Minhazul Asif

Personal Blog of

Minhazul Asif

Personal Blog of

Minhazul Asif

ওয়ার্ডপ্রেস অ্যাটাক কি? কিভাবে ওয়ার্ডপ্রেস ওয়েব সাইট হ্যাকাররা বিভিন্ন ধরনের অ্যাটাক পরিচালনা করে?

wordpress attacks

ওয়ার্ডপ্রেস অ্যাটাক কি?

 

একটি হ্যাকড ওয়ার্ডপ্রেস সাইট আপনার ব্যবসার আয় এবং খ্যাতির মারাত্মক ক্ষতি করতে পারে। হ্যাকাররা ব্যবহারকারীর তথ্য, পাসওয়ার্ড চুরি করতে পারে, Malicious সফ্টওয়্যার ইনস্টল করতে পারে এবং এমনকি ওয়েব সাইটে বিভিন্ন ধরনের ম্যালওয়্যার ছড়াতে পারে।

এমনকি, আপনি নিজের ওয়েবসাইটের অ্যাক্সেস পুনরুদ্ধার করার জন্য হ্যাকারদের Ransomware(অর্থ) প্রদান করতে হতে পারে। ​একটা ওয়েবসাইট তৈরির জন্য যথেস্ট পরিমান সময়, শ্রম, এবং অর্থ ব্যায় হয়। আর ওয়েবসাইটটি হ্যাক হওয়া মানেই কিন্তু সব পরিশ্রম মাটি হয়ে যাওয়া। তাই আপনি কখনই চাইবেন না আপনার সাধের ওয়েবসাইট খানা হ্যাকারদের হাতে পড়ুক। এজন্য আমাদের জানতে হবে হ্যাকাররা কিভাবে আমাদের ওয়েবসাইট কে হ্যাক করতে পারে তারপর এই সমস্ত হ্যাকিং প্রসেস থেকে বাঁচার জন্য আমাদের ওয়েবসাইট সিকিউরিটি নিয়ে জানব।

 

কিভাবে ওয়ার্ডপ্রেস ওয়েব সাইট হ্যাকাররা বিভিন্ন ধরনের অ্যাটাক পরিচালনা করে?

 

● Brute force attack
● Virus & Malware
● Fake bot traffic attack
● File Upload Vulnerability
● SQL injection attack
● DDoS attack
● Backdoor/ Web Shell
● Creating new users via FTP
● MySQL/Database Attack
● Using functions.php
● Automated Website Attacks
● Username and password theft / Leaked

 

● ব্রুটফোর্স এট্যাক (Bruteforce attack)

 

আপনি ওয়েবসাইটে লগইন করতে গেলেন। তার পাসওয়ার্ড আপনি জানেন না। তাহলে সাধারনত কি করেন? অনুমান করে একটি পাসওয়ার্ড লিখে দেন। এটি লগইন না হলে কি করেন? আরেকটা দেন। তারপর আরেকটা। এই এটা কি ম্যানুয়ালি করতে গেলে অনেক সময় লাগে তাই কোন একটি সফটওয়্যার বিভিন্ন কম্বিনেশনের পাসওয়ার্ড সার্ভারে পুশ করতে থাকে এবং যেকোনো একটি মিলিয়ে যায় এবং আক্রমনকারী সিস্টেমে অ্যাক্সেস পেয়ে যায়।

ব্রুট ফোর্স এটাক (Brute-force Attack) মূলত এটাই। আন্দাজ করে একের পর এক পাসওয়ার্ড দিয়ে যাওয়া। এবং পাসওয়ার্ড ব্রেক করে সারভারে প্রবেশ করা।

ব্রুটফোর্সের ক্ষেত্রে মুলত সফটওয়্যার বা টুলস ব্যাবহার করে নির্দিষ্ট পাসওয়ার্ড কে , A-Z, a-z, 1-0, @#%& ইত্যাদি বর্ণ, সংখ্যা এবং চিহ্ন সমুহকে পর্যায়ক্রমে একেরপর এক নানা কম্বিনেশনে বসিয়ে টেস্ট করা হয়।

