Az open_basedir és a disable_functions csodáit használod? Ez utóbbinál a passthru/shell_exec/exec/system quartettet alaphangon lődd ki. A suphp olyan sokminden ellen nem véd és ha www-data-val használod, akkor pláne.
Bónuszként a allow_url_include es allow_url_fopen -t is tedd off-ra.
Nagyon jó eséllyel eséllyel valamelyik oldalban van XSS hiba. Az apache access.logot meg tedd külön. Attól hogy vmi maintenance módban van, a bugjai még működni szoktak. Az apache konfigban tedd deny-ra átmenetileg, hogy mindenre forbiddent adjon az adott vhoston.
Ha már megvan a huncutság, akkor pedig mod_securityvel tudsz rule-t csinálni, illetve több más megelőző intézkedést tenni.
Ha Linux akkor az iptables-ben van modul, amivel pl. adott user _kimenő_ forgalmát tudod tiltani/engedni.
Nálunk a fentiek valamelyikén eddig még általában fennakadtak a T. jelentkezők, bár nemrég volt oldal ahol kérték az allow_url_fopent. Persze megfogadta az oldalgazda, hogy nem lehet kihasználni távolról, de persze ki lehetett, mint nemrég kiderült.