নতুন পিএইচপি কোড এক্সিকিউশন আক্রমণে ( PHP Code Execution Attack) ওয়ার্ডপ্রেস সাইট ঝুঁকিতে পরেছে। যারা WordPress সাইট চালান post-টা especially তাদের জন্য রইল ?

স্যাম থমাস, সিকারমা’র একজন নিরাপত্তা গবেষক, একটি নতুন কৌশল আবিষ্কার করেছেন যার সাহায্যে হ্যাকাররা নিম্নতর ঝুঁকিভিত্তিক ফাংশন ব্যবহার করে পিএইচপি প্রোগ্রামিং ল্যাংগুয়েজে জটিল ভারসাম্যহীন দুর্বলতা সহজেই খুজে বের করতে পারে।

 

নতুন কৌশলটি কোড এক্সিকিউশন আক্রমনের ( code execution attacks ) জন্য হাজার হাজার ওয়েব অ্যাপ্লিকেশন খুলবে এবং এতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম WordPress এবং Typo3 এর দ্বারা পরিচালিত ওয়েবসাইট সমূহ থাকবে।

 

পিএইচপি unserialization বা object ইনজেকশন দুর্বলতা প্রাথমিকভাবে ২০০৯ সালে নথিভুক্ত করা হয়, যা একটি আক্রমণকারী unserialize() পিএইচপি ফাংশন থেকে malicious ইনপুট সরবরাহ করে বিভিন্ন ধরণের আক্রমণ করতে পারে।

 

যদি আপনি অজানা থাকেন,তাহলে জেনে নিন serialization হচ্ছে ডাটা অবজেক্টগুলোকে একটি সাধারণ স্ট্রিং রূপান্তর করার প্রক্রিয়া, এবং unserialize ফাংশন একটি স্ট্রিং থেকে একটি বস্তু পুনরায় তৈরি করতে প্রোগ্রামকে সহায়তা করে।

 

থমাস খুজে বের করেছেন যে, একজন আক্রমণকারী unserialize() ফাংশন ব্যবহার না করেই Phar আর্কাইভের বিরুদ্ধে কম ঝুঁকিপূর্ণ ফাংশন ব্যবহার করতে পারে।

 

এটি ডিরেক্ট ফাইল অপারেশন (যেমন” ফাইল_exists “) এবং এক্সএমএল (যেমন, যখন XXE দুর্বলতা বের করা হচ্ছে) মধ্যে external প্রক্রিয়া চলাকালীন ঘটতে ইনডিরেক্ট অপারেশন উভয়ের জন্য সত্য“, থমাস বলেন।

 

Exploiting PHP Deserialization Attack Against WordPress Sites

ওয়ার্ডপ্রেস সাইটগুলির বিরুদ্ধে পিএইচপি ডেসারিয়ালাইযেশন (উল্ট প্রক্রিয়া) আক্রমণ :

 

গত সপ্তাহে ব্ল্যাক হ্যাট কনফারেন্সে প্রকাশিত একটি বিস্তারিত কাগজপত্রে, থমাস দেখিয়েছেন যে আক্রমণটি কিভাবে একটি লেখক(Author) অ্যাকাউন্ট ব্যবহার করে ওয়ার্ডপ্রেস সাইটের বিরুদ্ধে চালানো যায় এবং ওয়েব সার্ভারের পূর্ণ নিয়ন্ত্রণ নেওয়া যায়।

 

## থমাস এটাও প্রকাশ করেছেন যে একজন আক্রমণকারী শুধুমাত্র একটি JPEG ইমেজ ব্যবহার করে এই attack-টি করতে পারেন, মুলত এতে একটি Phar আর্কাইভ এর প্রথম 100 বাইট পরিবর্তন করে বৈধ JPEG এ রূপান্তর করা হয় ।

 

✌  দুর্বলতা সম্বন্ধে আরও বিস্তারিত জানার জন্য, আপনি সিকিমমা দ্বারা প্রকাশিত বিস্তারিত কাগজ [ PDF ] শিরোনাম পড়তে পারেন।

 

???  মানুষ মাএই ভুল। লেখায় কোনো ভুল থাকলে ক্ষমার দৃষ্টিতে দেখবেন।

 ***  ধন্যবাদ ***

31 thoughts on "[WordPress at risk]পিএইচপি কোড এক্সিকিউশন আক্রমণে ( PHP Code Execution Attack) ওয়ার্ডপ্রেস সাইট ঝুঁকিতে পরেছে। যারা WordPress সাইট চালান post-টা especially তাদের জন্য রইল ???"

