Como os arquivos estão sendo adicionados ao site como apache, quando o site está sendo executado como FastCGI?

Eu tenho um servidor web que está executando muitos sites diferentes (configuração vhosts padrão, a maioria dos sites são baseados em Joomla, alguns wordpress e outros sites não-CMS) em um ambiente Parallels Automation 11.5. A versão do apache no servidor da web é 2.2.15, e o mesmo problema está acontecendo em várias versões do PHP.

Nossos sites estão sendo invadidos e estão sendo transformados em um spambot de e-mail. Pelo que posso dizer até agora, é que uma pessoa maliciosa é capaz de fazer upload de um arquivo PHP, geralmente para o docroot, mas às vezes para a pasta images seguindo um padrão de nomenclatura wn.php (w12345678n.php) e pelo que eu posso dizer é o WSO Web Shell. A pessoa, então, parece usar esse shell da web para adicionar código injetável / malicioso ao resto do site.

O que me parece estranho é que esses sites estão sendo executados como FastCGI, então todos os arquivos são de propriedade do usuário FTP da conta em particular (bob_ftp etc), mas o arquivo php do shell do WSO está sendo colocado no servidor web sob o apache: propriedade do apache.

Eu estou supondo que os arquivos estão sendo adicionados através de algum tipo de vulnerabilidade do apache, mas eu não tive muita sorte em rastrear o culpado. Alguém poderia me indicar como posso bloquear essas travessuras? De preferência, fechando a vulnerabilidade, mas neste momento eu só quero uma forma de mitigar o dano, então não tenho que perder tanto tempo com isso.