";
В вашем коде скрипт пытается найти папку vendor в той папке, из которой вы его вызываете. Её, разумеется, там может не быть, поэтому нужно приколотить поиск не к current working directory, а к директории скрипта при помощи константы __DIR__.

1. Найти зловредный код через "просмотр исходного кода" в браузере
2. Определить где примерно он появился в исходниках (до html или после)
3. Найти код в шаблоне/ядре/модуле и удалить
... Но больше интересует вопрос как он туда попал :-) ведь проделав это вы не можете быть уверенным что завтра все это не повторится

Переключите сетевую карту в режим NAT
Пробросьте 22 порт на гостевую машину через "Проброс портов"

надо смотреть на сервере owa.
1. пакет уходит на внешний адрес, но проброс не срабатывает, тк правило на внешний интерфейс
2. пакет успешно пробрасывается, но тк пакет пришел на внутренний интерфейс, ip адресата не меняется. то есть примерно так 192.168.1.10 -> x.x.x.x:443 -> 192.168.1.3:443 (source ip=192.168.1.10, блин, я же устанавливал tcp соединение с x.x.x.x, а пришло от 192.168.1.3, хакиры походу, отбой)

На шлюз провайдера в данном случае пакет не уходит, если у вас единственное подключение и NAT настроен на вашем шлюзе.
Скорей всего происходит следующее - вы отправляете пакет на внешний адрес (шлюз), шлюз NAT'ит его на внутренний адрес сервера, сервер видит что пакет локальный и отвечает напрямую, минуя шлюз, поэтому пакет не NATится обратно и приходит с адреса локального интерфейса. Поскольку адрес ответа отличается от того, на который был послан пакет - ответ реджектится инициатором соединения.
Чтоб такого не было, обычно серверы выносят в отдельную зону (DMZ) которая роутится через шлюз.

• Возможно порт закрыт на файерволе.
  
• Если сервер у вас за NAT'ом то возможно нужный порт не проброшен через NAT.
  
• Если несколько сетевых адресов - возможно sshd слушает на другом адресе.