এভাবে টুলসএর সাহায্যে পর্যায়ক্রমে অটোমেটিক্যালি টেস্ট চলতে থাকে. এবং পাসওয়ার্ড ম্যাচ হওয়ার সাথে সাথেই এট্যাক বন্ধ হয়ে যায় এবং এট্যাকার কে তার কাঙ্ক্ষিত পাসওয়ার্ড শো করে। ডিকশনারি অ্যাটাক অনেকটা ব্রুট ফোর্স অ্যাটাক এর মতই, তবে এখানে কিছু Guess পাসওয়ার্ড ব্যবহার করা হয়।

এক্ষেত্রে এনক্রিপশন ব্রেকডাউন করার জন্য কমন কিছু কাস্টম পাসওয়ার্ড লিস্ট তৈরী করে একের পর এক লগইন করার চেষ্টা করা হয়(টুলস এর মাধ্যমে)। কাস্টম পাসওয়ার্ড লিস্ট তৈরি করার ক্ষেত্রে ওই ব্যক্তির নাম, প্রতিষ্ঠান, ডেট অফ বার্থ কোন কিছু ইনফরমেশন ব্যবহার করা হয়। ডিকশনারী এটাকের জন্য বিভিন্ন সফটওয়্যারও পাওয়া যায়।

● Read more about Bruteforce attack from here: 

ব্রুটফোর্স এট্যাক (Bruteforce attack)

 

 

● Virus & Malware

 

আমরা বিভিন্ন ধরনের Cracked প্লাগিন বা থিম ব্যবহার করার কারণে বিভিন্ন ধরনের ভাইরাস অথবা ম্যালওয়্যার আমাদের ওয়ার্ডপ্রেস ওয়েব সাইটে এটাক করতে পারে এবং পরবর্তীতে এই ম্যালওয়্যারগুলো আমাদের সিস্টেমের এক্সপ্রেস নিতে পারে, ওয়েবসাইট এ এসইও স্পামিং করতে পারে, নতুন ইউজার তৈরি করতে পারে এমনকি আমাদের ওয়েবসাইট ডাউন করে ফেলতে পারে।

Virus & Malware

 

 

● Fake bot traffic attack

 

অনেক সময় দেখা যায় নির্দিষ্ট একটা সময় আমার ওয়েবসাইটে নির্দিষ্ট কিছু পেইজে প্রচুর পরিমাণে ট্রাফিক প্রবেশ করছে। এটি সাধারণত রোবট বা হ্যাকারদের কোন একটি সফটওয়ারের মাধ্যমে করা হয়। এর মাধ্যমে সার্ভার যেকোনো সময় ডাউন হয়ে যেতে পারে অতিরিক্ত ট্রাফিক ওয়েবসাইটে ভিজিট করার কারণে।

Fake bot traffic attack

 

 

● File Upload Vulnerability

 

আমাদের ওয়ার্ডপ্রেসে আপলোড নামে একটি ডাইরেক্টরি আছে যেখানে যদি আপলোড vulnerability থাকে তাহলে যেকোনো সময় যেকোনো হ্যাকার যেকোনো ধরনের ফাইল ইঞ্জেক্ট করতে পারে এবং তার মাধ্যমে আপনার সার্ভার এর এক্সেস নিতে পারে।

এছাড়াও বিভিন্ন ধরনের সফটওয়ারের মাধ্যমে ফাইল টেম্পারিং করে যেকোনো পিএইচপি ফাইল ইমেজ আকারে আপলোড করা কে data/file টেম্পারিং বলে এবং খুব সহজেই টেম্পারিংয়ের মাধ্যমে ওয়ার্ডপ্রেসের আপলোড ডাইরেক্টরি এর মাধ্যমে যেকোনো ধরনের ফাইল ইনজেক্ট করা সম্ভব।

