ওয়ার্ডপ্রেসে WP-VCD ম্যালওয়্যার , wp-vcd.php ফাইলের নামানুসারে ওয়ার্ডপ্রেস স্পেসে বেশ বিপর্যয় সৃষ্টি করছে। এক বছরেরও বেশি সময় আগে আমাদের নিরাপত্তা হুমকি গোয়েন্দা দলের দ্বারা এটি প্রথম সনাক্তকরণের পর থেকে, এই ম্যালওয়্যারটি বিবর্তিত হয়েছে ।পরবর্তিতে আরও পরিশীলিত হয়েছে এটি৷ এই কুখ্যাত ম্যালওয়্যারের বিবর্তন এবং কীভাবে আপনার ওয়েবসাইটে wp-vcd ম্যালওয়্যার সংক্রমণ ঠিক করা এবং প্রতিরোধ করা যায় সে সম্পর্কে আমাদের গবেষণা এখানে রয়েছে৷
ওয়ার্ডপ্রেসে WP-VCD ম্যালওয়্যার-এর লক্ষণ:
- ওয়ার্ডপ্রেসে নতুন অ্যাডমিন ব্যবহারকারী যোগ করা হয়েছে: আমরা দেখেছি হ্যাকাররা অ্যাডমিনিস্ট্রেটর বিশেষাধিকার সহ ওয়ার্ডপ্রেসে ব্যবহারকারী হিসেবে নিজেদের যুক্ত করে।
- উচ্চ সম্পদ খরচ: WP-VCD ম্যালওয়্যার পরিচিত আপনার সার্ভার সংস্থানগুলিকে গ্রাস করতে৷ আমরা হোস্টিং কোম্পানিগুলিকে কারণ হিসাবে ‘উচ্চ সম্পদের ব্যবহার’ উল্লেখ করে অ্যাকাউন্ট স্থগিত করতে দেখেছি।
- ওয়েবসাইট লোড টাইম স্লো ডাউন: প্রায়শই ওয়ার্ডপ্রেসে WP-VCD ম্যালওয়্যার দ্বারা সংক্রামিত ওয়েবসাইটগুলির লোডিং এর সময় খুব খারাপ ভাবে প্রভাবিত হয়। কিছু ক্ষেত্রে, আমরা এমন ওয়েবসাইট দেখেছি যেগুলি লোড হতে সাধারণত 2-3 সেকেন্ড সময় নেয় । আবার অনেক সময় লোড হতে 30 সেকেন্ডের বেশি সময় নেয়!
- অজানা জাভাস্ক্রিপ্ট কোড: আমরা অজানা জাভাস্ক্রিপ্ট কোড দেখেছি , যা কিছু গুরুত্বপূর্ণ WP ফাইল যেমন functions.php, index.php, বা প্রায় সমস্ত মূল WP ফাইলে যোগ করা হয়েছে। দ্বিতীয়টি সাধারণত একটি দুঃস্বপ্ন এর মতো দেখা দেয়, যা প্রায়শই ওয়েবসাইটটিকে খারাপ ডোমেনেও পুনঃনির্দেশিত করে।
- মূল ফোল্ডারের মধ্যে খারাপ পিএইচপি কোড: ওয়ার্ডপ্রেসের মধ্যে বিভিন্ন জায়গায় ‘WP-VCD’ কোড যোগ করা হয়েছে। যেখান থেকে ওয়ার্ডপ্রেসে WP-VCD ম্যালওয়্যার এর নাম এসেছে। এর নাম থেকে, কেউ অনুমান করতে পারে যে ফাইলটি ওয়ার্ডপ্রেসের একটি অংশ। কিন্তু কোড-বিশ্লেষণে দেখা যাচ্ছে আসলে এটি ম্যালওয়্যার। এখানে একটি WP-VCD ম্যালওয়্যারের উদাহরণ রয়েছে যা WP-includes ডিরেক্টরির মধ্যে লুকিয়ে আছে, Astra Security এর ম্যালওয়্যার স্ক্যানার দ্বারা পতাকাঙ্কিত।
WP-VCD ভাইরাস সংক্রমণের প্রধান কারণ:
একবার সংক্রমিত হলে, সংক্রমণ অপসারণ করা এবং আপনার ওয়ার্ডপ্রেসকে জলরোধী সুরক্ষিত নিশ্চিত করা অত্যাবশ্যক। একই সময়ে, প্রথম স্থানে সংক্রমণের উত্স কী হতে পারে তা জানাও সমান গুরুত্বপূর্ণ। এমন কয়েকটি এন্ট্রি পয়েন্টের মধ্যে রয়েছে যা আমরা চিহ্নিত করেছি, ওয়ার্ডপ্রেসে WP-VCD ম্যালওয়্যার এর সংক্রমণের প্রধান কারণ:
- পাইরেটেড এবং বাতিল থিম: WP-VCD ম্যালওয়্যার একটি প্রদত্ত থিম/প্লাগইনের পাইরেটেড সংস্করণের সাথে আগে থেকে ইনস্টল করা হয়। এই বাতিল (পাইরেটেড) থিম এবং প্লাগইনগুলিতে ক্ষতিকারক স্ক্রিপ্ট রয়েছে। আপনি যখন এগুলি ইনস্টল করেন তখন তা স্থাপন করা হয়৷ একটি বাতিল থিমের মাধ্যমে আপনার ওয়েবসাইটে ঢুকার পরে, এটি আপনার সাইটের প্রতিটি অন্যান্য থিমকে সংক্রামিত করে। একটি শেয়ার্ড সার্ভারের ক্ষেত্রে, এই ম্যালওয়্যারটি সেই সার্ভারে হোস্ট করা প্রতিটি অরক্ষিত সাইটকে সংক্রমিত করার জন্য প্রচার করে। এই কারণেই আমরা প্রায়শই দেখি, এই ম্যালওয়্যারটি একই সার্ভারের সমস্ত ওয়েবসাইটকে সংক্রামিত করে।আর এটি আক্রমন করে যখন সেগুলি কন্টেইনারাইজড না থাকে৷
- আন-আপডেট করা প্লাগইন এবং থিম: এটি প্রায় সমস্ত ওয়ার্ডপ্রেস সংক্রমণের শীর্ষ কারণগুলির মধ্যে একটি। যাইহোক, সংক্রমণ হওয়ার পরে সমস্ত থিম/প্লাগইন আপডেট করার অর্থ এই নয় যে, সংক্রমণ চলে যাবে। সংক্রমণ পরিষ্কার করা এখনও প্রয়োজন এবং তাই সক্রিয় নিরাপত্তা নিশ্চিত করাও অত্যন্ত জরুরী।
- ওয়েবসাইটে কোনো সক্রিয় নিরাপত্তা নেই: সত্যি বলতে, হ্যাকাররা বছরের পর বছর ধরে তাদের কৌশল বিকশিত করেছে। তারা এই ধরনের হ্যাক থেকে হাজার হাজার ডলার লাভ করে। যার মানে তারা এই হ্যাকগুলিকে স্বয়ংক্রিয়ভাবে হাজার হাজার/লক্ষ লক্ষ ওয়েবসাইটকে একবারে সংক্রমিত করতে শত শত ডলার ব্যয় করতে পারে। এই ধরনের বিবর্তিত বিরুদ্ধে রক্ষা করা ওয়ার্ডপ্রেস হ্যাক কৌশল ।একটি ছোট বিনিয়োগ নিরাপত্তা টুল অনেক লম্বা পথ যায়। এই ধরনের সময়ে আপনার মাথাব্যথা বাঁচায় এবং ডাউনটাইম থেকে এসইও/বিপণন/বিক্রয় ক্ষতি প্রতিরোধ করা আরেকটি অতিরিক্ত সুবিধা।
প্রতিদিন 30,000 ওয়েবসাইট হ্যাক হয়।
খুব দেরি হওয়ার আগে ওয়েবসাইট সুরক্ষা ব্যবহার করে ম্যালওয়্যার এবং হ্যাকারদের থেকে আপনার ওয়েবসাইটকে সুরক্ষিত করুন৷
আপনি পরবর্তী?
WP-VCD ম্যালওয়্যার ঠিক কিভাবে কাজ করে?
