PHP/ApiWord ম্যালওয়্যার হচ্ছে এমন একটি ম্যালওয়্যার যা অনেক ওয়ার্ডপ্রেস সাইট সংক্রমিত করে। অনেক ওয়ার্ডপ্রেস সাইট functions.php ফাইলের শীর্ষে যোগ করা একটি ম্যালওয়্যার কোড আবিষ্কার করেছে, যাকে কাজে লাগিয়ে, ম্যালওয়্যার নির্মাতা তাদের ইচ্ছামত যেকোন ক্ষতি করতে পারে। ইনজেকশন করা কোডটি আসে ApiWord ম্যালওয়্যার থেকে যা শুধুমাত্র post.php এবং functions.php-এ পরিবর্তনই তৈরি করে না, বরং একটি ব্যাকডোর: /wp-includes/class.wp.php-এ একটি ফাইলও তৈরি করে।
ওয়ার্ডপ্রেস দ্বারা স্বীকৃত যেকোন থিমের জন্য functions.php ফাইলের উপস্থিতি অপরিহার্য – এবং তাই প্রতিটি পৃষ্ঠা দেখার সময় কার্যকর করা হয়। তাই এটিকে আক্রমণের জন্য লক্ষ্যবস্তু করে তোলা হয় ।
আপনার ওয়ার্ডপ্রেস ওয়েবসাইট সুরক্ষিত রাখুন, হ্যাকাররা হ্যাক করার চেষ্টা করার আগেই!
Astra ওয়েবসাইট সুরক্ষা হাজার হাজার ওয়ার্ডপ্রেস সাইটকে সাইবার আক্রমণ প্রতিরোধে সহায়তা করেছে।
ApiWord ম্যালওয়্যার সম্পর্কে
একটি দৃষ্টান্তে, সংক্রামিত কোডটি woocommerce-direct-download নামে একটি ক্ষতিকারক প্লাগইনের functions.php ফাইলে পাওয়া গেছে। এই প্লাগইনটিতে woocp.php নামে একটি ক্ষতিকারক স্ক্রিপ্ট রয়েছে যা কিছু অস্পষ্ট পিএইচপি কোড হোস্ট করে। এক্সিকিউশনের এই স্ক্রিপ্টটি সমস্ত functions.php ফাইলগুলিতে দূষিত কোড ইনজেক্ট করে।
একবার সংক্রমিত হলে, স্ক্রিপ্টটি একটি ব্যাকডোর তৈরি করে, যা আক্রমণকারী বিভিন্ন উপায়ে অপব্যবহার করতে পারে। ব্যাকডোর পিএইচপি স্ক্রিপ্ট অপব্যবহার করা যেতে পারে এমন কয়েকটি উপায় হল:
- সাইটে ইচ্ছা মতো পোস্ট যোগ করা বা সংশোধন করা।
- সার্ভারে সমস্ত ওয়ার্ডপ্রেস ওয়েবসাইট সংক্রামিত করা।
- ApiWord এর ডোমেন থেকে আনা PHP ফাইল সার্ভারে নতুন করে তৈরি করা।
PHP/ApiWord ম্যালওয়্যার wp-includes/post.php ফাইলে কোড স্নিপেট যোগ করে। এটি তারপর wp-includes/wp-cd.php একটি ফাইল তৈরি করে। নীচে বেস 64 ডিকোড দেওয়া হল:
সম্পর্কিত ব্লগ – কিভাবে ওয়ার্ডপ্রেসে wp-vcd ম্যালওয়্যার ঠিক করবেন
ডিকোডিং এ, এটি এই মত দেখায়:
কিভাবে ApiWord ম্যালওয়্যার সনাক্ত করতে হয়
এটা জানা অত্যাবশ্যক যে ম্যালওয়্যার কোড প্রতিটি functions.php ফাইলের শীর্ষে যোগ করা হয়েছে যা প্রতিটি ইনস্টল করা থিমের রুট ডিরেক্টরির মধ্যে পাওয়া যায়।
উদাহরণস্বরূপ, যদি ওয়ার্ডপ্রেস সাইটে “MyTheme” নামে একটি থিম থাকে, তাহলে ম্যালওয়্যার কোডটি wp-content/themes/MyTheme/functions.php ফাইলে যোগ করা হবে।
ম্যালওয়্যার কোড ধারণ করার জন্য পরিচিত ফাইল পাথ হল “@file_puts_contents($_SERVER[‘DOCUMENT_ROOT’].’/wp-includes/class.wp.php’,file_get_contents)”।
এই কোডটিতে মূলত wp_cd_code নামে একটি ভ্যারিয়েবেল হিসেবে একটি স্বাক্ষর আকারে থাকবে। এটি সংক্রামিত ফাইল সনাক্ত করতে সাহায্য করতে পারে।
ব্যবহারকারী যদি ইউনিক্স-ভিত্তিক ওএস চালায়, তাহলে আপনার সার্ভারের ওয়েব-রুটের রুট ডিরেক্টরিতে নিম্নলিখিত কমান্ডটি চালিয়ে সমস্ত সংক্রামিত ফাইলের তালিকা বের করতে পারেন:
find -iname '*.php' -print0 | xargs -0 egrep -in 'wp_cd_code'
এটি কার্যকর করা স্বাক্ষর স্ট্রিংয়ের জন্য একটি পুনরাবৃত্ত অনুসন্ধান শুরু হবে “wp_cd_code সমস্ত .php ফাইলের মাধ্যমে। আউটপুট তখন ফাইল পাথ এবং সার্চ স্ট্রিং ধারণকারী লাইন নম্বর উপস্থাপন করবে।
PHP/ApiWord ম্যালওয়্যার কোড কি করে?
