यह मैलवेयर पहली बार 2017 में देखा गया था, और वर्डप्रेस चलाने वाली एक लाख से अधिक साइटों को संक्रमित कर चुका है। यहाँ वह है जो आपको जानना चाहिए।
वर्डप्रेस साइबर हमलों के लिए कोई अजनबी नहीं है, और अब इसे एक और शोषण का सामना करना पड़ा है, जिसके माध्यम से दस लाख से अधिक साइटें संक्रमित हो गई हैं। यह दुर्भावनापूर्ण अभियान बलदा इंजेक्टर नामक एक प्रकार के मैलवेयर का उपयोग करके चलाया गया है। लेकिन यह मैलवेयर कैसे काम करता है, और इसने एक लाख से अधिक वर्डप्रेस साइटों को कैसे संक्रमित किया?
बलदा इंजेक्टर मालवेयर की मूल बातें
बलदा इंजेक्टर (पहली बार इस तरह गढ़ा गया डॉ वेब रिपोर्ट) एक मैलवेयर प्रोग्राम है जो 2017 से उपयोग में है, जब यह विशाल वर्डप्रेस संक्रमण अभियान शुरू हुआ। बलदा इंजेक्टर एक लिनक्स-आधारित बैकडोर मालवेयर है जिसका उपयोग वेबसाइटों में घुसपैठ करने के लिए किया जाता है।
पिछले दरवाजे मैलवेयर और वायरस विशिष्ट लॉगिन या प्रमाणीकरण विधियों को बायपास कर सकता है, जिससे हमलावर को किसी वेबसाइट के डेवलपर अंत तक पहुंचने की अनुमति मिलती है। यहां से, हमलावर अनधिकृत परिवर्तन कर सकता है, कीमती डेटा चुरा सकता है, और साइट को पूरी तरह बंद भी कर सकता है।
अनधिकृत पहुंच प्राप्त करने के लिए बैकडोर वेबसाइटों की कमजोरियों का फायदा उठाते हैं। कई वेबसाइटों में एक या एक से अधिक कमजोरियां होती हैं (जिन्हें सुरक्षा कमजोरियों के रूप में भी जाना जाता है), इसलिए कई हैकर्स को इसमें रास्ता खोजने में कठिनाई नहीं होती है।
तो, साइबर अपराधियों ने बलदा इंजेक्टर का उपयोग करके एक लाख से अधिक वर्डप्रेस साइटों से समझौता करने का प्रबंधन कैसे किया?
बलदा ने एक लाख से अधिक वर्डप्रेस साइटों को कैसे संक्रमित किया?
अप्रैल 2023 में, साइबर सिक्योरिटी फर्म सुकुरी ने एक दुर्भावनापूर्ण अभियान की सूचना दी, जिसे वह 2017 से ट्रैक कर रहा था। में सुकुरी ब्लॉग पोस्ट, यह कहा गया कि, 2023 में, कंपनी के साइटचेक स्कैनर ने 140,000 से अधिक बार बलदा इंजेक्टर की उपस्थिति का पता लगाया। बलदा इंजेक्टर के 11 अलग-अलग रूपों का उपयोग करके एक वेबसाइट पर 311 बार चौंकाने वाला हमला किया गया था।
सुकुरी ने यह भी कहा कि इसमें "100 से अधिक हस्ताक्षर हैं जो सर्वर फ़ाइलों में अंतःक्षिप्त मैलवेयर के फ्रंट-एंड और बैक-एंड विविधताओं को कवर करते हैं और वर्डप्रेस डेटाबेस।" फर्म ने देखा कि बलदा इंजेक्टर संक्रमण आमतौर पर तरंगों में होता है, हर कुछ हफ्तों में आवृत्ति में वृद्धि होती है।
इतने सारे वर्डप्रेस साइटों को संक्रमित करने के लिए, बलदा इंजेक्टर ने विशेष रूप से प्लेटफॉर्म के विषयों और प्लगइन्स के भीतर भेद्यता को लक्षित किया। वर्डप्रेस अपने उपयोगकर्ताओं के लिए हजारों प्लगइन्स और इंटरफ़ेस थीम की एक विस्तृत श्रृंखला प्रदान करता है, जिनमें से कुछ को अतीत में अन्य हैकर्स द्वारा लक्षित किया गया है।
यहाँ विशेष रूप से दिलचस्प बात यह है कि बलदा अभियान में लक्षित कमजोरियों के बारे में पहले से ही पता है। इनमें से कुछ कमजोरियों को वर्षों पहले स्वीकार किया गया था, जबकि अन्य को हाल ही में खोजा गया था। बलदा इंजेक्टर का लक्ष्य संक्रमित साइट पर तैनात होने के लंबे समय बाद तक मौजूद रहना है, भले ही इसके द्वारा उपयोग किए गए प्लगइन को अपडेट प्राप्त हो।
पूर्वोक्त ब्लॉग पोस्ट में, सुकुरी ने बलदा को तैनात करने के लिए उपयोग की जाने वाली कई संक्रमण विधियों को सूचीबद्ध किया, जिनमें शामिल हैं:
- एचटीएमएल इंजेक्शन।
- डेटाबेस इंजेक्शन।
- साइटयूआरएल इंजेक्शन।
- मनमाना फ़ाइल इंजेक्शन।
इसके शीर्ष पर, बलदा इंजेक्टर String.fromCharCode का उपयोग एक अस्पष्टता के रूप में करता है ताकि साइबर सुरक्षा शोधकर्ताओं के लिए इसका पता लगाना और हमले की तकनीक के भीतर किसी भी पैटर्न को चुनना कठिन हो।
नकली लॉटरी, नोटिफिकेशन स्कैम और फोनी टेक रिपोर्ट प्लेटफॉर्म जैसे स्कैम पेजों पर यूजर्स को रीडायरेक्ट करने के लिए हैकर्स बलदा के साथ वर्डप्रेस साइट्स को संक्रमित कर रहे हैं। बलदा संक्रमित साइट डेटाबेस से मूल्यवान जानकारी भी निकाल सकता है।
बलदा इंजेक्टर अटैक से कैसे बचें
Balada Injector से बचने के लिए कुछ उपाय अपनाए जा सकते हैं, जैसे:
- वेबसाइट सॉफ़्टवेयर को नियमित रूप से अपडेट करना (थीम और प्लगइन्स सहित)।
- सॉफ्टवेयर की नियमित सफाई करना।
- सक्रिय कर रहा है दो तरीकों से प्रमाणीकरण.
- का उपयोग करते हुए मजबूत पासवर्ड.
- साइट व्यवस्थापक अनुमतियों को सीमित करना।
- फ़ाइल अखंडता नियंत्रण प्रणाली को लागू करना।
- स्थानीय विकास परिवेश फ़ाइलों को सर्वर फ़ाइलों से अलग रखना।
- किसी समझौते के बाद डेटाबेस पासवर्ड बदलना।
इस तरह के कदम उठाकर आप अपनी वर्डप्रेस वेबसाइट को बलदा से सुरक्षित रख सकते हैं। सुकुरी के पास भी है वर्डप्रेस सफाई गाइड जिसका उपयोग आप अपनी साइट को मैलवेयर से मुक्त रखने के लिए कर सकते हैं।
बलदा इंजेक्टर अभी भी ढीला है
लेखन के समय, बलदा इंजेक्टर अभी भी बाहर है और वेबसाइटों को संक्रमित कर रहा है। जब तक यह मैलवेयर पूरी तरह से बंद नहीं हो जाता, तब तक यह वर्डप्रेस उपयोगकर्ताओं के लिए जोखिम बना रहता है। हालांकि यह सुनकर हैरानी होती है कि यह पहले से ही कितनी साइटों को संक्रमित कर चुकी है, आप सौभाग्य से पिछले दरवाजे की भेद्यता और बलदा जैसे मैलवेयर के खिलाफ पूरी तरह से असहाय नहीं हैं जो उन खामियों का फायदा उठाते हैं।