WP-vcd ঠিক কী করে এবং কীভাবে এটি আপনার ওয়েবসাইটকে আপনার সমস্ত মূল্যবান সার্ভার সংস্থানগুলিকে ধীর করে দিতে সক্ষম তা বোঝা সত্যিই গুরুত্বপূর্ণ।
যখন আপনার ওয়েবসাইটে খারাপ কোড ঢোকানো হয়, তখন এটি সাধারণত functions.php/index.php-এর মতো মূল ফাইলে বসে। এখন, এই খারাপ কোডটি আপনার ওয়েবসাইটের ফাইলগুলিতে কল করে। যখন আপনার ওয়েবসাইট ব্রাউজার থেকে খোলা হয়, তখন এটি সেই ফাইলগুলিতে পৌঁছানোর চেষ্টা করে। যেখানে ম্যালওয়্যার কল করছে৷ এবং এই ফাইলগুলি আপনার ওয়েবসাইটে উপস্থিত থাকতে পারে বা নাও থাকতে পারে। যার ফলে functions.php আবার কার্যকর হতে পারে। মূলত ওয়েবসাইট লোডিং প্রক্রিয়াটিকে একটি বড় লুপে নিয়ে আসতে পারে। নিরাপত্তার ভাষায় একে ‘ফর্কবোম’ বলা হয়।
“কম্পিউটিংয়ে, একটি ফর্ক বোমা (যাকে খরগোশের ভাইরাস বা ওয়াবিটও বলা হয়) যা একটি অস্বীকৃত-অফ-সার্ভিস আক্রমণ।যেখানে একটি প্রক্রিয়া ক্রমাগতভাবে উপলব্ধ সিস্টেম সংস্থানগুলিকে হ্রাস করতে, সম্পদের অনাহারের কারণে সিস্টেমটি ধীর বা বিপর্যস্ত করার জন্য নিজেকে প্রতিলিপি করে।”
ধাপ 1: দূষিত স্ক্রিপ্ট স্থাপন করে
মধ্যে functions.php আপনার থিমের মধ্যে ফাইল, আপনি এই অনুরূপ কিছু কোড দেখতে পাবেন:
<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>এই কোডটি ডিপ্লোয়ার স্ক্রিপ্ট উপলব্ধ আছে কিনা তা পরীক্ষা করে। আর পরবর্তীতে সেগুলি কার্যকর করে। আপনি উপরের কোডে দেখতে পাচ্ছেন, যে ফাইলটিকে কল করা হয়েছে সেটি হল class.theme-modules.php ফাইল। এখন সংক্রমণ কোথা থেকে আসে তার উপর নির্ভর করে (যেমন থিম বা প্লাগইন), দূষিত স্ক্রিপ্ট ফাইলে থাকবে class.theme-modules.php বা class.plugin-modules.php যথাক্রমে
ধাপ 2: ব্যাকডোর তৈরি করে
<?php
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...এই কোডটি একটি নতুন অ্যাডমিন ব্যবহারকারী তৈরি করে যার নাম অনুরূপ 100010010। এই ব্যাকডোর অ্যাডমিন অ্যাকাউন্টের উদ্দেশ্য হল, নিশ্চিত করা যে হ্যাকার ওয়েবসাইট অ্যাক্সেস করতে সক্ষম হয়। যদিও আপনি মূলত দূষিত কোড মুছে ফেলেন, যাতে আক্রমণকারীরা পরবর্তী সময়ে আপনার ওয়েবসাইট আক্রমণ করতে পারে।
ধাপ 3: হ্যাকারদের কাছ থেকে নির্দেশনা পান
কখনও কখনও হ্যাকাররা তাদের C2 সার্ভারের ইউআরএল ইনজেক্ট করে। এই ইউআরএলগুলিকে পরে একযোগে সংক্রামিত সাইট জুড়ে কর্ম স্থাপন করার জন্য বলা হয়। ডোমেইন যেমন www.krilns[.]com/code.php,ক্রিলন্স[.]pw,ক্রিলন্স[.]শীর্ষ ইত্যাদি। অনেকেই WP-VCD সংক্রামিত সাইটে এটি কার্যকর করতে দেখা গেছে।
ধাপ 4: অন্যান্য ফাইল এবং সাইটগুলিকে সংক্রমিত করে
WP-VCD ম্যালওয়্যার পরবর্তী যে কাজটি করে তা হল নিজেকে প্রসারিত করা। এটি আপনার সাইটের প্রতিটি থিম এবং প্লাগইনে দূষিত স্ক্রিপ্ট স্থাপন করে। এর পরে, এটি একই সার্ভারে দুর্বল সাইটগুলি খুঁজে পায় এবং সেগুলিকেও সংক্রামিত করে৷
এই প্রচারটি একটি স্ক্রিপ্ট স্থাপনের সাথে শুরু হয়। যেখানে অবস্থিত wp-includes/wp-vcd.php. এটির পরে মূল wp-includes/post.php—তে পরিবর্তন করা হয়েছে যা শেষ পর্যন্ত প্রতিটি পৃষ্ঠায় wp-vcd.php-এ কোডটি কার্যকর করে।
প্রতিদিন 30,000 ওয়েবসাইট হ্যাক হয়।
আপনি পরবর্তী?
খুব দেরি হওয়ার আগে ওয়েবসাইট সুরক্ষা ব্যবহার করে ম্যালওয়্যার এবং হ্যাকারদের থেকে আপনার ওয়েবসাইটকে সুরক্ষিত করুন৷
কিভাবে WP-VCD WordPress ম্যালওয়্যার ঠিক এবং অপসারণ করবেন?
