ফেব্রু. 6, 2023 
অতীতে আমরা দেখেছি, অনেক জনপ্রিয় CMS-কে ফার্মা ম্যালওয়্যার দ্বারা লক্ষ্যবস্তু করা হয়েছিল। আপনি জানেন যে, দ্য ফার্মা হ্যাক নতুন নয়। কিন্তু, সম্প্রতি আমরা তাদের সোভিয়েত ইউনিয়ন (.su) এবং ইউরোপীয় ইউনিয়ন .eu সাইটে পুনঃনির্দেশিত হতে দেখা গেছে।
আমরা ইতিমধ্যেই জানতে পেরেছি, ফার্মা ম্যালওয়্যার তার উদ্দেশ্যের উপর ভিত্তি করে পরিবর্তিত হতে পারে। এটি কিছু ডেটা চুরি করার জন্য ডিজাইন করা হয়েছে । কিন্তু এখন অন্যরা ব্ল্যাকহ্যাট এসইও উদ্দেশ্যে একটি ওয়েবসাইটে স্প্যামি লিঙ্ক ইনজেকশন করার জন্য ডিজাইন করেছে। আসলে, ব্ল্যাকহ্যাট এসইও সংক্রমণের জন্য ফার্মা হ্যাক মোটামুটি সাধারণ ম্যালওয়্যার হিসেবে ধরা হয়।
ফার্মা হ্যাক আপনার সাইটের ট্র্যাফিককে ভুয়া সাইটগুলিতে পুনঃনির্দেশ করে। যা ভায়াগ্রা, সিয়ালিস বা অন্যান্য ফার্মা ওষুধ বিক্রি করার দাবি করে। সম্প্রতি এরকম বেশ কিছু সাইট .eu এবং .su এর মত “এলটিডি” নিয়ে এসেছে। তাছাড়া, এই ধরনের সংক্রমণ শনাক্ত করা খুব কঠিন। কারণ ম্যালওয়্যার তার উপস্থিতি লুকানোর জন্য বিভিন্ন বিষয়বস্তু পরিবেশন করে।
এই নিবন্ধটির মাধ্যমে, আপনি ধারনা পাবেন কীভাবে এই ম্যালওয়্যার কাজ করে৷
আপনার ওয়েবসাইট হ্যাক হয়েছে? অবিলম্বে ম্যালওয়্যার পরিষ্কার করুন Astra এর সাথে ।
ফার্মা হ্যাক পুনঃনির্দেশ
কারণসমূহ
এমন অনেকগুলি জিনিস রয়েছে যা নানা কারনে ভুল হতে পারে। এবং এই ভুলের মাধ্যমেই সংক্রমণ হতে পারে আপনার সাইট। আমরা এখানে কিছু সাধারণের তালিকা তৈরি করেছি:
- XSS বা SQL ইনজেকশন দুর্বলতা বা অন্য কোন ইনজেকশন দুর্বলতা।
- দুর্বল FTP পাসওয়ার্ড বা ডিফল্ট প্রশংসাপত্র।
- আপডেট প্লাগইন বা আনপ্যাচড CMS দুর্বলতা।
- অনুপযুক্ত কনফিগারেশন।
ফার্মা হ্যাক, এই সংক্রমণ (বা তার বেশি) বা দুর্বলতাগুলির যেকোনো একটিকে কাজে লাগিয়ে আপনার ওয়েবসাইটে প্রবেশ করতে পারে। এটি কিছু ক্ষতিকারক ফাইল তৈরি করে এবং তাদের ভিতরে লুকিয়ে রাখে। এই ফাইলগুলিকে সাধারণত এলোমেলোভাবে নামকরণ করা হয়। তাদের মধ্যে কিছু সংক্রামিত পিএইচপি ফাইল আছে যা ব্যবহারকারীদের নকল ফার্মা সাইটগুলিতে পুনঃনির্দেশিত করে। সেগুলির নাম নিম্নরূপ:
ফার্মা হ্যাকের এই সমস্ত রূপ যা ম্যালওয়্যার পুনঃনির্দেশিত করে যেন তারা পিএইচপি ফাইল ব্যবহার করে। এরা কিছু এইচটিএমএল ফাইলের উপর নির্ভর করে যা আবার অনেক সময় এলোমেলোভাবে নামকরণ করা হয়। এইখানে সংক্রমিত HTML ফাইলের নামের তালিকা তৈরি করা হয়েছে।
