1. Убедитесь что для виртуал-хоста на котором работает Ubilling в Apache включена опция AllowOverride All
2. Постарайтесь позволить доступ к Ubilling, только оттуда откуда это действительно нужно. Либо как-то так:

.htaccess

 deny from all
 allow from 127.0.0.1
 allow from 192.168.0.
 allow from 172.16.1.44
 

Либо если вы вообще не понимаете, что нарисовано выше - при помощи модуля “Ограничение доступа по IP”

3. Хорошим тоном будет также нарисовать отдельный виртуалхост как минимум для кабинета пользователя.
4. Вы еще не научились использовать VPN с шифрованием для доступа к биллингу извне сети? Печально.
5. Если злоумышленник, имеет прямой доступ к ФС биллингового сервера - у вас уже совсем другие проблемы.
6. Перестаньте уже наконец забывать сменить пароль по умолчанию пользователю admin!
7. Не светите направо и налево URL административного интерфейса.
8. Наличие только локальных бекапов, эквивалентно их отсутствию. Настройте удаленное резервирование, хотя бы так.