Ok, es geht hier also um ein gehackte Drupal website und nicht einen gehackten ISPConfig Server wie im Titel beschrieben. Ein Shell user unter Linux kann immer alle Dateien sehen die global lesbar sind (bzw. in global lesbaren Verzeichnissen liegen), das heißt aber nicht dass er deren Inhalt lesen kann (außer eben die Datei hat globale lese Rechte). S kann ein user z.B. die Datei /etc/shadow sehen, er kommt aber nicht an deren Inhalt heran wenn er nicht der root User ist.
Zum einen ist es wichtig dass Du den richtigen PHP Modus verwendest (php-fcgi bzw php-fpm) und Suexec muss an sein. Das sorgt Dafür dass die PHP Scripte jeder Website unter einem eigenen User laufen. Dann kannst Du PHP absichern indem Du Funktionen wie exec, system, passthru etc. deaktivierst. Ein Großer Nachteil von Centos ist dass Du es dort nicht wie bei Debia pro PHP Mode machen kannst, d.H. Du müsstest es entweder pro website in ISPConfig über das php Direktiven Feld machen oder D musst für das ispconfig server script eine separate php.ini erstellen, denn sonst würde eine solche Änderung ispconfig mit deaktivieren. Zum absichern von PHP gibt es jede Menge tutorials, einfach mal Googeln und Dir eine passende config zusammenstelen.