সনাক্তকরণ এড়াতে, ম্যালওয়্যার কিছু ধূর্ত কৌশল ব্যবহার করে। এরকম একটি কৌশল নিম্নে উল্লেখ করা হলো।
ফাঁকি কৌশল ব্যবহার করা
কোডের শীর্ষে থাকা অ্যারেটিতে পুনঃনির্দেশিত URLগুলির জন্য এনকোড করা ডোমেন নাম রয়েছে৷ যাইহোক, এইভাবে ইউআরএলটি চতুরতার সাথে লুকিয়ে থাকে। এবং এটি ব্যবহার করেই ম্যালওয়্যার নিষ্কাষণ করা হয়, ফাংশন m() এবং ফাংশন d() উপরের কোডের মাধ্যমে।
এখানে, একটি অ্যারে পাস করা হয় ফাংশন m() কোডের প্রথম লাইনে। ফাংশন m() ঘুরে এটা পাস হয় ফাংশন d()। যা “array_shift এর প্রথম উপাদান প্রাপ্ত করার পদ্ধতি। এই ক্ষেত্রে, এটি 79।
তারপরে এটি ” ব্যবহার করে অ্যারের প্রতিটি উপাদানের উপর লুপ তৈরি করা হয়। প্রতিটির লুপের জন্য এটি PHP এর ফাংশন ব্যবহার করে। তারপর একে একে, অ্যারের প্রতিটি উপাদান থেকে প্রথম উপাদান 79 বিয়োগ করে। আর প্রাপ্ত নম্বরটি পিএইচপি-এর “chr” ফাংশন ব্যবহার করে। এইখানে ASCII কোড থেকে সংশ্লিষ্ট অক্ষরে রূপান্তরিত হয়।
উদাহরণস্বরূপ, অ্যারের দ্বিতীয় উপাদান হল 183। সুতরাং, 183-79=104 যা ASCII-এর ‘h’ অক্ষরের সাথে মানচিত্র করে। অতএব, এটি অবশেষে যে ডোমেনে পুনঃনির্দেশ করে তা হল (http:// hotprivatetrade[dot]su)।
এইভাবে ডোমেনের একটি দ্রুত অনুসন্ধান রিপোট প্রকাশ করে যে, এটি ভায়াগ্রা, সিয়ালিস এবং অন্যান্য পণ্য বিক্রি করে একটি জাল ফার্মা স্টোরে। যা জাল সাইটে একটি সম্পূর্ণ ক্যাটালগ এবং এমনকি একটি কার্ট তৈরি করে। যাতে ব্যবহারকারীদের ক্রেডিট কার্ডের তথ্য দেওয়ার জন্য প্রতারণা করা যায়।
একজন ব্যবহারকারী চেক আউট করার পরে, ক্রেডিট কার্ড ফিশিং পৃষ্ঠাটি এমনকি একটি SSL শংসাপত্র সহ অন্য ক্ষতিকারক ডোমেনে হোস্ট করা হয়। উদাহরণস্বরূপ, https://checkoutzdsuyfsw[dot]saferx প্রদানকারী[dot]com/cart/checkout/।
ম্যালওয়্যারটি নীচের ছবিতে দেওয়া অন্যান্য ওয়েবসাইটেও পুনঃনির্দেশ করে৷ এই ওয়েবসাইটগুলি ছবির শেষে দেওয়া আইপিগুলিতে হোস্ট করা হয়।
বৈকল্পিক
404.php
404.php নামে পরিচিত পিএইচপি ফাইলগুলি আপনার সাইটে কাস্টম ত্রুটি বার্তা দেখানোর জন্য ব্যবহৃত হয়। এটি একটি বৈকল্পিক ম্যালওয়্যার। যা নীচের কোডে দেখানো হল কিভাবে ওয়ার্ডপ্রেস থিমের ভিতরে এনকোড করা 404.php ফাইল তৈরি করে।