  1. Sahariaj Author says:
    Tnx Bro… এতে আমার উপকার না হলেও অনেকের হবে
    1. Rayhan $efat Contributor Post Creator says:
      welcome
    2. Tipsbd.net Subscriber says:
      ak mas hoynai akta wordpress site khullam. Akn e ai news.
  2. Mustafezur Contributor says:
    Hmmm
    Good Post
    1. Rayhan $efat Contributor Post Creator says:
      tnx for positive comment.
  3. Mustafezur Contributor says:
    I’m New User In Trickbd
    1. Rayhan $efat Contributor Post Creator says:
      কোনো help লাগলে frankly বলতে পারেন
    2. Mustafezur Contributor says:
      Hmmm Tnx
  4. AshfaqUzzaman Author says:
    vhai site a jodi ssl certificate install thake tao ki ai attack korte parbe
    1. Rayhan $efat Contributor Post Creator says:
      কোনো certificate এক্ষেত্রে কাজে আসবে না।
  5. Technical AZ Contributor says:
    Brother Amar MoneHoi Eta Kono English Site Theke Copy Kora. [ Am I Right Or Not ]
    1. Rayhan $efat Contributor Post Creator says:
      Check করে পেলেও পেতে পারেন ।
      যদি পান তাহলে contact করিয়েন, আপনাকে খাওয়াবো
      তবে এতো সাজানো-গুছানো পাবেন না।
      news তো আর তৈরি করা যায় না। সবই তো Collected, but best টা কোনটা।
    2. Technical AZ Contributor says:
      Yes, I know that. Don’t mind. I think you had translate directly and post it. That’s why I asked you
    3. Rayhan $efat Contributor Post Creator says:
      tnx for understanding
  6. Tipsbd.net Subscriber says:
    ak mas hoynai akta wordpress site khullam. Akn e ai news.
    1. Rayhan $efat Contributor Post Creator says:
      সবই reallity bro
      কোনটা কখন হবে বলা মুশকিল
    2. Rayhan $efat Contributor Post Creator says:
      domain name + host কোথা থেকে করেছেন? বললে help করতে পারি
    3. Shadin Contributor says:
      ভয় পাবেন না।
      এটাতে ভয় পাবার কিছু নেই।
      এটা থেকে protect থাকার উপায়ও আছে।
  7. Shadin Contributor says:
    হুম।
    ইংরেজী সাইট থেকে নেয়া।
    এটা থেকে পরিত্রাণ পাওয়ার উপায় ও আছে।
    1. Rayhan $efat Contributor Post Creator says:
      মানছি collected, কিন্তু হুবহু copy-paste এটা বলা যাবে না
      এর পেছনে hard work + research + modification + proof + ensure হওয়া + create করা + আরও অনেক step রয়েছে,bro
    2. Shadin Contributor says:
      হুম। তা তো বটেই।
    3. Rayhan $efat Contributor Post Creator says:
      বোঝার জন্য tnx, ভাই
      আসলে trickBD তো জ্ঞান share করার জন্য, পাশাপাশি friend তৈরির জন্যও যে তা admit না করে পারলাম না। বাঙগালি তো!!
    4. Shadin Contributor says:
      hmm?. r8?
  8. Tipsbd.net Subscriber says:
    ak fnd er kas thekei nisi. Se babsa kore dom hoster.
    1. Rayhan $efat Contributor Post Creator says:
      free না paid
      normal host website এর details আপনার কাছে তো থাকার কথা?
  9. Muhammad Sagor Hossein Contributor says:
    ভাই আমারে হেল্প করতে পারবেন? Newspaper tagdiv এর থিমটা যে কোন ভার্শনের আমার সাইটে ইনষ্টল দিতে পারছি নাহ্ ?
    1. Rayhan $efat Contributor Post Creator says:
      wordpress site কি?Full details দিতে হবে যে, domain to host briefly…?
  10. sanaurasif Author says:
    Apnar sob postgulai onak onak sundor.thanks
    1. Rayhan $efat Contributor Post Creator says:
      welcome
    1. Rayhan $efat Contributor Post Creator says:
      welcome

Leave a Reply