File Upload Vulnerability

 

● SQL injection Attack

 

SQL injection এর মাধ্যমে আপনার WordPress ওয়েবসাইটের database এ কিছু malicious SQL statements স্থাপন করে দেওয়া হয়।

এবং এর ফলে, আপনার ওয়েবসাইটের data গুলো চুরি করা, আপনার ওয়েবসাইট থেকে ক্ষতিকারক ওয়েবসাইটে রিডাইরেক্ট করা বা আপনার সম্পূর্ণ ওয়েবসাইট নষ্ট করার ক্ষমতা সেই malicious SQL স্থাপন করা hacker এর হাতে থাকে।

SQL injection Attack

 

● DDoS attack

 

DoS অ্যাটাক মানে ” ডিনায়াল-অফ-সার্ভিস (DDoS) অ্যাটাক” এবং এটি একটি সাইবার ক্রাইম যেখানে সাইবার হ্যাকাররা ওয়েব সার্ভারে অতিরিক্ত রিকোয়েস্ট পাঠিয়ে সার্ভার ডাউন করে দেয় সাময়িক সময়ের জন্য অথবা নির্দিষ্ট একটি সময়ের জন্য।

সহজ কোথায় একটি ডিভাইস এর সাহায্যে নির্দিষ্ট একটা ওয়েব সাইট কিংবা সার্ভার কে সাময়িকভাবে বা অনির্দিষ্টকালের জন্য ইন্টারনেট থেকে বিচ্ছিন্ন করে দিয়ে ঐ ওয়েব সাইট কিংবা সার্ভারে কাউকে প্রবেশ করতে না দেয়াই হচ্ছে Denial of Service Attack(Dos) !
ডিস্ট্রিবিউটেড ডিনায়েল অফ সার্ভিস বা ডিডস হলো মাল্টিপল ডিভাইস ইউজ করে একটি সেম টার্গেটে অ্যাটাক করা। ডস অ্যাটাক যেখানে একটি সিস্টেম ইউজ করে করা হয় কিংবা একজন হ্যাকার কাজটি করে, সেখানে ডিডস অ্যাটাকে অনেকগুলো ডিভাইস ইউজ করা হয়, বা কয়েকজন হ্যাকার মিলে কাজটা করে।

ধরুন আপনার একটি Business ওয়েবসাইট আছে। সেখানে আপনি বিভিন্ন পণ্য/সেবা বিক্রি করেন এবং অনেক কাস্টমার আপনার এই সার্ভিস ইউজ করে। এ কারনে উক্ত ওয়েবসাইট পরিচালনার জন্য আপনি অনেক বেশি স্পেস এবং ব্যান্ডউইথ সহ হোস্টিং কিনলেন। কোন কারনে আপনার ওয়েবসাইট কোন হ্যাকারের খারাপ নজরে এলো। সে যদি আপনার ওয়েবসাইট স্লো বা অফলাইন করে দিতে চায় তাহলে তাকে ডিডস অ্যাটাকের সাহায্য নিতে হবে। আর এভাবে ওয়েবসাইটটির ব্যান্ডউইথ নষ্ট করে দিয়ে ওয়েবসাইটটিকে সার্ভার থেকে বিচ্ছিন্ন করে ফেলে এবং কেউ ওয়েবসাইটটিতে আর ভিজিট করতে পারেনা।

● Read more about DDOS from here: 

DDoS attack

 

● Backdoor/ Web Shell Attack

 

ওয়েব শেল হল ম্যালিসিয়াস কোড, যা আপলোড এর মাধ্যমে হ্যাকার যেকোনো ওয়েবসাইট বা সিস্টেমের এক্সেস নিয়ে থাকে এবং ওয়েব সাইটের ক্ষতিসহ ডিফেস করতে পারে।একটি ওয়েব শেল আক্রমণের সময়, একটি hacker একটি লক্ষ্য ওয়েব সার্ভারের ডিরেক্টরিতে একটি ম্যালিসিয়াস ফাইল ইনজেক্ট করে এবং তারপর তাদের ওয়েব ব্রাউজার থেকে সেই ফাইলটি কার্যকর করে।

