رفع malware در وردپرس

[mozhganAhmadi]

سلام
چند وقت پیش از هاست برام اخطار زیر اومد:
"کاربر گرامی طی مشاهدات صورت گرفته از سرویس شما به تعداد بالا ارسال هرزنامه صورت گرفته است
ارسال هرزنامه از طریق کد وب سایت و از میسر زیر صورت گرفته است :
140047 cwd=/home/pazhuhes/public_html/wp-content/languages/themes
با توجه به این مشکل، فانکشن mail به صورت کلی بر روی هاست شما غیر فعال گردید لذا امکان استفاده از آن برای ارسال ایمیل از طریق کد را نخواهید داشت. اغلب فرم های CMS های مرسوم از فانکشن MAIL برای ارسال ایمیل استفاده می کنند که در این صورت این FORM ها هم اکنون با مشکل در اجرا مواجه خواهند بود. اصولا در صورت نفوذ بر روی هاست و INJECT فایل های آلوده توصیه می شود پروژه از ابتدا برنامه نویسی و نصب شود زیراکه احتمال وجود BACKDOOR در جای جای پروژه بسیار بالا است.
لذا می بایست برای ارسال از طریق کد با استفاده از phpmailer یا PEAR یا راهکار های جایگزین اقدام نمایید.
. با توجه به استفاده برتینا از CAGED FILESYSTEM مربوط به سیستم عامل CloudLinux احتمال بروز مشکل درسایت از لایه سرور 0% می باشد و تنها و تنها راه بروز مشکل ، عدم رعایت policy های امنیتی، استفاده از plugin و template های کرک شده و سایر موارد مشابه می باشد
لطفا موارد زیر را بررسی و اطلاع رسانی نمایید
در صورت استفاده از cms آیا cms شما به آخرین نسخه بروز رسانی شده است؟
در صورتیکه از plugin یا module هایی استفاده نموده اید آیا موارد Null شده می باشند و با لایسنس آن ها را تهیه نموده اید. یا اینکه تمامی موارد Plugin های رایگان رسمی ارائه شده توسط مرجع cms شما می باشد
آیا تمامی plugin های شما به آخرین نسخه به روز رسانی شده است؟
نام cms خود را به همراه عبارت hardening یا secure در گوگل جستچو نموده به عنوان مثال joomla hardening و اعلام نمایید بر اساس داکیومنت های ارائه شده توسط سایت رسمی آن cms و سایر وب سایت های index شده در همان صفحه ی اول جستجو ی شما در گوگل، کدامیک از موارد امنیتی یاد شده بر روی cms شما پیاده سازی شده است.
"
و بعد از مدتی هم اخطار زیر:
"طی بررسی ها انجام شده از لینک زیر به شدت مصرف Cpu هاست شما بالا می باشد و Malware شناسایی گردیده است.
این امر ممکن است به دلیل نفوذ به اسکریپت و یا Cms شما انجام گردیده باشد.
باتوجه به مهم بودن و اولویت شمردن امور کاربران عزیز به دلیل جلوگیری از انجام اختلال بر روی سایت شما هم اینک سایت شما از دسترس خارج شده است و این مورد در اولویت بالا پیگیری نمایید و شرح اقدامات فنی خود را جهت بررسی و جلوگیری از آسیب های جدی به سایت شما در ادامه تیکت ارسال فرمایید.
استفاده بیش از اندازه Cpu از آدرس زیر انجام گردیده است:
wp-content/languages/themes/txutwgbf.php
لطفا با اولیت بالا این امر را پیگیری و نتیجه را در ادامه تیکت اعلام فرمایید."
لطفن راهنمایی بفرمایید که باید چه اقدامی انجام بدم؟

[hamed_m]

ابتدا فایل
txutwgbf.php
را از سرور پاک کنید. به این ترتیب امکان استفاده مهاجم از ضعف امنیتی اسکریپت مورد اشاره از بین میرود. شاید مهاجم فایل را با استفاده از ضعف اسکریپت آپلود یا دسترسی غیرمجاز به اکانت شما یا ضعف امنیت سرور یا سایر نرم افزار های مورد استفاده آپلود کرده باشد.
با این وجود شاید تم مورد استفاده ایرادهای دیگری هم داشته باشد. سعی کنید از تم های استاندارد استفاده کنید.
از ادمین سرور بخواهید لاگ های سرور را هم بررسی کند. همیشه ایراد از کار شما نیست.
شاید از اکسپلویتی برای ورد پرس استفاده شده باشه. حمله به اف تی پی سرور هم زیاد مشکل نیست.
اگر از آخرین نسخه وردپرس استفاده کنید و پلاگین ها رو هم غیر فعال کنید شاید با اطمینان بیشتری بشه گفت ایراد از کجاست.