IFRAME virus – How to Completely Remove from your site

গত সপ্তাহ আগে আমার ওয়েবসাইট হঠাৎ করে ডাউন হয়ে পড়ে। কারণ খুঁজতে গিয়ে দেখি আমার সাইটের index.php, index.html ফাইলে একটা অদ্ভুত কোড স্বয়্ক্রীয়ভাবে জন্মলাভ করেছে! আমি ম্যানুয়ালি সেটাকে রিমোভ করলাম। কোন লাভ হলো না। ব্যাকআপ নিয়ে সব ক্লিন করলাম। তারপরও কোন লাভ হলো না।

যেকে সেই। ২৪ ঘন্টার পর একই ভাইরাস ফিরে আসছে এবং আমার সাইটকে কিছুতেই দাঁড়াতে দিচ্ছে না এবং আরও ভয়ঙ্কর ব্যাপার হচ্ছে এর কারণে গুগল, ইয়াহু, এমএসএন সার্চ ইঞ্জিনগুলো আমার সাইটকে attack site হিসেবে চিহ্নিত করছে। এবার  আমি এটাকে নিয়ে রীতিমত গবেষণা শুরু করলাম!

ভাইরাসের নাম :

প্রাথমিকভাবে একে  IFrame virus নামে নামকরণ করা হয়েছে।

কিভাবে আপনার সাইটে এই ভাইরাস এলো :

আপনার FTP Client এর মাধ্যমে। গুগলে যতজনের সমস্যা পড়লাম তাতে মনে হলো- যারা Filezilla এর মত এফটিপি ক্লায়েন্ট ব্যাবহার করেন তারাই এর দ্বারা আক্রান্ত হয়েছেন। Filezilla স্বয়ক্রীয়ভাবে আপনার FTP password এবং account login details সংরক্ষণ করে রাখে এবং ট্রোজানটি এই সুযোগটি কাজে লাগায়। পারতপক্ষে এটি Filezilla এর সমস্যা না। সমস্যা বসে আছে আপনার পিসিতে। ট্রোজান রিমোভার এবং আপডেট এন্টিভাইরাস এর মত সফটওয়্যার ব্যবহার করে পিসি স্ক্যান করলে দেখতে পাবেন কয়েক প্রকার ট্রোজান/ভাইরাস আপনার পিসিতে নিশ্চিন্তে বসবাস করছে!

প্রতিকারের উপায় :

  • ১. আপডেট এন্টিভাইরাস দিয়ে পিসি স্ক্যান করুন। তাতে সন্তুষ্ট না হলে সিষ্টেম ফরমেট করে নতুন ভাবে চালু করুন।
  • ২. এবার আক্রান্ত ফাইলগুলো থেকে সার্চ করে ম্যানুয়ালি IFrame কোড  সরিয়ে নিন।
  • ৩. FTP password পরিবর্তন করুন। হয়তো আপনার বর্তমান পাসওয়ার্ড এরিমধ্যে অন্য কারো কাছে চলে গেছে।
  • ৪. প্রতিবার  Filezilla থেকে ডেটা আপলোড করার পর ক্যাশ ক্লিয়ার করে নেবেন।
  • ৫. Edit -> Clear Private Data -> ৪টা অপশনেই টিক দিতে হবে -> Ok
  • ৬. ফাইলজিলায় প্রতিবার লগইন করার সময় ম্যানুয়ালি লগ ইন করবেন।

এই ভাইরাস আপনার সাইটকেও হয়তো কব্জা করেছে। আশা করি আমার অভিজ্ঞতা আপনার কাজে আসবে।

Level 0

আমি Netsoul। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 16 বছর 5 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 3 টি টিউন ও 23 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস

এই ভাইরাস টেকটিউনেও একবার আক্রমন করেছিল এছাড়া প্রথম-আলো, যুগান্তর, সমকাল সহ আরো অনেক নামী দামী ওয়েবসাইটে এই ভাইরাস আক্রমন করেছিল। প্রথম-আলো, যুগান্তর, সমকাল এর কারনে ডোমেইন ও হোষ্টিং পরিবর্তনও করেছিল মাঝখানে কিছুদিন এবং তাদের নতুন ভার্সন আসার মূল কারন এটা। ধন্যবাদ টিউনের জন্য।

Level 0

মন্তব্যের জন্য ধন্যবাদ।

আমার সাইট http://www.bdwebzone.com/ এ এটি আক্রমন করেছিল। আমি আপনার মত ম্যানুয়ালী এটি রিমুভ করেছিলাম। তারপর আমি সারভার পরিবর্তন করেছিলাম। আমি তখন CoreFTPLite ব্যবহার করতাম । এখন FileZilla

আমার তৈরি করা সাইটগুলোতে এই সমস্যা দেখা দিলে আমি কোডগুলো ঘাটতে থাকি। এবং পেয়ে যাই বাড়তি সেই কোড যা আমি লিখিনি। এরপর হার্ডডিস্কে সেই ফাইল নামিয়ে ভাইরাস স্ক্যানার দিয়ে চেক করি। কিন্তু কোনো কিছুই পেলাম না। কোডগুলো মুছে দিয়ে আবার আপলোড করে দেখি একই অবস্থা। বুঝলাম কেউ আমার ফাইলগুলোতে এই কোড লিখছে। এবার ফ্রেশ ফাইল আপলোড করে রিড অনলি (৬৪৪ বা ৭৪৪) করে দিলাম FTP সফটওয়্যার দিয়ে। বাস সমাধান হয়ে গেল। এরপর থেকে index.htm, index.html, index.php ফাইলগুলোকে সবসময় রিডঅনলি করে রাখি।
এখানে বলে রাখি, এই সমস্যা দেখা দেওয়ার পর গুগল ক্রোম ব্যবহার করে দেখি যে সাইটগুলো ওপেন হচ্ছিল। কিন্তু মজিলা, ওপেরা দিয়ে হচ্ছিল না।

Level 2

ধন্যবাদ এরকম একটা খবর জানানোর জন্য।এখন থেকে শতরক থাকা যাবে।