Opencart-এ Magecart attack কী এবং কীভাবে এটি প্রতিরোধ করা যায়

  • Home
  • WordPress Security
  • Opencart-এ Magecart attack কী এবং কীভাবে এটি প্রতিরোধ করা যায়
Opencart-এ Magecart Attack

Magecart attack হল এমন একটি attack যা Web skimming কার্যক্রমের জন্য এখন অর্ধ দশক ধরে বিখ্যাত। এই attack-কারীরা প্রায়শই ক্ষতিকর JavaScript Inject করার জন্য Magento, OpenCart, Prestashop, Shopify, ইত্যাদির মতো শীর্ষ E-commerce CMSগুলিতে দুর্বলতা খোঁজে।

এই JavaScript -গুলি website-গুলিতে গ্রাহকদের Credit card-এর বিবরণের মতো sensitive, তবে বাণিজ্যিক এবং Effective data schema করতে ব্যবহৃত হয়। আমরা এই Magecart সিরিজের আগের post-এ কিভাবে Magecart, Magentoকে লক্ষ্য করে সে সম্পর্কে কথা বলেছি। এখানে আমরা OpenCart-এ Magecart attack সম্পর্কে কথা বলব – সম্পূর্ণ কার্যকর করার পদ্ধতি

OpenCart এ Magecart attack

আপনি সম্ভবত জানেন যে, E-commerce website-এর জন্য শীর্ষ তিনটি CMS এর মধ্যে রয়েছে OpenCart। জনপ্রিয়তার দিক থেকে Magento এবং Shopify-এর পরেই এটি তৃতীয় স্থানে রয়েছে। এই জনপ্রিয়তা এটিকে Magecart পরিচালকদের শীর্ষ লক্ষ্যগুলির তালিকায় স্থান দেয়।

চাঞ্চল্যকর প্রতিবেদনের পরে Magecart-এর Bleeding hunger প্রকাশ করে। RiskIQ এর গবেষক আবার OpenCart Store-গুলিতে Magecart গ্রুপ 12-এর ক্রিয়াকলাপের বিবরণ দিয়ে একটি নতুন প্রতিবেদন প্রকাশ করেছেন। এই গোষ্ঠীগুলি লুকানো এবং শিরোনামের বাইরে থাকার জন্য ছোট Store-গুলিকে লক্ষ্য করে।

Report অনুযায়ী Magecart গ্রুপ 12 এছাড়াও বিখ্যাত ফরাসি বিজ্ঞাপনদাতা Adverline-এ স্বীকৃত হয়েছে. যার কারণে Adverline পরিদর্শন করা প্রতিটি website অজান্তেই তাদের website-এ ক্ষতিকারক script Load করবে। তাছাড়াও Magecart গ্রুপ 12 নিরাপত্তা লঙ্ঘন করেছে এবং হাজার হাজার ছোট ও website-এর data চুরি করেছে যা Magento, Opencart এবং E-Commerce version চালায়।

যদি আমরা আরও সাম্প্রতিক আক্রমণের দিকে তাকাই, তবে একজন Visitor checkout page-এ যাচ্ছে তা জানার পর Magecart Opencart site-গুলিতে skimmers Inject করার জন্য Pre-filter JavaScript code ব্যবহার করছে।

কিভাবে OpenCart এ Magecart attack চালানো হয়?

এখন পর্যন্ত OpenCart-এর ক্ষেত্রে Magecart attack-এ তিনটি উপায়ে অনুপ্রবেশের খবর পাওয়া গেছে। আমি নীচে তাদের সব তালিকাভুক্ত করেছি।

By exploiting weaknesses

প্রথম উপায়, Magecart attack-কারী তাদের পরিকল্পনাটি পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে কার্যকর করে। এই দুর্বলতাগুলি হয় বিনামূল্যে online-এ পাওয়া যায় বা মূল্যের সাথে পাওয়া যেতে পারে।

Admin panel hijack করে

OpenCart store-এ Magecart attack চালানোর আরেকটি উপায় হল Brute-force attack বা phishing-এর মাধ্যমে Admin panel-এর Login credentials-গুলি ধরে রাখা।

তৃতীয় পক্ষের Seller-দের compromise করে

ব্যবহৃত তৃতীয় পদ্ধতি হল plugin এবং Theme Developer-দের মত তৃতীয় পক্ষের Seller-দের compromise. আক্রমণকারীরাও এই বাহ্যিক source-গুলির মাধ্যমে E-commerce store-এর ভিতরে Web skimmer লাগানোর জন্য তাদের পথ তৈরি করে।

Opencart এ Magecart আক্রমণ
ওয়েব স্কিম করতে ব্যবহৃত জাভাস্ক্রিপ্ট কোডের একটি উদাহরণ

OpenCart এ Magecart attack-এর প্রতিরোধমূলক ব্যবস্থা

কেউ web-এ একটি সম্পূর্ণ Hack-proof পরিস্থিতির জন্য নিশ্চিত করতে পারে না, তবে, আপনি নিশ্চিতভাবে নিরাপদ নিরাপত্তা অনুশীলন অনুসরণ করে আক্রমণ এবং তাদের তীব্রতা হ্রাস করতে পারেন। আমি নীচে তাদের কিছু তালিকাভুক্ত করেছিঃ

Up to date থাকুন

আপনি যে CMS version-এ আপনার ব্যবসা চালাচ্ছেন তা কখনই উপেক্ষা করবেন না। সর্বশেষ version-এ update না করায় শুধুমাত্র আপনার এবং আপনার website-এর জন্য আরও সমস্যা সৃষ্টি করতে পারে। পুরানো version-গুলিতে পরিচিত দুর্বলতাগুলি থাকে যা আক্রমণকারী দ্বারা খুব সহজেই কাজে লাগানো যায়।

সঠিক File এবং folder permissions Set করুন

আপনি এই সমস্যাটি মোকাবেলা করতে আপনার website-এর প্রতিটি এEntry point-কে শক্ত করেন। আপনার website-এর জন্য কঠোর File permissions Set করুন। এখানে একটি Article দেয়া হলো, আপনি এটি কিভাবে কবেন তার একটি ভাল ধারণা পেতে দেখতে পারেন।

একটি Security solutions ব্যবহার করুন

একটি বিশ্বস্ত এবং উপযুক্ত Security solutions হতে পারে জীবন রক্ষাকারী। Astra এর মত একটি Firewall website-এ যেকোনো অনুমোদনহীন অনুপ্রবেশকে বাধা দেয়। এটি 100+ পরিচিত cyber attack-এর প্রচেষ্টাকে Block করে। যার মধ্যে কয়েকটি হল SQLi, Rfi/lfi, XSS, CSRF, Owasp top 10, ইত্যাদি। তাছাড়া, Astra-এর স্বয়ংক্রিয় Malware scanner আপনার website-এর নিয়মিত scanning সহজ করে। এই scanner দিয়ে, আপনি একটি button-এ click করে আপনার website Scan করতে পারেন।

উপসংহার

Magecart attack-গুলি Cyberspace-এ একমাত্র Web skimming গ্রুপ নয়। এমন শত শত Hacker আছে যারা Web প্রদান করে সুবিধা নেয়। কিন্তু আমরা আক্রমণকারীদের চেয়ে বুদ্ধিমান হয়ে এর প্রতিটি প্রচেষ্টাকে নিরুৎসাহিত করতে পারি। এবং, আমাদের website-গুলিতে আরও ভাল সুরক্ষা পদ্ধতি বোঝানো হচ্ছে যা দিয়ে আমরা শুরু করতে পারি।

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by. If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.