নতুন পিএইচপি কোড এক্সিকিউশন আক্রমণে ( PHP Code Execution Attack) ওয়ার্ডপ্রেস সাইট ঝুঁকিতে পরেছে। যারা WordPress সাইট চালান post-টা especially তাদের জন্য রইল 🌈

স্যাম থমাস, সিকারমা’র একজন নিরাপত্তা গবেষক, একটি নতুন কৌশল আবিষ্কার করেছেন যার সাহায্যে হ্যাকাররা নিম্নতর ঝুঁকিভিত্তিক ফাংশন ব্যবহার করে পিএইচপি প্রোগ্রামিং ল্যাংগুয়েজে জটিল ভারসাম্যহীন দুর্বলতা সহজেই খুজে বের করতে পারে।

 

নতুন কৌশলটি কোড এক্সিকিউশন আক্রমনের ( code execution attacks ) জন্য হাজার হাজার ওয়েব অ্যাপ্লিকেশন খুলবে এবং এতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম WordPress এবং Typo3 এর দ্বারা পরিচালিত ওয়েবসাইট সমূহ থাকবে।

 

পিএইচপি unserialization বা object ইনজেকশন দুর্বলতা প্রাথমিকভাবে ২০০৯ সালে নথিভুক্ত করা হয়, যা একটি আক্রমণকারী unserialize() পিএইচপি ফাংশন থেকে malicious ইনপুট সরবরাহ করে বিভিন্ন ধরণের আক্রমণ করতে পারে।

 

যদি আপনি অজানা থাকেন,তাহলে জেনে নিন serialization হচ্ছে ডাটা অবজেক্টগুলোকে একটি সাধারণ স্ট্রিং রূপান্তর করার প্রক্রিয়া, এবং unserialize ফাংশন একটি স্ট্রিং থেকে একটি বস্তু পুনরায় তৈরি করতে প্রোগ্রামকে সহায়তা করে।

 

থমাস খুজে বের করেছেন যে, একজন আক্রমণকারী unserialize() ফাংশন ব্যবহার না করেই Phar আর্কাইভের বিরুদ্ধে কম ঝুঁকিপূর্ণ ফাংশন ব্যবহার করতে পারে।

 

এটি ডিরেক্ট ফাইল অপারেশন (যেমন” ফাইল_exists “) এবং এক্সএমএল (যেমন, যখন XXE দুর্বলতা বের করা হচ্ছে) মধ্যে external প্রক্রিয়া চলাকালীন ঘটতে ইনডিরেক্ট অপারেশন উভয়ের জন্য সত্য“, থমাস বলেন।

 

Exploiting PHP Deserialization Attack Against WordPress Sites

ওয়ার্ডপ্রেস সাইটগুলির বিরুদ্ধে পিএইচপি ডেসারিয়ালাইযেশন (উল্ট প্রক্রিয়া) আক্রমণ :

 

গত সপ্তাহে ব্ল্যাক হ্যাট কনফারেন্সে প্রকাশিত একটি বিস্তারিত কাগজপত্রে, থমাস দেখিয়েছেন যে আক্রমণটি কিভাবে একটি লেখক(Author) অ্যাকাউন্ট ব্যবহার করে ওয়ার্ডপ্রেস সাইটের বিরুদ্ধে চালানো যায় এবং ওয়েব সার্ভারের পূর্ণ নিয়ন্ত্রণ নেওয়া যায়।

 

## থমাস এটাও প্রকাশ করেছেন যে একজন আক্রমণকারী শুধুমাত্র একটি JPEG ইমেজ ব্যবহার করে এই attack-টি করতে পারেন, মুলত এতে একটি Phar আর্কাইভ এর প্রথম 100 বাইট পরিবর্তন করে বৈধ JPEG এ রূপান্তর করা হয় ।

 

✌  দুর্বলতা সম্বন্ধে আরও বিস্তারিত জানার জন্য, আপনি সিকিমমা দ্বারা প্রকাশিত বিস্তারিত কাগজ [ PDF ] শিরোনাম পড়তে পারেন।

 

🎓🎓🎓  মানুষ মাএই ভুল। লেখায় কোনো ভুল থাকলে ক্ষমার দৃষ্টিতে দেখবেন।

 ***  ধন্যবাদ ***

31 thoughts on "[WordPress at risk]পিএইচপি কোড এক্সিকিউশন আক্রমণে ( PHP Code Execution Attack) ওয়ার্ডপ্রেস সাইট ঝুঁকিতে পরেছে। যারা WordPress সাইট চালান post-টা especially তাদের জন্য রইল 🌈🌈🌈"

  1. Sahariaj Sahariaj Author says:
    Tnx Bro… এতে আমার উপকার না হলেও অনেকের হবে
    1. Rayhan $efat Author Post Creator says:
      welcome
    2. Tipsbd.net Contributor says:
      ak mas hoynai akta wordpress site khullam. Akn e ai news.
  2. Mustafezur Mustafezur Contributor says:
    Hmmm
    Good Post
    1. Rayhan $efat Author Post Creator says:
      tnx for positive comment.
  3. Mustafezur Mustafezur Contributor says:
    I’m New User In Trickbd
    1. Rayhan $efat Author Post Creator says:
      কোনো help লাগলে frankly বলতে পারেন
  4. AshfaqUzzaman AshfaqUzzaman Author says:
    vhai site a jodi ssl certificate install thake tao ki ai attack korte parbe
    1. Rayhan $efat Author Post Creator says:
      কোনো certificate এক্ষেত্রে কাজে আসবে না।
  5. Technical AZ Technical AZ Contributor says:
    Brother Amar MoneHoi Eta Kono English Site Theke Copy Kora. [ Am I Right Or Not ]
    1. Rayhan $efat Author Post Creator says:
      Check করে পেলেও পেতে পারেন ।
      যদি পান তাহলে contact করিয়েন, আপনাকে খাওয়াবো
      তবে এতো সাজানো-গুছানো পাবেন না।
      news তো আর তৈরি করা যায় না। সবই তো Collected, but best টা কোনটা।
      1. Technical AZ Technical AZ Contributor says:
        Yes, I know that. Don’t mind. I think you had translate directly and post it. That’s why I asked you
        1. Rayhan $efat Author Post Creator says:
          tnx for understanding
  6. Tipsbd.net Contributor says:
    ak mas hoynai akta wordpress site khullam. Akn e ai news.
    1. Rayhan $efat Author Post Creator says:
      সবই reallity bro
      কোনটা কখন হবে বলা মুশকিল
    2. Rayhan $efat Author Post Creator says:
      domain name + host কোথা থেকে করেছেন? বললে help করতে পারি
    3. Shadin Author says:
      ভয় পাবেন না।
      এটাতে ভয় পাবার কিছু নেই।
      এটা থেকে protect থাকার উপায়ও আছে।
  7. Shadin Author says:
    হুম।
    ইংরেজী সাইট থেকে নেয়া।
    এটা থেকে পরিত্রাণ পাওয়ার উপায় ও আছে।
    1. Rayhan $efat Author Post Creator says:
      মানছি collected, কিন্তু হুবহু copy-paste এটা বলা যাবে না
      এর পেছনে hard work + research + modification + proof + ensure হওয়া + create করা + আরও অনেক step রয়েছে,bro
      1. Shadin Author says:
        হুম। তা তো বটেই।
        1. Rayhan $efat Author Post Creator says:
          বোঝার জন্য tnx, ভাই
          আসলে trickBD তো জ্ঞান share করার জন্য, পাশাপাশি friend তৈরির জন্যও যে তা admit না করে পারলাম না। বাঙগালি তো!!
          1. Shadin Author says:
            hmm😊. r8👍
  8. Tipsbd.net Contributor says:
    ak fnd er kas thekei nisi. Se babsa kore dom hoster.
    1. Rayhan $efat Author Post Creator says:
      free না paid
      normal host website এর details আপনার কাছে তো থাকার কথা?
  9. Muhammad Sagor Hossein Muhammad Sagor Hossein Contributor says:
    ভাই আমারে হেল্প করতে পারবেন? Newspaper tagdiv এর থিমটা যে কোন ভার্শনের আমার সাইটে ইনষ্টল দিতে পারছি নাহ্ 😥
    1. Rayhan $efat Author Post Creator says:
      wordpress site কি?Full details দিতে হবে যে, domain to host briefly…?
  10. sanaurasif sanaurasif Contributor says:
    Apnar sob postgulai onak onak sundor.thanks
    1. Rayhan $efat Author Post Creator says:
      welcome
    1. Rayhan $efat Author Post Creator says:
      welcome

Leave a Reply