Собственно, снова словил горький опыт по вырезанию вредоносного кода СРАЗУ на всех сайтах хостинга (изначально — официальная виртуальная машина Битрикс VM).
А беда вот в чём — допустим у меня прижилось 20 сайтов на виртуалке (под каждый делать виртуалку — жесть), каким то неизвестным мне образом на одну из виртуалок попадает троян в виде иньекции в php скрипт (или непосредственно сам скрипт) с возможностью запуска от пользователя Bitrix.
И на этом ВСЁ! Скрипт получает доступ абсолютно ко всем сайтам на данной виртуалке, т.к. все они с правами bitrix …
Сам себе закинул WSO — и осознал всю горечь происходящего.
Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?

Ну и придумал такой вариант:
1. На папки с конфигурационными файлами убираем доступ на чтение всем и группе (/etc/nginx/ и /etc/httpd/ )
2. Каждый сайт создавать с папке с уникальным именем, вроде 235hjhjfdsu
Получится такая структура:
/www/235hjhjfdsu/site1.ru/
/www/345o44jkre2/site2.ru/
/www/345fgmkj324/site3.ru/
На www и на «левые» папки — так же убираем доступ на чтение всем и группе (/etc/nginx/ и /etc/httpd/ )

Таким образом находясь в root директории сайта «вычислить» директории других сайтов под пользователем Битрикс не получится.

P.S.
В идеале аппач должен работать в рутовой папке сайта от имени пользователя, созданного для этого сайта!
Но как это реализовать я пока не нашел. 🙁