সহজ কথায়, কোড ইনজেক্টর প্রতিটি সাইটের জন্য ক্ষতিকারক কোড কনফিগার করে। এরপর পিএইচপি ফাইলে ইনজেক্ট করে, যা প্রতিটি ব্যবহারকারীর রিকোয়েস্ট এ চলবে – যা আক্রমণকারীকে রিপোর্ট করা হয়। এই কোডটি HTTP অনুরোধে পাস করা ভেরিয়েবলের অ্যাকশন এবং পাসওয়ার্ড পরীক্ষা করে। যদি পাসওয়ার্ডটি হার্ড-কোডেড হ্যাশের সাথে মেলে (যা কোড ইনজেক্টর দ্বারা তৈরি করা হয়) তাহলে ইনজেক্ট করা কোডটি অ্যাকশন ভেরিয়েবলের বিষয়বস্তুর উপর ভিত্তি করে একটি কাজ সম্পাদন করে।
আক্রমণকারী লগ ইন করার স্বাভাবিক রুট অনুসরণ না করেই আপনার ওয়েবসাইটে প্রশাসক সুবিধা পেতে জেনারেট করা পাসওয়ার্ড ব্যবহার করতে পারে। এটি তাদের নির্দিষ্ট কিছু কাজের সুবিধা প্রদান করে যেমন ইচ্ছাকৃত বিষয়বস্তু যোগ করা এবং আপনার সংক্রামিত সাইটে পোস্ট পরিবর্তন করা।
PHP/ApiWord ম্যালওয়্যার হ্যাক অপসারণ
ApiWord ম্যালওয়্যারের সংক্রমিত সাইটের থিম ডিরেক্টরির প্রতিটি function.php ফাইল থেকে সমস্ত ব্যাকডোর কোড অপসারণের জন্য করা দরকার । আপনি এই চেকলিস্ট অনুসরণ করে করতে পারেন :
- ক্ষতিকারক কোডের জন্য প্রতিটি functions.php ফাইল পরীক্ষা করুন। সংশ্লিষ্ট কোড এর মধ্যে <? php?> ব্লক এ পাওয়া যাবে ম্যালওয়্যারের সংক্রমিত কোডটি । তাই এই ব্লকটি সম্পূর্ণভাবে মুছে ফেলা একটি ভাল কাজ হবে ।
- কোড ইনজেক্টরটি এখনও বিদ্যমান থাকলে অবিলম্বে সরিয়ে ফেলতে হবে। উদাহরণস্বরূপ, ক্ষেত্রে woocommerce-direct-download প্লাগইন, কোড ইনজেক্টরটি woocp.php নামক একটি ফাইলে থাকবে, যা আপনাকে মুছে ফেলতে হবে।
- <wp_prefix>_datalist এবং <wp_prefix>_install_meta টেবিলের জন্য দেখুন: এটি একটি নোট রাখুন, কারণ এটি পরিবর্তন করা পোস্টগুলি খুঁজে পেতে সাহায্য করতে পারে৷ তারপর, আপনি এই টেবিল মুছে নিশ্চিত করুন.
- স্বাক্ষর ভেরিয়েবল “wp_cd_code” এর জন্য সমস্ত পোস্ট স্ক্যান করুন এবং প্রতিটি সংক্রমিত পোস্টের জন্য এই DIV সরান।
- সার্ভারে সম্প্রতি পরিবর্তিত ফাইলগুলো পরীক্ষা করুন৷ SSH এর মাধ্যমে আপনার ওয়েব সার্ভারে লগইন করুন এবং অতি সম্প্রতি পরিবর্তিত ফাইলগুলো খুঁজে পেতে নিম্নলিখিত কমান্ডটি চালান: খুঁজুন /path-of-www -type f -printf ‘%TY-%Tm-%Td %TT %p\n’ | sort -r
কিভাবে ApiWord ম্যালওয়্যার দ্বারা সংক্রমিত হওয়া প্রতিরোধ করা যায়?
