MrGroovy

Мы хотим сделать, так чтобы можно они могли публиковать без регистрации и авторизации.

Если вы собираетесь сделать доску объявлений без регистрации то вам придется столкнуться не только со спамом но и с флудом.
Вам необходима капча и детальная настройка вводимых данных пользователем (Например ограничение объявления 450 символами).

Если пользователь делает более 100 публикаций в минуту, блокируем. Этого достаточно или что то упускаю?

Вы упускаете возможность того, что ваш сайт могут взломать. Например посредствам XSS уязвимости украдут cookie сессию администратора. Проверить на уязвимости можно специальными сканерами Legion, OWASP ZAP или Sparta. Из онлайн вариантов подойдут специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней. https://metascan.ru или https:// detectify.com/ Они покажут XSS уязвимости, возможность внедрения SQL инъекций и уязвимости сетевого стека.

Поправка: на сервере установлена Windows Server R2 2012

Если есть возможность то я бы порекомендовал обновить вашу версию сервера, так как основная поддержка Windows Server R2 2012 прекращена в 2018 году. Если это невозможно, то необходимо установить последние патчи. Так как Windows Server R2 2012 имеет ряд проблем с переполнением памяти ядра.
Далее настраиваем файрволл, базу данных и прочие сервисы в соответствии с официальной документацией от Microsoft .

какие порты лучше сразу закрыть

Закрываем все, что не нужно для непосредственной работы сервера.

какие роли и службы лучше не ставить

Лучше не ставить "крякнутые" и устаревшие службы. Первые могут содержать вредоносный код, вторые - системные эксплойты.

Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки.
Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.

Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней.
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/

Однажды взломал какой-то индоязычный хакер сайт на джумле 2.5 и мало того, что закинул вирус в папку с джумлой, так еще и взломал все остальные сайты

сайт на джумле 2.5

Популярные CMS, такие как Wordpress, Joomla и 1С-Битрикс очень часто подвергаются атаке. В основном эксплуатируются известные уязвимости.
Например для Joomla 2.5 CVE-2018-17856 com_joomlaupdate позволяет выполнять произвольный код. Конфигурация ACL по умолчанию позволяет пользователям уровня "администратора" получать доступ к com_joomlaupdate и запускать выполнение кода. Возможно именно таким способом взломали сервер.
Самый эффективный способ запустить Joomla в контейнере, например в Docker, тем самым ограничив выполнение любых программ, вирусов или команд областью контейнера.
Информацию можете посмотреть на официальном сайте Docker.com там найдете более подробное описание по запуску и настройке.

оставив ему на растерзание только джумлу 2.5

Но зачем отдавать сайт на растерзание, если можно устранить уязвимости и оставить хакера ни с чем?
Лучше всего проверься сайт сканером на предмет уязвимостей (XSS, SQL инъекций, ошибок прав доступа), это минимум, для того чтобы быть уверенным хотя бы поверхностно. А лучше сделать более или менее полноценный скан сайта, с помощью онлайн аудиторов безопасности. Из тех, что имеют триал, могу посоветовать:

https://metascan.ru - демо проверка

https: //pentest-tools.com - отдельные проверки по категориям;

https ://detectify.com - 14 дней триала.

Ваша основная проблема не рассылка спама, вас взламывают и отключение части функционала сайта не выход из положения.

В итоге, сайты начинают либо дико грузить сервер или рассылать спам

может кто знает, как отключить функцию mail для определенного сайта, если сайт работает через php как модуль apache?

Я так понимаю, вы работаете с разными сайтами на разных СMS? А основные проблемы у вас с сайтом находя на apache?
Для отключения почтового модуля. Нужно удалить символические ссылки в /etc/apache2/mods-enabled/, указывающие на фактические файлы (хранящиеся в/etc/apache2/mods-available/) в зависимости от используемого почтового модуля. Но предварительно сделайте резервную копию.
Уязвимости можно условно разделить на уровни на которых они находятся по модели OSI.

1) Уязвимости сетевого стека OS
2) Открытые по ошибке порты (Торчащая наружу БД без авторизации).
3) Уязвимости связанные с работой прикладных протоколов из-за устаревших версий ПО (ssh,ftp)
4) Слабые пароли (Для ssh, ftp, mysql).
5) Уязвимости в веб-приложениях (OWASP TOP 10)

Вас могли взломать на каждом из уровней. Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки. Начать можно с чтения OWASP Web Application Security Guide. и поэтапно устранять найденные уязвимости. Для проверки вам понадобится довольно много различных программ, начать можно с nmap.
Но есть и более простое решение. Ещё есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней.
https://metascan.ru
https: //acunetix.cоm
https: //detectify.cоm
https: //hackertarget.com

Собственно вопрос, посоветуйте пожалуйста компанию для аудита данного случая, нужно обследовать пк специалистами дабы понять как это произошло и с помощью чего.

