ওয়ার্ডপ্রেস ম্যালওয়্যার ক্যাম্পেইন ব্যবহার করা হয় বিভিন্ন এ্যাপ্লিকেশনে। এরকমই একটি ম্যালওয়্যার ক্যাম্পেইন শুরু হয়েছে .Bt WordPress হ্যাক দিয়ে। এই নামকরণ করা হয়েছে কারণ এই ধরনের সংক্রমণ রুট ডিরেক্টরি বা “wp-admin” বা “wp-admin/css” ডিরেক্টরির অধীনে আপনার ওয়ার্ডপ্রেস সাইটে .bt এক্সটেনশন সহ ফাইল তৈরি করে। এখানে আপনি হ্যাক হওয়ার কারণ, লক্ষণ, সনাক্তকরণ এবং অপসারণ পাবেন।
ব্যাপকভাবে জনপ্রিয় হওয়ার কারণে, ওয়ার্ডপ্রেস প্রায়ই ইন্টারনেটে খারাপ হ্যাকিং ক্যাম্পেইনর শিকার হয়। এই ক্যাম্পেইনগুলি হ্যাকারের উদ্দেশ্য, ব্যবহার করা অস্পষ্টতা ইত্যাদি বিষয়গুলির উপর ভিত্তি করে তৈরি হয়। যা একে অপরের থেকে পরিবর্তিত হতে পারে। যাইহোক, একটি জিনিস সবার জানা যে হ্যাকড ওয়ার্ডপ্রেস সাইট একটি মাধ্যম হিসাবে ব্যবহৃত হয় সব ধরনের খারাপ উদ্দেশ্য।
এই ধরনের একটি ম্যালওয়্যার সংক্রমণ হল .Bt WordPress হ্যাক। এখানে আপনি হ্যাক হওয়ার কারণ, লক্ষণ, সনাক্তকরণ এবং অপসারণ পাবেন। তাছাড়া, আপনার আরও ভালোভাবে বোঝার জন্য আমরা ম্যালওয়্যারের কার্যকারিতাও নিয়ে আলোচনা করব।
.Bt WordPress হ্যাক এর পিছনে সাধারণ কারণ
“.Bt WordPress হ্যাক” এর কিছু সাধারণ কারণ হল:
- পুরানো এবং অখ্যাত প্লাগইন.
- ত্রুটিপূর্ণ থিম।
- পুরানো পিএইচপি ভার্সন।
- দুর্বল পাসওয়ার্ড।
- সার্ভারের ভুল কনফিগারেশন।
.Bt WordPress হ্যাক ম্যালওয়্যারের কোড বিশ্লেষণ
এই সংক্রমণের প্রাথমিক সনাক্তকরণ হল .bt ফাইল এ IP এড্রেসের একটি তালিকা রয়েছে ৷ আপনি এই ফাইলটি মুছে ফেললে, এটি আবার চলে আসরে কারণ সংক্রমণটি .bt ফাইলে থাকে না। সংক্রমণটি সাধারণত ওয়ার্ডপ্রেস ফাইলে থাকে যেমন:
- wp-load.php
- wp-settings.php
- /wp-content/themes//functions.php
- /wp-includes/functions.php
এই ফাইলগুলিতে ক্ষতিকারক কোডটি অস্পষ্ট থাকে এবং এইরকম কিছু দেখায়:
কোডটিতে দেখা যায় যে , সন্দেহ এড়াতে ম্যালওয়্যারটি প্রথমে সমস্ত ত্রুটি বার্তা নিষ্ক্রিয় করে।
ধাপ 1: ম্যালওয়্যার ডাউনলোড করা
.Bt ওয়ার্ডপ্রেস হ্যাক-এ, ক্ষতিকারক পেলোড সার্ভারে থাকে না বরং একটি বাহ্যিক উৎস থেকে ডাউনলোড করা হয়। এটি সম্পন্ন করার জন্য, এই ম্যালওয়্যারটি প্রথমে পরীক্ষা করে যে “allow_url_fopen” যা PHP এর wrapper এ রয়েছে কিনা । এইক্ষেত্রে, এটি না খাকলে, ম্যালওয়্যারটি PHP এর cURL লাইব্রেরি ব্যবহার করে । যা একটি ফাংশন “get_data_ya()” ব্যবহার করে ম্যালওয়্যারটি ডাউনলোড করে . যে URL থেকে ক্ষতিকারক ম্যালওয়্যারটির ফাইল ডাউনলোড করেছিল, তা হল hxxp://lmlink1[.]top/lnk/inj[.]php.