একটি সফল ওয়েব শেল আক্রমণ শুরু করার পরে, সাইবার অপরাধীরা সংবেদনশীল জায়গাগুলোতে অ্যাক্সেস লাভ করতে পারে, যেমন একটি ওয়েব সাইট এর এডমিন প্যানেলে এক্সেস নেওয়া, অথবা file-upload Vulnerability কাজে লাগিয়ে ম্যালিসিয়াস পিএইচপি কোড আপলোড করা। এরপর সিস্টেমের এডমিন প্যানেলে ঢুকে যে কোন ফাইল আপলোড অথবা ডিলিট করা, পুরো ওয়েবসাইট নষ্ট করে দেওয়া, সমস্ত ডেটা রিমুভ করে দেওয়া অথবা ওয়েব ডিফেসমেন্ট করতে পারে।

ওয়েব শেল আক্রমণের বেশ কয়েকটি পর্যায় রয়েছে: প্রথমত, আক্রমণকারী সার্ভারে Remote অ্যাক্সেস সক্ষম করে ওয়েবসাইটে এক্সেস পাওয়ার একটি Permanent System তৈরি করে। তারপরে, তারা সুযোগ-সুবিধা বাড়ানোর চেষ্টা করে, এবং হ্যাক হওয়া সিস্টেম আক্রমণ করার জন্য Backdoor ব্যবহার করে, বা অপরাধমূলক কার্যকলাপের জন্য এর ওয়েব সাইটের বিভিন্ন ডাটা ব্যবহার করে। যেমন হতে পারে ফেসবুকের বিভিন্ন ইউজারের গোপন ইনফর্মেশন।

● Read more about web sheel from here: 

 

Backdoor/ Web Shell Attack

 

● Creating new users via FTP

 

যখন HTTP এর মাধ্যমে হ্যাকাররা এক্সেস না পায় তখন তারা FTP সার্ভারে অ্যাক্সেস লাভ করার চেষ্টা করে এবং নতুন অ্যাডমিন user তৈরি করবে। ওয়ার্ডপ্রেস অ্যাডমিনের environment বাইরে একটি অ্যাকাউন্ট তৈরি করার জন্য হ্যাকারদের সমস্ত সাইটের একটি FTP অ্যাক্সেস প্রয়োজন। এবং এফটিপি এক্সেস এর মাধ্যমে খুব সহজেই সিপ্যানেলের এক্সপ্রেস পেয়ে যায়। এবং তাই আপনার থিম ব্যবহার করে নতুন ফাংশন তৈরি করে নতুন ব্যবহারকারীর অ্যাকাউন্ট তৈরি করবে। অথবা ওয়েবসেল আপলোড করে সহজে ওয়েবসাইটের/ সার্ভারের এক্সপ্রেস পেয়ে থাকে।

Creating new users via FTP

 

● MySQL/Database Attack

 

Mysql ডাটাবেজ অ্যাটাক এর মাধ্যমে যে কেউ সিপ্যানেলের এক্সেস নিয়ে থাকে। এক্ষেত্রে মাইএসকিউএল ডাটাবেজ গেলে অনেকগুলো টেবিল দেখা যায় এই টেবিল গুলোর মধ্যে wp_users টেবিলের মধ্যে বিভিন্ন ধরনের ইউজার ডাটা পাওয়া যায়।

খুব সহজে যেকোনো ইউজারের ইউজারনেম এবং পাসওয়ার্ড md5 এর মাধ্যমে চেঞ্জ করা যায় অথবা নতুন ইউজার ক্রিয়েট করা যায় যার মাধ্যমে হ্যাকার ওয়েবসাইটের Access পেয়ে থাকে।

