Hola a todos, gracias a todos.
No sé por dónde empezar...
En primer lugar hoy me hackearon de nuevo.
El tema fue que escuchándolos a Uds. (bue, leyéndolos) le pedí al administrador que protegiera el archivo famoso. Me dijo que iba a activar safe_mode (menos mal que algo me había dicho Cluster porque sino moría sin entender un pomo) pero al rato empezaron a quejarse otros clientes porque sus scripts no funcionaban. Entonces lo desactivaron y me cambió los permisos de los archivos de configuracion, dejó todos en 644 menos uno que quedó 666. En el mismo minuto que los terminaba de cambiar volvieron a hackear ese que quedó con permisos 666.
Ahí llegaron a la conclusión que tenía que ser un 'vecino' que tenía acceso shell y se lo sacaron y ahora estamos aquí esperando ver qué pasa.
La verdad ?

Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ? se pueden ver otras cuentas entonces y manipular las carpetas vecinas ?... pregunto esto porque algo entendí de lo que me explicaron de fopen pero... necesito saber la ruta... o no ?... porque la primera vez hackearon todo lo que tenia la palabra 'config' en alguna parte pero ahora el file se llama inuse.php... es como si estuvieron 'viendo' la estructura... o hablo ganzadas ?
Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?
MonicaH no sé si la primera vez había otros archivos dañados porque corrí un restore... hoy no, hoy sólo reemplacé los archivos hackeados con los originales... puede ser que empiece a fallar algo en algún momento, ya les contaré.
Toi agotada
Besos