ধাপ 2: ম্যালওয়্যার লুকানো
তারপরে, ডাউনলোড করা ডেটা একটি সাধারণ XOR এনক্রিপশন ব্যবহার করে লুকানো হয়ে থাকে । এটি ফাংশনে “wp_cd()” ম্যালওয়্যার যা ইনপুট প্যারামিটার হিসাবে ডেটা এবং কী গ্রহণ করে এবং আউটপুট হিসাবে প্রদান করে XOR এনক্রিপ্ট করা তা ব্যবহার করে।
ধাপ 3: ম্যালওয়্যার লেখা
একবার এনক্রিপ্ট করা পেলোড প্রস্তুত হয়ে গেলে, ম্যালওয়্যার লিখনযোগ্য/রাইটএবেল সাবডিরেক্টরিগুলির জন্য অনুসন্ধান করে ৷ যদি এই ধরনের কোনো ডিরেক্টরি পাওয়া না যায়, তাহলে এটি বর্তমান ডিরেক্টরির ভিতরে লেখার চেষ্টা করে।
ডাউনলোড করা ক্ষতিকর পেলোডটি আন-এনক্রিপ্ট করা হলে এবং নিম্নের কিছু কোড দেখতে পাবেন।
এখানে এটি লক্ষণীয় যে, পেলোডে শুরু এবং শেষ করার জন্য পিএইচপি ট্যাগ থাকে না। তবে তা পরে একটি সাবডিরেক্টরিতে লেখার সময় যোগ করা হয়।
আপনার ওয়ার্ডপ্রেস ওয়েবসাইট সুরক্ষিত করুন হ্যাকাররা হ্যাক করার চেষ্টা করার আগেই!
Astra ওয়েবসাইট সুরক্ষা হাজার হাজার ওয়ার্ডপ্রেস সাইটকে সাইবার আক্রমণ প্রতিরোধে সহায়তা করেছে।
ধাপ 4: পেলোড চালানো
একবার পেলোড সফলভাবে একটি সাবডিরেক্টরির ভিতরে লেখা হয়ে গেলে, এটি পিএইচপি এর “include()” স্ট্যাটমেন্ট ব্যবহার করে। এই পেলোডটি তারপর .bt ফাইল তৈরি করে যাতে সার্চ ইঞ্জিন বটের আইপি ঠিকানা থাকে। পেলোড এছাড়াও ফার্মা স্প্যাম হিসেবে ব্যবহার করা হয় যা নিচের কোডে দৃশ্যমান।
.bt ফাইলগুলি সম্ভবত সার্চ ইঞ্জিন বটগুলিতে স্প্যাম পাঠানো থেকে বিরত থাকে এবং তা সাইটের কালো তালিকাভুক্তি এড়াতে ব্যবহৃত হয়। পেলোড তৈরি করা হয় বিভিন্ন ক্ষতিকারক কমান্ড গ্রহণ করে যা পরে সংক্রামিত ওয়ার্ডপ্রেস সাইটে কার্যকর করা হয়।
ধাপ 5: পেলোড মুছে ফেলা হচ্ছে
অবশেষে, আক্রমণের কাজ শেষ হয়ে গেলে, ম্যালওয়্যারটি ফাইলগুলি মুছে দেয় PHP এর ফাংশন unlink() ব্যবহার করে কোনো ধরনের সন্দেহ এড়াতে । অতএব, এই ম্যালওয়্যারটি দীর্ঘ সময়ের জন্য দৃষ্টির আড়ালে থাকে কারণ এটি ক্ষতিকারক পেলোড সংরক্ষণ করে না। তবে এটি ডাউনলোড করে ব্যবহার করে এবং কাজটি শেষ হয়ে গেলে এটি মুছে দেয়।
কিভাবে আপনি .Bt WordPress হ্যাক সনাক্ত এবং পরিষ্কার করতে পারেন?
