راهکار اکانت های جعلی: ابتدا اون یوزرهارو ببندید ضمنا در تنظیمات putty که معمولا در tweak setting هم احتمالا وجود داشته باشد یا در فایل کانفیگ ssh در سرور، ssh رو طری کانفیگ کنید که فقط به روی یک ip محدود شه یا به روش primary key athuntication بالا بیاد
با این روش فقط از منزل و اداره شما با پوتی میشه کانکت شد حتی اگر رمز عبور هم بدی به کسی

ضمنا در اینجا اگر jail می کردیم اکانت هارو یکمی اوضاع بهتر بود مثلا jail چی میگه در یکی از آثارش میگه بطور اضطراری تمام دستورات لینوکس غیر فعالشوند حتی wget

---------- Post added at 12:52 AM ---------- Previous post was at 12:46 AM ----------

راستی cgi هم از اکانتهای هاست گرفته شوند علی الحساب curl رو غیر فعال کن و چند تا کانفیگ php.ini :
Enable_dl =off
allow_url_fopen=off
open base_dir=off
disabled functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open,iniset
register globals=off
safemode=off

---------- Post added at 12:56 AM ---------- Previous post was at 12:52 AM ----------

در تنظیمات فایل کانفیگ ssh از پورت 22 به 220 یا دلخواه سریعا تغییر دهید
در دیتابیس ابتدا کل privilage access رو ببین کاربران مشکوک رو حذف کن و کاربر Root رو در دیتابیس حذف کن مطمئن باش همون طور که گفتم اجازه Remote گرفته شود و ضمنا در کانفیگ csf incoming , outgoing رو برای پورت mysql ببندید
public_html ها حتما 750 باشند.

---------- Post added at 01:03 AM ---------- Previous post was at 12:56 AM ----------

یک سری به تنظیمات دی ان اس بزن ببین تغییر نداده باشه و با intodns تست کن چرا که چند ساعت بعد نبینیم سایت ها رفتن روی یک سرور دیگر که خیلی بده برای یک فروشنده هاست.
عرب ها نادان هستند پس همین موضوع بهترین کمک هست. چرا عرب ها وقتی می رند تو گوگل می زنند : joomla exploit و vbulletin exploit همواره دنبال exploit های مختلف بگردبد و ببینید چه خبر !!!! هم راه نفوذ رو می بینید و مطلع می شوید و هم می فهمید که باید لابلای سورس حتما یک php وجود داره
معمولا کاربری php و apache با کاربر www بالا می آیند. دسترسی www فقط باید طوری ست بشه داخل فولدر /home باشه
و ضمنا اجرای دستورات مانند cp rm mkdir nano .... باید از این کاربر گرفته بشه این کار تخصصی تر هست و بگذار قدم آخر...