Владимир

Типичные варианты:
1 Сделать так чтобы функционал и права администратора позволяли зайти как любой пользователь без проверки пользовательского пароля.
2 Или администратор сбрасывает пароль пользователя на новый и с помощью нового пароля заходит в учетную запись пользователя.

Сферические тесты по ИБ в вакууме полезны только для работы в такойже сферической в вакууме фирмы.
В реальности нужно оценить риски, вероятности, административно организационные процессы и тд. Ведь ИБ это не только тех часть но и организационная тоже (процессы создания учетных записей для работников, выдача нужных полномочий и тд. хранение данных - в том числе на столах и в тумбочах, пароли от компа под клавиатурой) это все тоже ИБ.

Из личного опыта даже настроенный IDS на Juniper SRX не делает все что вы хотите.
Из бесплатного но увы не централизированного
1 посмотрите в сторону ConfigServer Security & Firewall - это утилита управление iptables, а также автобанилка за неудачные попытки входа, за скан портов и тд, правда нужно сидеть и вдумчиво настраивать.
Основная польза когда оно работает с логом от mod_security. ну и просто логи ssh ftp и так далее тоже читает и банит плохишей.
2 Сканирывание на уязвимости из бесплатного - OpenVas
3 Грубые ддосы и тд должен показывать обычный мониторинг типа семейств nagios, или заббикс. метрики - сетевой трафик, реквесты к веб серверу и тд.

tcpdump вам ничего не расскажет о том кто источник трафика.
лучше попробуйте командой netstat -antp |grep :80
посмотреть есть ли исходящие соединения с вашего ип на другие
пример как выглядит телнет на google.com порт 80:
tcp 0 0 192.168.0.12:54428 172.217.5.78:80 ESTABLISHED 16839/telnet
где 168339 PID(номер) процесса который это соединение создал.
дальше командой ps -fc номер процесса - смотрите что это и кем запущенно.

Хранение данных - в разных странах разные законы, в среднем даже после того как вы перестали покупать услугу (например электронную почту) ваши данные еще будут хранится месяц.
Выдача данных - приходит официальный запрос из суда/фбр/местной жандармерии в котором явно указывается что и за какой срок фирма обязанна предоставить. - например все логи о отправленных и принятых письмах пользователя vasya@coolemail.exapmle с 1го апреля по 17ое апреля. и такое применимо к любому другому сервису.

Про рекламу - зависит от того на что вы подписались в пользовательском договоре, там может быть все что угодно.

Вот ребята очень неплохи, пользуемся в проде уже несколько лет https://www.spamexperts.com/services/incoming-filtering

1 Почтовые клиенты формируют цепочки на основании поля Message-ID: оно достаточно уникально чтобы нельзя было просто так его угадать, а если плохие люди читают вашу почту то у вас и так уже проблемы.
2 Подмены отправителей в поле From: и всякое domain.com стало d0main.com. - полностью блокируется если домен отправителя имеет dkim, строгий spf и dmarc, а сервер получатель умеет это все проверять.
Поэтому защищать от фишинга должен ваш почтовый сервер который принимает почту.

Если сайт находится на каком либо крупном шаред хостинге, то с вероятностью 99% там стоит mod_security c набором правил от какого либо провайдера(например Comodo). что собственно легко закрывает такие старые уязвимости.

Как работник хостинг провайдера я всячески поддерживаю то что написал Tyranron
+ дополню немного субьективной сатистики по отлому впс и дедикейтед серверов
1 простые пароли и открытый доступ руту
2 не менее простые пароли и секретные вопросы для емейлов - ответы на которые можно в ВК или Фейсбуке
3 устаревший софт, в первую очередь cms в вторую все остальное

Помните безопасность впс это не только настройки впс но и безопасность(недоступность посторонним) вашего пароля(используете вы keepass или аналоги?), ссш ключа(с паролем ли он у вас?), емейла через который можно сбросить пароль для аккаунта хостинг провайдера а далее сбросить пароль или написать тикет в техподдержку. Безопасность компьютера с которого вы заходите на впс.
Включайте двух-факторную авторизацию если ее предоставляет ваш емейл провайдер и хостинг провайдер, если для обычной почты она слишком напряжна - заведите отдельный ящик для очень важных писем и там ее включите.

читать про spf и dmarc

взято с https://www.arin.net/abuse.html

Generally, the first step is to report fraudulent activity to the abuser's ISP, which will be listed as the organization that was delegated the IP address space. Most ISPs are responsive to concerns about hackers and spammers on their networks. If you are unsuccessful in resolving this situation with the ISP, you may wish to contact local law enforcement in your area.