পদ্ধতি 1: ফাইলগুলি পরীক্ষা করুন .বিটি বা .r এক্সটেনশন কিনা
একটি হিউরিস্টিক পরীক্ষা হিসাবে, আপনি অনুসন্ধান করতে পারেন যে, ” .bt” অথবা “.r” এক্সটেনশন নিয়ে কোনো ফাইল আপনার সার্ভারে উপস্থিত আছে কিনা । আর এই কাজটি করতে ফাইল ম্যানেজার ব্যবহার করুন।
বিকল্পভাবে, SSH এর মাধ্যমে আপনার সার্ভারে লগইন করুন এবং নিচের কমান্ডটি চালান:
find . -name '*.bt' -print
.Bt ওয়ার্ডপ্রেস হ্যাক আরও নিশ্চিত করতে, ক্ষতিকারক কোডের জন্য ওয়ার্ডপ্রেস ফাইলের ভিতরে অনুসন্ধান করুন। SSH কনসোলে, কমান্ডটি চালান:
find . -name "*.php" -exec grep " $ea="_shaesx_"; $ay = 'get_data_ya'; $ae="decode";"'{}'; -print &> list.txt
এই কমান্ডটি list.txt ফাইলে আউটপুট সংরক্ষণ করবে। এই ম্যালওয়্যার রয়েছে এমন ফাইলটি খুলুন এবং ক্ষতিকারক কোডটি সরান। যদি আপনি অনিশ্চিত হন যে ক্ষতিকারক কোড কি এবং আসল ফাইল কোড কি? শুধুমাত্র দূষিত কোড দেখতে এই লিঙ্কে যান এবং সেই অনুযায়ী এটি সরাতে পারবেন। আপনি এখনও অনিশ্চিত হলে, সন্দেহজনক কোড মন্তব্য করুন এবং সাহায্য পান আমাদের থেকে।
পদ্ধতি 2: মূল ফাইলের অখণ্ডতা পরীক্ষা করুন
আরেকটি পদ্ধতি হল মূল ফাইলের অখণ্ডতা পরীক্ষা করা। এটি করতে, SSH এর মাধ্যমে আপনার ওয়েব সার্ভারে লগ ইন করুন এবং তারপর:
ধাপ 1: ওয়ার্ডপ্রেসের একটি নতুন কপি ডাউনলোড করার জন্য একটি নতুন ডিরেক্টরি তৈরি করুন ।এ্ররপর কমান্ড ব্যবহার করে এটিতে নেভিগেট করুন:
$ mkdir WordPress
$ cd WordPress
ধাপ ২: ডাউনলোড করুন এবং এক্সট্রাক্ট করুন ওয়ার্ডপ্রেসের সর্বশেষ সংস্করণ কমান্ড ব্যবহার করে:
$ wget https://github.com/WordPress/WordPress/archive/<latest version>.tar.gz
$ tar -zxvf <latest version>.tar.gz
এখানে <সর্বশেষ সংস্করণ> ওয়ার্ডপ্রেস উপলব্ধ সর্বশেষ সংস্করণের সাথে প্রতিস্থাপন করুন । যেমন https://github.com/WordPress/WordPress/archive/5.3.tar.gz
ধাপ 3: এখন কোন সন্দেহজনক কোড উন্মোচন করতে diff কমান্ড ব্যবহার করে ফাইলগুলির তুলনা করুন।
$ diff -r path/to/your/file/wp-load.php /Wordpress/wp-load.php
.
ধাপ 4: আপনি যদি কোনো দূষিত কোড খুঁজে পান, এটি সরিয়ে ফেলুন বা সাহায্য পান।
Astra এখানে সাহায্য করতে পারে !
অ্যাস্ট্রা সিকিউরিটি একটি সাশ্রয়ী মূল্যের নিরাপত্তা সমাধান অফার করে। আর তাই নিজেকে Astra ওয়েব সুরক্ষার অভিজ্ঞতা নিন।
আমাদের 7 দিনের ফ্রি ট্রায়াল অফার সহ!
Astra প্রতি মাসে 7 মিলিয়ন+ বাজে আক্রমণ বন্ধ করে! অনেক দেরি হওয়ার আগেই Astra দিয়ে আপনার সাইটকে সুরক্ষিত করুন।
আপনার কি কিছু প্রশ্ন আছে? আমাদের কমেন্ট বক্সে সরাসরি তাদের গুলি করুন বা নিরাপত্তা বিশেষজ্ঞের সাথে চ্যাট করুন। আমরা সবসময় উত্তর দেওয়ার প্রতিশ্রুতি দিচ্ছি 🙂