>[оверквотинг удален]
> Дано:
> На сервере крутится несколько разнородных сайтов. Используемое ПО: nginx, Apache, PHP,
> MySQL. У админа есть рутовый доступ. Вносить изменения в PHP код
> сайта по условию задачи нельзя.
> Необходимо как-то мониторить активность запущенных сайтов и отслеживать, кто из них делает
> что-то конкретное. Допустим, один из сайтов взломали через дырку в его
> PHP-коде и он начал гадить окружающим. Хотелось бы как-то определить, запуск
> какого именно PHP-файла на каком сайте привел к взлому и запуску
> вредоносного кода. Как это можно сделать? Стандартное логирование от веб-серверов не
> Можно ли как-то заставить PHP логгировать имя и путь к каждому запускаемому на выполнение PHP-файлу?

Да. здесь на форуме это уже обсуждали, кстати недавно.. воспользуйтесь поиском.

>Может быть есть еще какие-нибудь способы и идеи?

К взлому привел вероятно запуск файла index.php из корневой директории сайта. Но мне казалось что вас должно беспокоить совсем иное.
Первая мысль которая должна была вас посетить- почему подобную работу, требующую специальных знаний и опыта, поручают человеку в этом вопросе глубоко некомпетентному, не обладающему даже базовыми понятиями о предмете?