ioannes

Странно, сплошь вредные советы.

Chroot папка НЕ_ДОЛЖНА быть доступна для записи для пользователя!

https://www.google.com/search?q=sshd+bad+ownership...

ChrootDirectory
Specifies the pathname of a directory to chroot(2) to after authentication. All components of the pathname must be root-owned directories that are not writable by any other user or group. After the chroot, sshd(8) changes the working directory to the user's home directory

ChrootDirectory - владельцем этой папки должен быть root и у других пользователей не должно быть прав на запись.
В противном случае получим ошибку:
fatal: bad ownership or modes for chroot directory

LVM'у надо сказать, что диск увеличился.

sfdisk -R /dev/sdf # -R [or --re-read]: make kernel reread partition table (если увеличили весть диск, а не раздел)

pvresize /dev/sdf

Я бы сделал редирект http -> https

По идее, проблем нет, вот мой стенд:

find ./test/
./test/
./test/z.php
./test/.htaccess
./test/test
./test/test/z.php
./test/test/.htaccess

$ cat test/z.php
<?php echo "required<br />\n" ;?>

$ cat test/.htaccess
Deny from all

$ cat test/test/z.php
<?php require("../z.php") ;?>
<?php echo "main<br />\n" ;?>

$ cat test/test/.htaccess
Allow from all

$ wget https://my.site/test/z.php
HTTP-запрос отправлен. Ожидание ответа... 403 Forbidden
2017-02-07 16:18:30 ОШИБКА 403: Forbidden.

$ wget https://my.site/test/test/z.php -O -
HTTP-запрос отправлен. Ожидание ответа... 200 OK
Длина: 27 [text/html]
Сохранение в: «STDOUT»

equired<br />
main<br />

Доступ к напрямую к подключаемому файлу запрещен, но по require() он доступен.

Это же чужие хосты лезут?
Я бы сделал так, избавился сначала от чужого траффика:

# cat /etc/apache2/sites-enabled/000-default.conf

# Сайт по умолчанию
<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        ServerName localhost

        DocumentRoot /var/www/html
        <Directory /var/www/html>
                Require all granted
                AllowOverride None
        </Directory>

        LogLevel emerg
        ErrorLog ${APACHE_LOG_DIR}/default.err
        CustomLog ${APACHE_LOG_DIR}/default.log combined
</VirtualHost>

И из лога default.log выдергивать все IP и банить их в fail2ban.

А после этого по результатам.