MrGroovy

Причём, взламывают не только мой, но и на соседних по серверу аккаунтах

К сожалению без более подробной информации сказать сложно, где именно произошел взлом на стороне клиента или хостинга. Если вы верите в профессиональную компетенцию владельцев хостинга то лучше сразу искать новый. Но так как есть возможность что непосредственно взломали вас, то перед переносом сайта его необходимо проверить.

На моих аккаунтах были взломаны сайты на bitrix и на wordpress.

Возможно вас взломали через известные уязвимости в этих CMS. Уязвимости бывают двух видов - устаревшая версия самого ПО и уязвимости в плагинах или темах. Чтобы найти уязвимости в такие уязвимости можно воспользоваться специальными сканерами. Попробуйте, это:
- https://metascan.ru (Он может проверить как WordPress так и Bitrix )
- wprecon.com (проверка WordPress);
- 1c-bitrix.ru/products/cms/modules/security_scaner/ (Сканер безопасности 1С Butrix)

Для защиты от межсайтового скриптинг (XSS) можно воспользоваться встроенными функциями, например такими:
htmlspecialchars()
Преобразует некоторые символы в виде HTML-сущностей, чтобы сохранить их значение. Обязательно используйте ее для фильтрации данных вводимых пользователей.
Для защиты от SQL-инъекций можно использовать следующие функции:
mysql_real_escape_string()
Экранирует специальные символы, принимая во внимание кодировку соединения, таким образом, что результат можно безопасно использовать в SQL-запросе.
Еще можно защититься используя фильтрацию по "белому" списку, приведение переменных и используя подготовленные запросы.
Чтобы найти поля, которые подлежат фильтрации можете воспользоваться специальными сканерами по поиску уязвимостей, например для SQL-инъекций можете воспользоваться утилитой SQLMAP
Еще перед вами стоит более комплексный подход по защите сайта, то можно воспользоваться онлайн сканерами уязвимостей, которые могут проверить большинство уязвимостей сайта, а так-же не помешает проверить наличие уязвимостей связанных с работой прикладных протоколов. Попробуй metascan или https:// sitecheck.sucuri.net

Вас взломали и ваш сайт, скорее всего используется для мошенничества.
Нужно удалить все сторонние файлы с сайта, в идеале лучше его восстановить из бэкапа. Смените все пароли и просканируйте файлы, на всякий случай, на предмет вредоносного ПО.

С чем это может быть связано? Какие промахи в безопасности такое производят?

Скорее всего вы неправильно настроили какой-то из компонентов сайта. Тут вариантов много, вот основные:

• Неправильная конфигурация прав доступа к файлам (Security Misconfiguration)
  
• Уязвимости связанные с доступом к базам данных (SQL-Injectionn)
  
• Слабые пароли (Brute Force)
  
• Межсайтовый скриптинг(XSS)
  

Еще не стоит исключать возможность эксплойта из-за устаревших версий ПО (ssh, ftp).

Вам нужно понять, что смена паролей и удаление сторонних файлов - это временная мера. Вас будут взламывать до тех пор, пока вы не закроете дыры в безопасности сайта. Я бы порекомендовал воспользоваться сканером широкого профиля, который проверяет сайт по всем направлениям сразу. Из онлайн вариантов есть METASCAN или Acunetix.
И еще советую ознакомится с мануалом по безопасности PHP https://www.php.net/manual/en/security.php

Насколько я понял, из вашего рассказа, злоумышленниками был создан пользователь которому передали root права. Вас взломали по средствам SQL инъекции, и внедрили примерно такой код:

CREATE USER 'intruder'@'localhost' IDENTIFIED BY 'intruder_password';
GRANT PROXY ON 'admin'@'localhost' TO 'intruder'@'localhost'

отрубил полностью доступ из внешки, удалил у рута наличие грат прокси, поменял пароли на всех учетках, все было хорошо ровно день...

Вам не помогли эти действия, потому что вы не устранили причину - возможность внедрения SQL кода. Для этого вам нужно настроить фильтрацию входящих данных и обращений. Например воспользовавшись встроенными функциями PHP:

$_POST[$_post] = mysql_real_escape_string($_POST[$_post])

И таким способом вам нужно отфильтровать все "слабые" места вашего кода. Найти их можно воспользовавшись утилитой SQLMAP для linux или использовать онлайн сканер, наподобие METASCAN, он покажет не только SQL уязвимости, но и проверит сайт на XSS, noSQL, уязвимости CMS, а также проверит всю инфраструктуру в целом.

Работал над одним сайтом, который регулярно подвергался атакам и его приходилось постоянно "поднимать".  Использовал сканеры от Positive Technologies и METASCAN, оба хорошие, но МЕТАСКАН мне понравился больше, там был более понятный интерфейс и довольно подробный отчет о сканирование. Ко всему прочему, просканировал не только на предмет веб уязвимостей, еще проверил системные уязвимости и даже, ради интереса, попробовал побрутить SSH. В общем просканировал всю инфраструктуру и нашел уязвимости в OpenSSH и парочку страниц c XSS, после того как все подправил сайт перестал "падать".

Blind SQL эта такая инъекция при которой вывод данных ограничен. Например отключены сообщения об ошибке.
И такая запись не будет ничего выдавать:

news.php?id=-1

Для этого используются следующие способы обнаружения:

news.php?id=-1' OR 1=1
news.php?id=-1' AND 1=1

Составляя такие логические запросы мы можем извлекать интересующую нас информацию из СУБД.
При Double Blind SQL инъекции логика запроса никак не влияет на вывод:

news.php?id=-1' OR 1=1

Выдаст новость и мы однозначно не сможем сказать возможна ли тут инъекция или нет. Проверить можно таким образом:

news.php?id=-1' AND benchmark(2000,md5(now()))

Суть метода - нагрузить сервер выполнением какой-либо длительной операции (в примере benchmark) и получить задержку ответа.
Если у нас имеется возможность внедрения SQL инъекции то сервер выдаст ответ через какое-то время.

Если при проверке сайта была найдена первая, то какой смысл искать вторую, если она итак должна отработать?

Тут, как уже говорилось выше, все зависит от ситуации и целей. Если цель стоит обезопасить свой сайт, то однозначно стоит проверять. Для поиска лучше всего воспользоваться сканером, например METASCAN ,там есть специальная проверка по времени ответа, или попробуй hackertarget.com.

Межсайтовый скриптинг, это уязвимость выполняемая на стороне пользователя, различают постоянные и непостоянные XSS. В первом случае, это код который злоумышленнику удается внедрить на страницу и он срабатывает когда, пользователь посещает эту страницу. Непостоянные XXS, это URL-ссылка, которая будет содержать вредоносный код.

Самый простой способ защититься, это очищающие фильтры вводимых данных, например

filter_var($url,FILTER_SANITIZE_SPECIAL_CHARS)

Что касается вашего случая, для начала, я бы рекомендовал сначала установить, какие именно формы для заполнения и отправки данных представляют угрозу. Можно создать SQL-инъекцию или внедрить JavaScrip и своровать Cookie сессию администратора. А можно залить специально сконфигурированный файл с полезной нагрузкой и запустить его по средствам эксплойта в устаревшем ПО.

Для того чтобы найти места на сайте уязвимые к XSS и другим уязвимостям попробуй онлайн сканер типа METASCAN. Он покажет слабые места сайта и их в последствии можно будет "закрыть".

Настройку безопасности сервера Apache можно посмотреть в документации на оф. сайте. https://httpd.apache.org/docs/2.4/misc/security_ti...

Веб-уязвимости разберем на примере OWASP Top 10.
1) Инъекции. SQL, NoSQL, OS и LDAP т.е. все что связано с выполнением команд и доступам к базам данных, без надлежащей авторизации, например:

SELECT id_news FROM news WHERE id_news = -1 UNION SELECT 1,username,password,1 FROM admin

Защититься от такого запроса можно созданием "Белого списка"

$sort    = isset($_GET['sort'])
$allowed = array("id_news,name"); //перечисляем разрешенные варианты
$key     = array_search($sort,$allowed); // ищем среди них переданный параметр
$orderby = $allowed[$key]; //выбираем найденный элемент. 
$query   = "SELECT * FROM `table` ORDER BY $orderby DESC"; //составляем безопасный запрос

2. Межсайтовый скриптинг (XSS). Например, формирование небезопасной ссылки:

http://example.com/search.php?q=<script>CookieStealer();</script>

Что позволит выполнять выполнить вредоносную функцию.
Защитится можно с помощью функции преобразования например:

<?php
$text = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $text;
?>

Ещё есть ошибки конфигурации прав доступа, ненадежные пароли, неправильная настройка сессии аутентификация, хранение данных в незашифрованном виде и использование компонентов с известными уязвимостями. Есть способы обхода фильтрации вводимых данных. Есть атаки на уровне прикладных протоколов.
Для выявления каждой отдельной уязвимости существуют различные утилиты для проверки.

Начать можно с Nmap и продолжить чтением OWASP Web Application Security Guide.

Есть специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей, например:
https://metascan.ru
https: //acunetix.com/
https: //detectify.com/
И уже после нахождения уязвимостей можно начать их устранять.