Советую Metascan они занимаются аудитом безопасности IT инфраструктуры, аутсорсингом отдела безопасности, а также занимаются тестами на проникновение. Они не только помогут понять как данный взлом произошел, но и помогут выстроить систему безопасность так, чтобы таких случаев не повторилось.

Причём, взламывают не только мой, но и на соседних по серверу аккаунтах

К сожалению без более подробной информации сказать сложно, где именно произошел взлом на стороне клиента или хостинга. Если вы верите в профессиональную компетенцию владельцев хостинга то лучше сразу искать новый. Но так как есть возможность что непосредственно взломали вас, то перед переносом сайта его необходимо проверить.

На моих аккаунтах были взломаны сайты на bitrix и на wordpress.

Возможно вас взломали через известные уязвимости в этих CMS. Уязвимости бывают двух видов - устаревшая версия самого ПО и уязвимости в плагинах или темах. Чтобы найти уязвимости в такие уязвимости можно воспользоваться специальными сканерами. Попробуйте, это:
- https://metascan.ru (Он может проверить как WordPress так и Bitrix )
- wprecon.com (проверка WordPress);
- 1c-bitrix.ru/products/cms/modules/security_scaner/ (Сканер безопасности 1С Butrix)

И какие дадите советы, при создании безопасного сайта.

Еще я бы порекомендовал обезопасить ваш сайт от атак киберпреступников. Как бы банально это не звучало, но в результате успешной атаки вы или ваши клиенты потеряете деньги.
Обязательно проверьте сайт на уязвимости веб-приложениях (OWASP TOP 10)также не помешает проверить уязвимости сетевого стека OS, открытые по ошибке порты (Например торчащая наружу БД без авторизации) и уязвимости связанные с работой прикладных протоколов из-за устаревших версий ПО (ssh,ftp). Еще не забывайте использовать сложные пароли и периодически менять их. Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки.
Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.

Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней.
https://metascan.ru
https: //detectify.com/

Для защиты от межсайтового скриптинг (XSS) можно воспользоваться встроенными функциями, например такими:
htmlspecialchars()
Преобразует некоторые символы в виде HTML-сущностей, чтобы сохранить их значение. Обязательно используйте ее для фильтрации данных вводимых пользователей.
Для защиты от SQL-инъекций можно использовать следующие функции:
mysql_real_escape_string()
Экранирует специальные символы, принимая во внимание кодировку соединения, таким образом, что результат можно безопасно использовать в SQL-запросе.
Еще можно защититься используя фильтрацию по "белому" списку, приведение переменных и используя подготовленные запросы.
Чтобы найти поля, которые подлежат фильтрации можете воспользоваться специальными сканерами по поиску уязвимостей, например для SQL-инъекций можете воспользоваться утилитой SQLMAP
Еще перед вами стоит более комплексный подход по защите сайта, то можно воспользоваться онлайн сканерами уязвимостей, которые могут проверить большинство уязвимостей сайта, а так-же не помешает проверить наличие уязвимостей связанных с работой прикладных протоколов. Попробуй metascan или https:// sitecheck.sucuri.net

Как можно взломать через порт ? Реально ли это и т.д.

База данных на открытом порту предоставляет дополнительные векторы для атаки, например брут форс или эксплоит (очень показательный вариант CVE-2012-2122). Такого можно избежать закрыв доступ к 3306 порту.

о защите mysql знаю только о SQL инъекциях и о том что нужен норм пароль (что бы подобрать не смогли).

Базы данных в основном взламывают через ошибки в коде сайта и недостаточную фильтрацию входящих данных.
Нужно проверить код на возможность SQL-инъекция, так как появляется возможность извлечь root пароль. И в завершении проверить на XSS, так как можно украсть Cookies сессию администратора и через панель phpMyadmin работать c СУБД. Для этого вам понадобятся таки программы, как SQLmap, MetaSploit, Arachni.
Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей, например:
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/

Вас пытаются взломать по средствам брут форс атаки.

Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен

Судя по вашему описанию, злоумышленник не сильно опытен, так как такой перебор паролей, без знания имени пользователя, займет очень большое время.
В таком случае блокировка по IP будет достаточной. Например, при использовании iptables:

iptables -I INPUT -s 192.0.2.0 -j DROP

Для защиты от брута можно еще изменить порт SSH на нестандартный и использовать утилиты или настройки брандмауэра для блокировки сканеров (на подобии NMAP) или вместо пароля использовать доступ по ключу. И раз уж мы боремся с брут форс атакой, можно проверить возможность подбора пароля, например воспользоваться Hydra и заодно проверить наличие уязвимостей связанных с работой прикладных протоколов, по базе Common Vulnerabilities and Exposures.
Из онлайн вариантов попробуй METASCAN, это специальные ресурс, который может проверить большинство уязвимостей и покажут можно ли подобрать пароль к базам данных, логинам или SSH протоколам.

Вас взломали и ваш сайт, скорее всего используется для мошенничества.
Нужно удалить все сторонние файлы с сайта, в идеале лучше его восстановить из бэкапа. Смените все пароли и просканируйте файлы, на всякий случай, на предмет вредоносного ПО.

С чем это может быть связано? Какие промахи в безопасности такое производят?

Скорее всего вы неправильно настроили какой-то из компонентов сайта. Тут вариантов много, вот основные:

• Неправильная конфигурация прав доступа к файлам (Security Misconfiguration)
  
• Уязвимости связанные с доступом к базам данных (SQL-Injectionn)
  
• Слабые пароли (Brute Force)
  
• Межсайтовый скриптинг(XSS)
  

Еще не стоит исключать возможность эксплойта из-за устаревших версий ПО (ssh, ftp).

Вам нужно понять, что смена паролей и удаление сторонних файлов - это временная мера. Вас будут взламывать до тех пор, пока вы не закроете дыры в безопасности сайта. Я бы порекомендовал воспользоваться сканером широкого профиля, который проверяет сайт по всем направлениям сразу. Из онлайн вариантов есть METASCAN или Acunetix.
И еще советую ознакомится с мануалом по безопасности PHP https://www.php.net/manual/en/security.php

Насколько я понял, из вашего рассказа, злоумышленниками был создан пользователь которому передали root права. Вас взломали по средствам SQL инъекции, и внедрили примерно такой код:

CREATE USER 'intruder'@'localhost' IDENTIFIED BY 'intruder_password';
GRANT PROXY ON 'admin'@'localhost' TO 'intruder'@'localhost'

отрубил полностью доступ из внешки, удалил у рута наличие грат прокси, поменял пароли на всех учетках, все было хорошо ровно день...

Вам не помогли эти действия, потому что вы не устранили причину - возможность внедрения SQL кода. Для этого вам нужно настроить фильтрацию входящих данных и обращений. Например воспользовавшись встроенными функциями PHP:

$_POST[$_post] = mysql_real_escape_string($_POST[$_post])

И таким способом вам нужно отфильтровать все "слабые" места вашего кода. Найти их можно воспользовавшись утилитой SQLMAP для linux или использовать онлайн сканер, наподобие METASCAN, он покажет не только SQL уязвимости, но и проверит сайт на XSS, noSQL, уязвимости CMS, а также проверит всю инфраструктуру в целом.

Работал над одним сайтом, который регулярно подвергался атакам и его приходилось постоянно "поднимать".  Использовал сканеры от Positive Technologies и METASCAN, оба хорошие, но МЕТАСКАН мне понравился больше, там был более понятный интерфейс и довольно подробный отчет о сканирование. Ко всему прочему, просканировал не только на предмет веб уязвимостей, еще проверил системные уязвимости и даже, ради интереса, попробовал побрутить SSH. В общем просканировал всю инфраструктуру и нашел уязвимости в OpenSSH и парочку страниц c XSS, после того как все подправил сайт перестал "падать".

Blind SQL эта такая инъекция при которой вывод данных ограничен. Например отключены сообщения об ошибке.
И такая запись не будет ничего выдавать:

news.php?id=-1

Для этого используются следующие способы обнаружения:

news.php?id=-1' OR 1=1
news.php?id=-1' AND 1=1

Составляя такие логические запросы мы можем извлекать интересующую нас информацию из СУБД.
При Double Blind SQL инъекции логика запроса никак не влияет на вывод:

news.php?id=-1' OR 1=1

Выдаст новость и мы однозначно не сможем сказать возможна ли тут инъекция или нет. Проверить можно таким образом:

news.php?id=-1' AND benchmark(2000,md5(now()))

Суть метода - нагрузить сервер выполнением какой-либо длительной операции (в примере benchmark) и получить задержку ответа.
Если у нас имеется возможность внедрения SQL инъекции то сервер выдаст ответ через какое-то время.

