멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드

워드프레스 정보를 제공하는 블로그 Avada 2018. 7. 12. 06:34 • 댓글:

워드프레스 멀웨어

최근 들어 모바일에서만 증상이 나타나는 워드프레스 멀웨어가 기승을 부리는 것 같습니다.

어제는 PC에서는 아무런 증상이 나타나지 않았지만 스마트폰으로 접속하면 이상한 스팸 사이트로 리디렉션되는 멀웨어 치료를 맡았습니다. (며칠 전에는 모바일에서만 온라인 카지노 사이트 등의 스팸 광고가 표시되는 악성코드에 감염된 사이트와 관련된 문의를 받았습니다.)

또한, 로그인 상태에서 사이트 접속 시에는 문제가 없지만 게스트 상태에서 사이트에 접속하면 리디렉션이 발생하는 경우도 흔히 목격됩니다.

멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드

워드프레스 사이트를 운영하는 경우 가끔씩 스마트폰을 이용하여 로그아웃 상태에서 사이트에 접속하여 이상한 광고가 표시되는지, 혹은 이상한 사이트로 이동하는지 체크해보면 좋을 듯합니다.

멀웨어가 나타나면 가능한 경우 백업본을 사용하여 정상적인 상태로 되돌린 후에 보안 조치를 해주면 어느 정도 재발을 막을 수 있을 것입니다.

하지만 어제 멀웨어 치료를 맡았던 사이트는 카페24에서 호스팅되고 있었는데 2주 전부터 증상이 나타났다고 하네요. 카페24의 경우 (상품에 따라) 지난 7일 이내의 기간으로 롤백이 가능하므로 정상적인 상태로 되돌릴 수 없는 상황이었습니다. 참고로 클라우드웨이즈의 경우 최대 30일 이내의 백업본이 유지될 수 있으므로 악성코드 감염 시 백업본을 확인하여 감염되기 이전 상태로 복구를 시도할 수 있을 것입니다.

FTP를 통해 살펴보니 비정상적인 파일과 폴더가 여기저기 생성되어 있었습니다. 파일을 열어보면 아래 그림과 같이 이상한 코드가 들어 있었습니다.

그리고 특이하게 ngg라는 폴더가 생성되어 있고, 이 폴더 안에 무의미하게 보이는 이상한 코드로 된 파일들이 있었습니다. ngg는 NextGEN Gallery 플러그인과 관련이 있어 보입니다. 하지만 해당 사이트에는 NextGEN 플러그인이 사용되고 있지 않았습니다. (어쩌면 이전에 NextGEN Gallery 플러그인을 사용하다가 삭제했을 가능성도 있어 보입니다.)

멀웨어를 완전히 제거하고 재발을 막기 위해 보안 플러그인을 설치하고 보안 관련 몇 가지 코드를 추가했습니다.

하지만 사이트가 오랫동안 업데이트를 하지 않아서 보안 취약점이 완전히 사라진 것이 아니기 때문에 가급적이면 리뉴얼을 통해 최신 버전으로 업데이트하는 것이 좋겠다는 의견을 보냈습니다.

문제의 사이트는 워드프레스가 1년 이상 업데이트되지 않았고, 3년 이상 업데이트되지 않아서 사실상 개발자가 포기한 플러그인도 사용되고 있었습니다. 오랫동안 업데이트가 되지 않는 플러그인은 삭제하고 다른 대체 플러그인으로 바꾸는 것이 보안상 좋습니다.

워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용)으로 인해 보안이 취약해질 수 있습니다. 관리자 이름에 admin, administrator 등을 사용하거나 약한 비밀번호를 사용할 경우 사이트가 해킹될 수도 있으므로 주의가 필요합니다. 가능한 경우 항상 워드프레스, 테마, 플러그인을 최신 버전으로 유지하는 것이 중요합니다.

[요약*-FTP를 통해 서버에 접속 시 이상한 이름의 PHP 파일들이 생성되어 있으면 멀웨어 감염을 의심해볼 수 있습니다.
- 멀웨어 감염 시 관리자로 로그인한 상태에서는 이상이 없지만 게스트(비회원)로 접속 시 이상한 스팸 사이트로 리디렉션이 발생할 수 있습니다.
- PC에서는 문제가 없지만 모바일 기기에서만 리디렉션이 발생하는 경우도 있습니다.
- 항상 최신 버전으로 업데이트하고 정기적으로 백업하여 대비할 수 있습니다.
- 멀웨어 감염 시 백업본을 사용하여 감염 이전 상태로 롤백하고 보안 조치를 합니다.*]

※ 멀웨어나 기타 워드프레스 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고: