Olá a todos =) Bom vou começar a participar disso aqui né, chega de ficar nos bastidores.
Vou começar respondendo o que o amigo Alexandre B disse.
1º Use Senhas bem complexas no usuário root senhas com 12 caracteres para cima, com todos os tipos de caracteres, desde acentos a pontos, enfim... - A senha do amigo foi gerada através do próprio WHM, com todos os tipos de caracteres permitidos, creio que mais que isso não tem como.
2ª troque a porta do seu SSH de 22 para outra. isso reduzirá muito as notificações de tentativas de login, pois o ataque terá que adivinhar a porta. - A porta já foi alterada =) obrigado pela dica, não tinhamos pensado nessa.
3ª verifique as conexões no apache, para de fato concluir se é uma ataque a um site, você via WHM/cPanel acesse "Apache Status" se ali estiver congestionado e um único site, veja, talvez não seja ataque, seja limite de MaxClient baixo... caso contrário verá muito IP sinistro de tudo quanto é canto do mundo. - Sim, tem alguns Ips sinistros, apenas na conta do Wanderson.
4º acompanhe o load do servidor, todo servidor alvo de ataque tende ao load subir muito, ocasionando o travamento ou lentidão extrema... - O load do servidor nunca chega em 2, a não ser as 00h00 quando fazemos o backup diário, o que vai em torno de 5.0 O servidor que usamos para master revendas em plantaforma linux o amigo Wanderson sabe os recursos, são praticamentes (ilimitados) praticamente pois isso não existe, todos sabem né? e mantemos apenas nesse servidor 5 clientes com WHM/Cpanel.
5º Instale o CSF/LDF Firewall.. - http://configserver.com/cp/csf.html - Já esta instalado.
6º verifique sua versão do PHP/Apache, de preferência recompile para uma versão mais recente ou v5.3.20 PHP. na recompilação marque o mod_security e aplique as configurações default de inicio. - Já esta tudo feito e a versão é a mais recente.
7º faça com que seu PHP rode em modo SuPHP... isso evita você e algum cliente ter que ficar aplicando chmod 777 em arquivos ou pasta ou no próprio WHMCS. - Iremos fazer isso, mas creio que já esta. Outra coisa, sobre o nosso site esse layout é temporario (feio por terceiros algumas partes), a indicahost foi registrada em 2006, mas paramos de usar ela por um tempo e voltamos a usar faz cerca de um ano. (participava como GypHost) Temos outras empresas, e participo desse fórum desde que tinha o "avaliahost". o que era bem útil...
[chuvadenovembro] Primeiro, conheço essa piada =) segundo estão gerando muitos acesso ao WHM do Wanderson, e com isso o acesso é bloqueado devido a várias tentativas, o whmcs realmente não entendo, ele tenta acessar e diz Ip bloqueado ou que um login já esta em uso com o usuário. Acesso o Phpmyadmin, e retiro o bloqueio e modifico a senha, ele acessa passa alguns minutos e volta. Creio que a alternativa será entrar em contato com a própria WHMCS. - Vale lembrar, a licença é válida e o WHMCS foi instalado via Softaculous.