Если при проверке сайта была найдена первая, то какой смысл искать вторую, если она итак должна отработать?

Тут, как уже говорилось выше, все зависит от ситуации и целей. Если цель стоит обезопасить свой сайт, то однозначно стоит проверять. Для поиска лучше всего воспользоваться сканером, например METASCAN ,там есть специальная проверка по времени ответа, или попробуй hackertarget.com.

Межсайтовый скриптинг, это уязвимость выполняемая на стороне пользователя, различают постоянные и непостоянные XSS. В первом случае, это код который злоумышленнику удается внедрить на страницу и он срабатывает когда, пользователь посещает эту страницу. Непостоянные XXS, это URL-ссылка, которая будет содержать вредоносный код.

Самый простой способ защититься, это очищающие фильтры вводимых данных, например

filter_var($url,FILTER_SANITIZE_SPECIAL_CHARS)

Что касается вашего случая, для начала, я бы рекомендовал сначала установить, какие именно формы для заполнения и отправки данных представляют угрозу. Можно создать SQL-инъекцию или внедрить JavaScrip и своровать Cookie сессию администратора. А можно залить специально сконфигурированный файл с полезной нагрузкой и запустить его по средствам эксплойта в устаревшем ПО.

Для того чтобы найти места на сайте уязвимые к XSS и другим уязвимостям попробуй онлайн сканер типа METASCAN. Он покажет слабые места сайта и их в последствии можно будет "закрыть".

Настройку безопасности сервера Apache можно посмотреть в документации на оф. сайте. https://httpd.apache.org/docs/2.4/misc/security_ti...

Веб-уязвимости разберем на примере OWASP Top 10.
1) Инъекции. SQL, NoSQL, OS и LDAP т.е. все что связано с выполнением команд и доступам к базам данных, без надлежащей авторизации, например:

SELECT id_news FROM news WHERE id_news = -1 UNION SELECT 1,username,password,1 FROM admin

Защититься от такого запроса можно созданием "Белого списка"

$sort    = isset($_GET['sort'])
$allowed = array("id_news,name"); //перечисляем разрешенные варианты
$key     = array_search($sort,$allowed); // ищем среди них переданный параметр
$orderby = $allowed[$key]; //выбираем найденный элемент. 
$query   = "SELECT * FROM `table` ORDER BY $orderby DESC"; //составляем безопасный запрос

2. Межсайтовый скриптинг (XSS). Например, формирование небезопасной ссылки:

http://example.com/search.php?q=<script>CookieStealer();</script>

Что позволит выполнять выполнить вредоносную функцию.
Защитится можно с помощью функции преобразования например:

<?php
$text = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $text;
?>

Ещё есть ошибки конфигурации прав доступа, ненадежные пароли, неправильная настройка сессии аутентификация, хранение данных в незашифрованном виде и использование компонентов с известными уязвимостями. Есть способы обхода фильтрации вводимых данных. Есть атаки на уровне прикладных протоколов.
Для выявления каждой отдельной уязвимости существуют различные утилиты для проверки.

Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.

Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей, например:
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/
И уже после нахождения уязвимостей можно начать их устранять.

Ничего не пропустили. На мой взгляд наиболее вероятная причина это устаревший WP. Эта версия неправильно фильтрует содержимое комментариев (при настройках по умолчанию), а это уже XSS уязвимость. Таким образом JS-код можно добавить под каждым постом и Wordfence Security ничего не покажет.
Чтобы найти эти и другие уязвимости в WordPress можно воспользоваться сканером для WP.
Навскидку, это:
- https://metascan.ru;
- wprecon.com;
- hackertarget.com/wordpress-security-scan.
Уязвимости в темах и эксплойты в старых версиях плагинов могут сыграть свою роль. Особенно бесплатные "крякнутые", в них часто можно встретить вредоносный код.

Уязвимости в WP бывают двух видов - устаревшая версия самого WP и уязвимости в плагинах и темах. Крайне опасно использовать "крякнутые" темы, в них часто вшивают вредоносный код. Чтобы найти уязвимости в Wordpress можно воспользоваться специальным сканером для WP. Навскидку, это:
- https://metascan.ru;
- wprecon.com;
- hackertarget.com/wordpress-security-scan.
И разумеется быть аккуратнее с бесплатными темами и сомнительными плагинами, так как они изначально могут содержать в себе вирусы.