300+ পরীক্ষার পরামিতি সহ চূড়ান্ত ওয়ার্ডপ্রেস নিরাপত্তা চেকলিস্ট নিচে দেওয়া হল:
- ফাইল ব্যবহারকারী এবং অনুমতি আপডেট করুন: আরও সীমাবদ্ধ হতে আপনার ওয়েবসাইটের ফাইলের অনুমতি পরিবর্তন করার কথা বিবেচনা করুন। ফোল্ডার এবং ফাইলের জন্য ডিফল্ট অনুমতি স্কিম যথাক্রমে 750 এবং 640 হওয়া উচিত। আপনি একটি FTP/SFTP ক্লায়েন্টের মাধ্যমে অনুমতি পরিবর্তন করতে পারেন। আপনি যদি কমান্ড লাইনের মাধ্যমে অনুমতি পরিবর্তন করতে চান তবে নিম্নলিখিত কমান্ডগুলি পুনরাবৃত্তিমূলকভাবে চালান:
- সার্ভারে তৈরি করা নতুন ফাইলগুলো মনিটর করুন: Astra এর মতো একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) যখন স্থাপন করা হয়, তখন সার্ভারে তৈরি হওয়া নতুন/মুছে ফেলা/সংশোধিত ফাইলগুলির জন্য স্ক্রোর করে এবং নিয়মিতভাবে ম্যালওয়্যারের জন্য স্ক্যান করে।
- পাইরেটেড থিম ব্যবহার করা এড়িয়ে চলুন: এটি শুধুমাত্র অফিসিয়াল ওয়েবসাইট থেকে থিম ব্যবহার করার পরামর্শ দেওয়া হয়।
- দেরি না করে সকল ওয়ার্ডপ্রেস আপডেট ইন্সটল করুন: ওয়ার্ডপ্রেস নিয়মিতভাবে আপডেট এবং প্লাগইন প্রকাশ করে যেকোন প্রকাশিত দুর্বলতা মোকাবেলা করার জন্য। Astra এর ওয়ার্ডপ্রেস নিরাপত্তা আপনার ওয়ার্ডপ্রেস সাইটের জন্য আপডেট এবং প্লাগইনগুলোর সময়মত বিজ্ঞপ্তি নিশ্চিত করে।
ApiWord ম্যালওয়্যার: উপসংহার
ম্যালওয়্যার সর্বদা পরিবর্তিত হয় এবং আপনার ওয়েবসাইট এমনকি আপনার খ্যাতিও প্রভাবিত করতে পারে। আপনার ওয়েবসাইট থেকে ম্যালওয়্যার সরানো একটি অংশ, আপনি সংক্রমণ থেকে নিরাপদ তা নিশ্চিত করার জন্য আরও স্থায়ী কিছু প্রয়োজন – যেমন Astra এর নিরাপত্তা স্যুট!
ওয়ার্ডপ্রেস সম্প্রদায়ের সাম্প্রতিক ঘটনাগুলি সম্পর্কে জানতে বা আপডেট রিলিজ সম্পর্কে বিজ্ঞপ্তি পেতে, ওয়ার্ডপ্রেস সিকিউরিটিতে আমাদের ব্লগ লেখাটি পড়ে দেখুন।
অ্যাস্ট্রা সিকিউরিটি স্যুট সম্পর্কে
Astra হল অপরিহার্য ওয়েব নিরাপত্তা স্যুট যা আপনার জন্য হ্যাকার, ইন্টারনেট হুমকি এবং বটদের বিরুদ্ধে লড়াই করে। আমরা জনপ্রিয় CMS-এর মতো আপনার ওয়েবসাইটগুলোর জন্য সক্রিয় নিরাপত্তা প্রদান করে থাকি। ওয়ার্ডপ্রেস OpenCart, Magento, ইত্যাদি। আপনার যদি এই সম্পর্কে কোন প্রশ্ন থাকে তাহলে অবশ্যই করতে পারেন।
আমাদের ইন্টেলিজেন্ট ফায়ারওয়াল এবং ম্যালওয়্যার স্ক্যানার দেখুন।
কর্মে
খারাপ বট, SQLi, RCE, XSS, CSRF, RFI/LFI এবং হাজার হাজার সাইবারট্যাক এবং হ্যাকিং প্রচেষ্টা বন্ধ করুন।
ট্যাগ: apiword, apiword ম্যালওয়্যার