কোডে দেখা যায়, এই ম্যালওয়্যারটি HTML এর ট্যাগ ব্যবহার করে। যা সাধারণত ছবিতে একটি ক্লিকযোগ্য এলাকা তৈরি করে। এই ক্লিকযোগ্য এলাকা তারপর ব্যবহারকারীদের দূষিত ফার্মা সাইটগুলিতে পুনঃনির্দেশিত করে।
মেটা ট্যাগ
একই ধরনের আরেকটি ম্যালওয়্যার ব্যবহার করে তারা যা ,<মেটা http-equiv=”রিফ্রেশ” ব্যবহারকারীদের রিডাইরেক্ট করার জন্য। যা HTML এর ট্যাগ। এইখানে দ্য “http-equiv” বৈশিষ্ট্য একটি HTTP হেডার প্রতিক্রিয়া অনুকরণ করতে সাহায্য করে। যদিও content=5 বিকল্পগুলি ৫ সেকেন্ডের মধ্যে পৃষ্ঠাটি রিফ্রেশ করে। যার পরে ব্যবহারকারীকে “url” বিকল্পে নির্দিষ্ট অবস্থানে পুনঃনির্দেশিত করা হয়। এছাড়াও, ব্যবহারকারীকে পুনঃনির্দেশ করার সময় নিম্নলিখিত বার্তাটি প্রদর্শিত হয়: “5 সেকেন্ড অপেক্ষা করুন! সাইটে পুনঃনির্দেশ করা হচ্ছে।”
জাভাস্ক্রিপ্ট পুনঃনির্দেশ
এইক্ষেত্রে একই ম্যালওয়্যারের ভিন্ন একটি রূপের সাথে মিলিত একটি মেটা রিফ্রেশ ব্যবহার করে। যা window.location.href পুনর্নির্দেশ করে। window.location অবজেক্টটি সাধারণত ব্যবহারকারীদের একটি নতুন পৃষ্ঠায় পুনঃনির্দেশ করতে এবং বর্তমান পৃষ্ঠার ঠিকানা পেতে ব্যবহৃত হয়। এখানে, যদি মেটা ট্যাগ কিছু ব্যবহারকারীর জন্য ব্যবহারকারীদের পুনঃনির্দেশ করতে অক্ষম হয়, তাহলে window.location.href হবে।
সুরক্ষা সমূহ
সাধারনত, এই ধরনের ফার্মা স্প্যাম আপনার সাইটে বিধ্বংসী প্রভাব ফেলতে পারে। এটি শুধুমাত্র আপনার বাউন্স রেটই বাড়ায় না, তার সাথে আপনার ওয়েবসাইটের খ্যাতির উপর দীর্ঘমেয়াদী প্রভাব ফেলতে পারে। ফার্মা হ্যাক রিডাইরেক্ট ম্যালওয়্যার থেকে সংক্রমিত হওয়া এড়াতে, আপনি নিম্নলিখিত জিনিসগুলি করতে পারেন:
- আপনার ওয়েবসাইটে দুর্বল কনফিগারেশন পরীক্ষা করুন এবং র্যান্ডম শক্তিশালী পাসওয়ার্ড ব্যবহার করুন।
- বিলুপ্ত প্লাগইন এবং থিম ব্যবহার এড়িয়ে চলুন. এই ধরনের সন্দেহজনক প্লাগইন সরান।
- আপনার CMS সংস্করণ, প্লাগইন এবং থিম আপডেট রাখুন।
- নিয়মিত নিরাপত্তা অডিট পরিচালনা করুন এবং একটি ফায়ারওয়াল ব্যবহার করুন।
যদি আপনার ওয়েবসাইট এই ধরনের ম্যালওয়্যার দ্বারা সংক্রমিত হয়, Astra এর সাথে একটি ম্যালওয়্যার ক্লিনআপ অনুরোধ উত্থাপন করুন। অ্যাস্ট্রা শুধুমাত্র আপনার সাইট পরিষ্কার করবে না। একই সাথে তা এই ধরনের যেকোনো সংক্রমণ যেন আর না হয় তাও নিশ্চিত করবে। প্রতিযোগিতামূলক দাম সহ Astra নিরাপত্তা সমাধান এর একমাত্র নির্ভরশীলতা।
এখনো আশ্বস্ত না? ফ্রি একটি ডেমো নিন এবং ওয়েবসাট পারফর্মেন্স দেখুন!