- দূষিত কোড খোঁজা এবং অপসারণ: কিছু জায়গা আছে যেখানে দূষিত কোড খুঁজে পাওয়ার সম্ভাবনা বেশি। যদিও, হ্যাকাররা প্রায়শই ম্যালওয়্যারগুলিকে আরও সৃজনশীলভাবে লুকানোর উপায়গুলিকে উন্নত করার চেষ্টা করে। তবুও আপনার সার্ভারের এই মূল্যবান ফাইল/ ফোল্ডারগুলি থেকে অনুসন্ধান শুরু করা :
- wp-includes/wp-vcd.phpwp-includes/wp-tmp.phpwp-content/themes/*/functions.php (সক্রিয় হোক বা না হোক সার্ভারে ইনস্টল করা সমস্ত থিম)class.wp.php
- code1.php
- class.theme-modules.php (থিম ফোল্ডারের ভিতরে)
- দূষিত স্ট্রিং নিদর্শন অনুসন্ধান করা হচ্ছে: সংক্রামিত ম্যালওয়্যার ফাইলে পাওয়া স্ট্রিং প্যাটার্নগুলির জন্য অনুসন্ধান করা আপনাকে অনুসন্ধানকে সংকুচিত করতে সহায়তা করে৷ তাদের মধ্যে কয়েকটি নীচে উল্লেখ করা হয়েছে:
- tmpcontentx
- ফাংশন wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- স্ট্রিপোস($tmpcontent, $wp_auth_key)
- functions.php বিশ্লেষণ করুন: এই ফাইলটি হ্যাকারদের দ্বারা সংক্রামিত শীর্ষ ফাইলগুলির মধ্যে একটি। functions.php-এ কোড পর্যালোচনা করলে wp-vcd ম্যালওয়্যারের নিয়ন্ত্রণকারী কোড প্রকাশ পেতে পারে।
- কোডের সত্যতা নিশ্চিত করতে একটি ভিন্ন চেক চালান: রান a ডিফ চেক আপনার সার্ভারের ফাইলের বিষয়বস্তুগুলির সাথে সংশ্লিষ্ট ফাইলগুলির ওয়ার্ডপ্রেস কোর গিটহাব সংগ্রহস্থল অথবা থিম/প্লাগইন ডিরেক্টরি যুক্ত করে। আপনি SSH ব্যবহার করে বা আপনার IDE ব্যবহার করে যে কোনো একটি পদ্ধতি (বা উভয়) ব্যবহার করতে পারেন।
(ফাইল পার্থক্য পরীক্ষা করা, Astra এর ম্যালওয়্যার স্ক্যানার থেকে স্ক্রিনশট index.php ফাইলের শীর্ষে ম্যালওয়্যার যোগ করা দেখাচ্ছে) - একটি ম্যালওয়্যার স্ক্যান চালান: এই ধরনের ম্যালওয়্যার সংক্রমণ পরিস্থিতিতে, একটি ম্যালওয়্যার স্ক্যানার আপনাকে ম্যালওয়্যার (যা এখনও সাফল্যের গ্যারান্টি দেয় না) খোঁজার সময় বাঁচাতে পারে। ম্যালওয়্যার স্ক্যানার শুধুমাত্র সার্ভারের প্রতিটি ফাইল স্ক্যান করে না বরং আপনার ওয়ার্ডপ্রেসের মূল ফাইলের প্রতিটি পার্থক্য নির্দেশ করে তা নিশ্চিত করে।
WP VCD ম্যালওয়্যার পুরানো প্লাগইন এবং থিমগুলির ত্রুটিগুলিকে কাজে লাগিয়ে আপনার সাইটে একটি প্রবেশ করতে পারে৷ বেশিরভাগ WP-VCD ক্ষেত্রে, ওয়েব মালিকরা অননুমোদিত উৎস থেকে একটি বিনামূল্যে/নাশকৃত প্লাগইন এবং থিম ইনস্টল করে নিজেদের সংক্রামিত করে। অন্যদের ক্ষেত্রে এটি সংক্রামিত সাইটগুলির দ্বারা দূষণের ফলে ঘটে।
সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেসের উপর ব্যাপক গাইড
টিপস: খারাপ কোডের জন্য ওয়ার্ডপ্রেস স্ক্যান করুন
এই ধরনের হ্যাকগুলি থেকে শেখার সবচেয়ে বড় শিক্ষা হল,আপনার ওয়েবসাইটটি এগিয়ে যাওয়ার জন্য নিরাপদ কিনা তা নিশ্চিত করা। এই মতে একটি হ্যাক পরিস্থিতিতে অ্যাস্ট্রা সিকিউরিটি স্যুট যা বিশ্বজুড়ে হাজার হাজার ওয়েবসাইটের নিরাপত্তার ক্ষমতা রাখে,। আর তার মাধ্যমে প্রতিদিন লক্ষাধিক আক্রমণ এবং ম্যালওয়্যার বন্ধ করে!
