Не проще let's encrypt?
https://habrahabr.ru/post/270273/
Атаку таким образом не определить.
Нужно смотреть ситуацию на сервере, читать логи сайтов.
Высокая нагрузка не гарант атаки.
Попробуйте открыть логи сайтов в момент проблем и проанализировать запросы.
Либо обратитесь к специалистам за помощью.
На такой вопрос можно ответить только "Сломались!".
Либо больше подробностей, либо привлекайте специалиста. По вашей формулировке ничего не понять.
Откуда видно, а куда отправляется?
Судя по всему, в логах ни всё скопировали.
Проще к администраторам обратитесь.
Достаточно зарегистрироваться на сайте и посмотреть, откуда пришла почта.
Так же проверить MX-записи для входящей. (SPF тоже)
Проще всего каждый сайт на отдельного пользователя + php FastCGI
И просто запускаете скрипт, который считает количество процессов каждого пользователя и нагрузку на CPU от них.
В общих чертах можно так.
Это не даст ничего.
Как вам и сказали выше - стандартно система не разделяет нагрузку по сайтам, а только в пределах общей нагрузки.
С таким же успехом поставьте счётчики на сайты и посмотрите, где выше посещаемость. Munin больше информации не даст.
- На тарифах от "Оптима" и выше у каждого есть курирующий администратор, который регулярно производит аудит сервера. В рамках аудита всё обновляется, о чём сообщаем клиенту.
- На минимальном тарифе клиенты получают уведомление о необходимости обновлений и инструкции. При необходимости отвечают на тикет "просим исправить" и дежурный специалист производит обновление.
Можно им перенести на другой сервер полностью все программы и настройки.
Если VDS у того же хостера с тем же шаблоном ОС, то может даже завестись без проблем после синхронизации.
Но проще попросить вашего хостера скопировать образ VDS на другой сервер.
Повезло, что это cron, а не apache под общим пользователем www-data =)
Иначе было бы не просто.