 

MySQL/Database Attack

 

● functions.php Attack

 

এটি করার দুটি উপায় রয়েছে, প্রথমত cPanel এর মাধ্যমে funtions.php Edit করে এবং দ্বিতীয়ত এটি অর্জনের জন্য একটি FTP ক্লায়েন্ট Server ব্যবহার করে।

সিপ্যানেল ব্যবহার করে হ্যাকাররা ফাইল ম্যানেজার খুলবে এবং সক্রিয় থিমের ফোল্ডারটি সনাক্ত করবে। সেখান থেকে তাকে public_html/wp_content/themes ফোল্ডারে যেতে হবে এবং থিমটি সনাক্ত করতে হবে। তারপর তাকে যা করতে হবে তা হল এর functions.php এডিট করে ক্লোজিং ট্যাগের আগে কোড যোগ করবে এবং হ্যাকিং হয়ে যাবে।

এভাবে নতুন অ্যাকাউন্ট তৈরি হয়ে যাওয়ার পর functions.php File এর কোড হ্যাকাররা রিমুভ করে দেয়। এভাবে খুব সহজে সার্ভারের এক্সেস হ্যাকাররা নিয়ে থাকে।

 

functions.php Attack

 

● Automated Website Attacks

 

হ্যাকাররা শুধু ওয়েবসাইট আক্রমণ করে না। তারা ভাইরাস এবং ম্যালওয়্যার তৈরি করে যা তারা ওয়েবসাইট আক্রমণ করতে ব্যবহার করে।

একবার ভাইরাস এবং ম্যালওয়্যার Inject হয়ে গেলে, তাদের স্বয়ংক্রিয়ভাবে যেকোন ওয়েবসাইটকে আক্রমণ করতে পারে।

Automated Website Attacks

 

● Username and password theft / Leaked

 

আরেকটি সাধারণ ওয়েবসাইট আক্রমণ হল একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড চুরি। সফল অ্যাডমিন ব্যবহারকারীর নাম এবং পাসওয়ার্ড চুরি করে যে কোন হ্যাকার ওয়েবসাইটের এক্সেস নিয়ে নিতে পারে।

ওয়েব সাইটের এডমিন প্যানেলের ঢোকার ইউজারনেম এবং পাসওয়ার্ড বিভিন্ন পদ্ধতিতে ক্র্যাক করা যায়। অথবা একজন ইউজারের বিভিন্ন Guess পাসওয়ার্ড ব্যবহার করা হয়। অনেক সময় ডার্কওয়েবে লিক হওয়া পাসওয়ার্ডগুলোর মাধ্যমেও যে কোন ওয়েব সাইটের এডমিন প্যানেলে এক্সেস নিয়ে থাকে হ্যাকাররা।

● Read more about Passwrd crack from here: 

Username and password theft / Leaked

আমাদের ওয়ার্ডপ্রেস ওয়েবসাইট সিকিউরিটির জন্য সবাইকে এই ধরনের অ্যাটাকগুলো জানতে হবে এবং এই ধরনের এটা গুলো থেকে কিভাবে সিকিউরিটি নিতে হবে তাও জানতে হবে। পরবর্তী ব্লগে আমি ওয়ার্ডপ্রেসের ওয়েবসাইট কিভাবে সিকিউর করতে হবে তা নিয়ে বিস্তারিত আলোচনা করব।

 

Read more blogs on Ethical Hacking here.

 

Thanks
Minhazul Asif

Share on -

Related Articles

Minhazul Asif

আমি মিনহাজুল আসিফ,

Entrepreneur, Instructor, Web Developer, Freelancer & Cyber Sucurity Expert.

নিজের আইডিয়া গুলো সবার সাথে শেয়ার করার জন্য এই ব্লগ ওয়েবসাইট তৈরী করা। আশা করি আমার ব্লগ পড়ে অনেকেই উপকৃত হবে।

ক্যাটাগরি সমূহ: