আসসালামুয়ালাইকুম , আশা করি সবাই অনেক ভালো আছেন । আবারো অনেক দিন পর টেকটিউন এ টিউন করছি, ভুল ত্রুতি কিছু হলে ক্ষমা করে দিবেন ।
ইদানিং হ্যাকিং বাংলাদেশ এর সাইবার জগতের সবচাইতে আলোচিত বিষয় । সেদিন দেখি আমার নিজের একটা ওয়েবসাইট iskorpitx নামের একজন হ্যাকার deface করে রাখছে, বুঝলাম নিজের ওয়েবসাইট গুলোকে সুরক্ষিত করতে হবে । ভাবলাম হ্যাকিং শেখা শুরু করি তাহলে নিজের ওয়েবসাইট গুলোকে রক্ষা করতে পারব, যোগ দিলাম বাংলাদেশী সাইবার আর্মি তে, অনেক কিছু জানলাম, দেখলাম, কিছু pdf আর ইন্টারনেট এর অনেক ওয়েবসাইট থেকে আরও অনেক কিছু জানলাম । একটা জিনিস খারাপ লাগলো । BCA এর হ্যাকার রা Expire দের নিয়ে এত ব্যস্ত যে আমাদের মত নতুনদের দেয়ার জন্য তাদের সময় খুব কম। এইটা কোন অভিযোগ নয় । সময়ের সীমাবদ্ধতা সবার আছে । তবে lammer (expire) দের নিয়া এত টেনশন না করে , 0 day হ্যাকার তৈরি করা অনেক দরকার ।
নিজের ওয়েবসাইট কে সুরক্ষিত করার জন্য হ্যাকিং শেখা সবার পক্ষে সম্ভব না, তাদের জন্য আমার ছোট্ট একটা চেষ্টা । আমি আজ জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলোর সিকিউরিটি নিয়ে কিছু কথা বলব ।
জন্মগত ভাবে জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলো অনেক দুর্বল । জুমলা ওয়েবসাইট এর সবচাইতে বড় দুর্বলতার একটা হল এটা দেখেই চেনা যায় । ওয়েবসাইট এর লিঙ্ক এ যদি "index.php?option=com_...." থাকে তাহলে ত কথাই নাই । /administrator/ লিখে অনেক সুন্দর ভাবে এডমিন এরিয়া দেখা যায় । এডমিন এর ডিফল্ট ইউজারনেম তো জানাই "admin" . বাকি থাকলো পাসওয়ার্ড । Youtube এ how to hack joomla site লিখে সার্চ দিলে সেটাও জেনে জাবেন বুদ্ধি থাকলে ।
তো আমরা কি করব ।
সবার প্রথম আপনার জুমলা এডমিন এর পাসওয়ার্ড টিকে শক্তিশালী করুন । আপনার cpanel এবং ftp এর পাসওয়ার্ড ও শক্তিশালী করুন । ওয়েবসাইট হ্যাক হবার সবচাইতে প্রথম কারন হল দুর্বল পাস ওয়ার্ড । পাসওয়ার্ড হিসাবে uppercase & lowercase letter, number , special character ব্যবহার করুন ।
আপনি যদি পাস ওয়ার্ড হিসাবে admin, qwerty, 123456, secret, password, 123456, qwerty, abc123, monkey, 1234567, letmein, 111111, iloveyou, master, sunshine, passw0rd, shadow, 123123, 654321, superman, and qazwsx তাহলে আপনার ওয়েবসাইট হ্যাক হবেনা তো কার ওয়েবসাইট হ্যাক হবে ।
এরপর আপনার জুমলা ওয়েবসাইট টিকে update করুন । হয়ত আপনার জুমলা ওয়েবসাইট টা 1.5.23 ভার্সন এ তৈরি , 1.5 এর নতুন ভার্সন 1.5.25 , এখনি আপডেট করুন । যাদের জুমলা 1.7 তারা জুমলা 1.7.3 ভার্সন এ আপডেট করুন । আপডেট ভার্সন সব এখানে পাবেন ।
http://www.joomla.org/download.html
এখন যারা নিজের জুমলা ওয়েবসাইট কে খুব সহজে আপডেট করতে চান তারা একটা extension ডাউনলোড করতে পারেন । শুধু জুমলা আপডেট করার জন্য না , এই extension টি আরও অনেক কাজ এ লাগবে । "akeeba admin tools"
akeeba admin tools কম্পোনেন্ট টি অনেক গুলো কাজ করে । এই কম্পোনেন্টটি অটোমেটিক ভাবে চেক করবে নতুন কোন জুমলা ভার্সন রিলিজ হয়েছে কিনা । যদি হয়ে থাকে তবে আপনি তা সহজেই এখানে দেখতে পারবেন এবং এখান থেকেই নিজের ওয়েবসাইট টি অনেক সহজে আপডেট করতে পারবেন। এই কম্পোনেন্ট টি জুমলা এর সার্ভার থেকে আপডেট ডাউনলোড করে আপনার ওয়েবসাইট এ extract করে দিবে , এবং আপনি ১০ সেকেন্ড এর মধ্যে দেখবেন আপনার ওয়েবসাইট টি আপডেট হয়ে গেছে ।
তারপর আমরা যে কাজ তা করব তা হল database table prefix পরিবর্তন করব। জন্মগত ভাবে জুমলা ওয়েবসাইট গুলোর database prefix হয়ে থাকে এইরকম "jos_" যা আপনার ওয়েবসাইট এর জন্য মোটেও নিরাপদ না। আপনার ওয়েবসাইট এর কোন প্রান্তে কোন sql সংক্রান্ত কোন সমস্যা থাকে আর গুগল মামা যদি তা ইনডেক্স করে ফেলে , তাহলে হ্যাকার রা আপনার ওয়েবসাইট টিকে গুগল সার্চ এর মাধ্যমে খুজে বের করে sql injection করতে পারে । তাই যদি আপনার জুমলা ওয়েবসাইট তার database prefix "jos_ " হয়ে থাকে তবে তা এখনি পরিবর্তন করে ফেলুন । আপনি database table prefix editor বাটন এ ক্লিক করে খুব সহজে এই কাজ তা করতে পারবেন । আপনি যেকোনো নাম দিতে পারেন । যেমন 'rohim_' , 'korim_' , 'yzei_' ইত্যাদি ইত্যাদি ।
তবে database table prefix এডিট করার পরপরই আপনাকে যা করতে হবে তা হল , আপনার জুমলা configuration.php ফাইলটাতেও এই পরিবর্তন তা করে দেয়া । আপনার configuration.php ফাইলটাতে এই লাইন তা খুজে বের করুন $dbprefix = 'jos_';
আপনি এডমিন টুলস এর মাধ্যমে যে database prefix দিয়েছিলেন এখানেও 'jos_' এর বদলে তা লিখে দিন । এই কাজ তা না করলে কিন্তু আপনার ওয়েবসাইট টি অফলাইন হয়ে যাবে। configuration.php ফাইল টা অবশ্যই cpanel এর file manager এর মাধ্যমে এডিট করবেন । notepad দিয়ে এডিট করার চেষ্টা করবেন না যেন ।
configuration.php ফাইল টা আপনি আপনার জুমলা ওয়েবসাইট এর মেইন ফোল্ডার এই পাবেন । এইটা খুব গুরুত্বপূর্ণ এবং নাজুক একটা ফাইল । এই ফাইল এর মধ্যে database এর পুরো তথ্য unencrypted অবস্থায় থাকে । এডিট করা শেষ হলে ফাইলটির পারমিশন 444 সেট করে দেয়া উত্তম । সবচাইতে ভালো হয় যদি এই ফাইল টিকে সরিয়ে public_html ফোল্ডার এর বাইরে রাখা যায় । কিন্তু তা করা মোটামুটি কঠিন । যদি করতে ইচ্ছা করে তবে "how to move joomla configuration.php file" লিখে গুগল এ সার্চ দিন ।
এখন আমরা যা করব তা হল admin এর user id পরিবর্তন। জন্মগত ভাবে জুমলা ওয়েবসাইট এর এডমিন এর username হল admin এবং user id হল 62 , আপনি জুমলার user manager এ গিয়ে এডমিন এর username change করতে পারবেন খুব সহজে । আর admin tools এর super administrator id বাটন ব্যবহার করে আপনার এডমিন এর user id পরিবর্তন করুন ।
এখন আমরা যা করব তা হল file এবং folder এর permission ঠিক করা । জুমলা সাইট কে হ্যাকার দের হাত থেকে রক্ষা করার জন্য এটা খুব জরুরি। সকল ফাইল এর জন্য 644 এবং সকল ফোল্ডার এর জন্য 755 । admin tools এর সাহায্যে আপনি করতে পারবেন খুব সহজে। শুধু ক্লিক করুন Fix Permission বাটন এ ।
admin tools এর আরও বেশ কিছু কাজ আছে। নিজ দায়িত্বে দেখে নিন । আশা করি বুঝতেই পারছেন । password protect administrator এই অপশন তা ব্যবহার করবেন না। এই কাজটি করার জন্য আমরা এখন আরেকটি প্লাগ ইন ব্যবহার করব।
extension টির নাম Jsecure . ওদের অফিসিয়াল লিঙ্ক হল এইটা ।
যদিও টেকা দিয়া কিনতে হয় তবুও আপনাদের দিয়া দিলাম পুরাই ফ্রী ।
কাজ হল জুমলার administrator area কে লুকিয়ে ফেলা ।
ধরুন আপনার ওয়েবসাইট এর লিঙ্ক টি হল http://www.joomlasite.com । ওয়েবসাইট টি যদি জুমলায় তৈরি হয়ে থাকে তবে এডমিন এরিয়া হল http://www.joomlasite.com/administrator/ সব জুমলা সাইট এর জন্য এইটা একই । হ্যাকাররা খুব সহজেই এটা খুজে পায় এবং ওয়েবসাইট হ্যাক করতে পারে ।
Jsecure এই /administrator/ লিঙ্কটিকে লুকিয়ে ফেলবে । নতুন লিঙ্ক কি হবে তা আপনি সেট করে দিবেন ।
যেমন http://www.joomlasite.com/administrator/?secretkey
এখন কেউ যদি http://www.joomlasite.com/administrator/ এই অ্যাড্রেস এ ঢুকে তবে সে এডমিন এর লগিন বক্স দেখতে পারবে না , সে redirect হয়ে homepage এ চলে যাবে । একমাত্র আপনি জানবেন ?secretkey টা কি ছিল এবং একমাত্র আপনি পুরো লিঙ্কটা ঠিক মত লিখে লগিন করতে পারবেন ।এছাড়াও কেউ এডমিন এরিয়া তে লগিন করার চেষ্টা করলে এই extension টি আপনাকে ইমেইল করে জানাবে যে অমুক ip থেকে কেউ আপনার ওয়েবসাইট এ লগিন করার চেষ্টা করছে । আরও টুকিটাকি কিছু function তো আছেই ।
এবার যে কাজ টা করবো টা হল Search Engine Friendly Url বা sef url . জুমলা ওয়েবসাইট কে বিভিন্ন সার্চ ইঞ্জিন এর বন্ধু বানাইতে হইলে এর বিকল্প নাই । এই কাজ এর জন্য sh404sef সবচাইতে বেস্ট extension. সবচাইতে নতুন ভার্সন এর লিঙ্ক দিলাম । জুমলা 1.5 এবং 1.7 দুইতাই আছে ।
প্রশ্ন করতে পারেন , ভাইয়া security এর সাথে sef url এর সম্পর্ক কি ? আমি বলব ১০০% সম্পর্ক আছে । sh404sef কম্পোনেন্ট টি আপনার ওয়েবসাইটটিকে lammer দের হাত থেকে বাঁচাবে । সহজে কেউ বুঝবে না আপনার ওয়েবসাইট টি জুমলায় করা । এছাড়াও flooding , sql injection, xss ইত্যাদি হ্যাকিং থেকেও বাঁচাবে । 🙂
এখন চলে যান এই লিঙ্ক এ http://docs.joomla.org/Vulnerable_Extensions_List ।
দেখুন তো এখানে যেসব extension লিস্ট করা আছে সেগুলোর কোনটা আপনি নিজের ওয়েবসাইট এ ব্যবহার করেছেন কিনা । করে থাকলে এখনি চেক করুন extension টির আপডেট কোন ভার্সন আছে কিনা যেটাতে vulnerability fix করা হয়েছে কিনা । যদি খুজে না পান তবে দেরি না করে অই extension টি রিমুভ করে দিন । lammer দের হামলা আপনার ওয়েবসাইট এর উপর অবশ্যই হবে যদি আপনার ওয়েবসাইট এ এই vulnerable extension গুলোর কোনটি আপনি ব্যবহার করে থাকেন ।
যারা এক্সপার্ট তারা এই লিঙ্ক ভিসিট করুন http://docs.joomla.org/Category:Security_Checklist এবং আপনার ওয়েবসাইট কে সুরক্ষিত করুন ।
যারা নিজের জুমলা ওয়েবসাইট টিকে ইস্পাত এর মত কঠিন করতে চান তারা ডাউনলোড করুন RSfirewall . যদি আমার কাছে সবচাইতে নতুন ভার্সনটি নাই । তবুও সবার জন্য মিডিয়াফায়ার লিঙ্ক দিলাম ।
RSfirewall extension টি আপনার পুরো জুমলা ওয়েবসাইট তাকে scan করবে এবং আপনাকে বলে দিবে যে কি কি করতে হবে । আমি উপরে যেগুলো করতে বলেছি টা যদি আপনি আপনি ঠিক মত করতে পারেন তবে rsfirewall এর security rating এ মোটামুটি ৭০+ পাবেন । বাকি কাজ গুলোন expert দের জন্য । ঠিক মত বুঝে করতে না পারলে সমস্যা হতে পারে । Screenshot দেখলেই বুঝতে পারবেন
এখন সবার শেষ এ যে কাজ টি না করলেই নয় তাহলো backup. যতই সাবধান থাকি না কেন কোন 0 day hacker যদি আপনার জুমলা সাইট এর দিকে নজর দেয় তবে শেষ । সেজন্য নিজের ওয়েবসাইট এর একটা ব্যাকআপ রাখা সবসময় জরুরি । এই কাজের জন্য সবচাইতে বেস্ট হল akeeba backup. Pro ভার্সন ফ্রী ফ্রী দিয়া দিলাম ।
আরও অনেক কিছু ছিল বলার মত , তবে আগে দেখি আমার টিউন টা কারো কাজে লাগে কিনা, কাজেই যদি না লাগে তবে আর খামোখা বকবক করবো না । দেখি সামনে পারলে ওয়ার্ডপ্রেস নিয়া লিখব। যদি ভালো লাগে তবে এডমিন রে বলব কয়েকদিন এর জন্য পোস্ট তা স্টিকি করে রাখতে । যোগ্য মনে না হইলে রাখার দরকার নাই ।
আপনারা সবাই ভালো থাকবেন ।
আমি আহত। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 2 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 22 টি টিউন ও 541 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
"As long as I have a want, I have a reason for living. Satisfaction is death."
vai onek kaaj e lagbe.amar ekhon lagbe na pore lagbe karon amar kono website nai.pore bananor asha ase.
অনেক ভাল হয়েছে, খুব সুন্দর করে গুছিয়ে লেখা। কে কি বলল সেটার দিকে পিছন না ফিরে সগর্বে সামনে চলুন। সামনে নিশ্চয়ই wordpress নিয়ে লিখবেন আশা করি।
cpanel ,ftp,database prefix ,configuration.php ,ফাইলটির পারমিশন 444 ,file এবং folder এর permission ঠিক করা e gula somporke jante chai?
ঘমচোর ভাই, আমি প্রবলেম এ পড়েছি
http://example.com/administrator/xxxxxxx
দিলেও এক্সেস হয় না, আমি security key টা নাম্বার আর আলফাবেট দিয়ে সেভ করেছি কিন্তু কাজ হচ্ছে
@ebookbd: Hi,
You can disable the jSecure plug-in and get the access of admin area.
Go to this file: /administrator/components/com_jsecure/params.php
Change the following line number 3.
from
$publish = ‘1’;
to
$publish = ‘0’;
Now you will get the access of admin area.
এবং লিঙ্ক টা এইরকম হবে http://example.com/administrator/?xxxxxxx ,
? টা না দিলে আসবে না ।
ভাই আপনারে ধইন্য না দিয়া আর পারলাম না।
ধইন্যা ধইন্যা ধইন্যা র ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা
realy apnakay ekta thanks na delay onnai hobay er actualy hacking thakay protection ki bhabay dewa jay ti sikhano dorker but ekhanay dektasi bca er admin er member ra haking sikhachay er gorbo koray boltasay habi jabi ji hok hacking sikhano er loaded pistol hatay tulay dewa ek kotha eita upoker er thakay opoker basi hochay er ja sunlam tara onek busy lamer der niya ji hok face book a arekta new forum open kora hoisay sober jonno link ta detasi
http://www.facebook.com/groups/116844585101561/
bangladesh cyber security force name a er main terget hacking thakay ki bhaby bd website gula kay save kora jay
sobai kay invite kora holo knowlade sahre korer jonno
যদিও আমার জুমলার তৈরি কোনো সাইট নেই তারপরও টিউনটি দেখলাম পড়লাম টিউনটি খুব সুন্দর হইছে।
Thanks for share with us. Carry on………………..