최근 오랫동안 업데이트를 하지 않아서 멀웨어에 감염된 워드프레스 사이트 복구 작업을 진행했습니다. 악성코드 파일을 모두 제거하고 phpMyAdmin을 통해 살펴보니 본래 워드프레스 관리자 계정은 삭제되어 있고, admin이라는 관리자 계정이 생성되어 있는 것을 발견했습니다. 비번을 바꾸어서 사이트에 접속해보니 사이트 제목이 'Hacked By MR.GREEN'으로 되어 있는 것을 발견했습니다.
이 글에서는 'Hacked By MR.GREEN' 멀웨어에 감염되었을 경우 대처 방법에 대해 살펴보겠습니다.
워드프레스 'Hacked By MR.GREEN' 멀웨어
사이트에 접속이 되지 않는 문제로 문의를 받아서 FTP에 접속해보니 그림과 같이 이상한 php 파일들이 엄청나게 생성되어 있었습니다.
이상한 이름의 폴더들도 많이 생성되어 있는 것도 발견되었습니다.
문제가 되는 모든 파일들을 제거하고 DB를 통해 관리자 비번까지 바꾸어 워드프레스 사이트에 로그인을 할 수가 있었습니다.
하지만 사이트에 접속하니 사이트 제목이 'Hacked by MR.GREEN'으로 바뀌어져 있는 것이 눈에 띄었습니다.
그리고 사용자 메뉴를 살펴보니 admin과 guest라는 두 계정이 있었고, guest도 관리자 계정으로 되어 있었습니다. guest 계정은 삭제하고 admin 계정은 DB를 통해 사용자 이름과 이메일 주소를 변경했습니다.
그런데 글, 페이지를 살펴보니 대부분의 콘텐츠가 삭제된 것 같았습니다. 테마를 본래 테마로 바꾸고 플러그인도 모두 활성화했지만 사이트는 콘텐츠는 복구되지 않았습니다. 즉, 해커 혹은 악성코드에 의해 모든 콘텐츠가 초기화되었던 것입니다.
따라서 이 멀웨어에 감염될 경우에는 백업하여 보관해놓은 DB(데이터베이스)가 없으면 복구가 불가능하게 됩니다.
백업본이 없다면 웹호스팅 업체에 문의하여 백업본이 있는지 확인해보시기 바랍니다. 악성코드에 감염된 지 시간이 제법 지났다면 백업본이 없을 수도 있습니다. 자체 백업한 백업본도 없고 웹호스팅에서도 악성코드에 감염되기 전의 백업본을 보유하고 있지 않다면 복구는 할 수 없습니다.
저는 다행히 FTP에 접속하여 살펴보니 몇 년 전에 백업해놓은 DB 파일을 하나가 있었습니다. 해당 DB를 가지고 복원해보니 완벽하지는 않았지만 사이트를 복구할 수 있었습니다. (아마 DB가 최종본이 아니었던 것 같습니다. 그래도 그 DB가 없었다면 사이트 자체를 날릴 뻔했습니다.)
백업본으로 복원 후 조치
백업본이 있다면 복원을 한 후에...
- 워드프레스를 최신 버전으로 업데이트합니다.
- 테마를 최신 버전으로 업데이트합니다.
- 모든 플러그인을 최신 버전으로 업데이트합니다.
- 오랫동안 업데이트가 안 되고 방치된 플러그인은 제거합니다.
- 경우에 따라 PHP 버전을 업그레이드해야 할 수도 있습니다.
- 보안 플러그인을 설치합니다.
- 백업을 하여 잘 보관합니다.
- FTP 비밀번호, 워드프레스 관리자 비밀번호, 웹호스팅 패스워드 등을 모두 변경합니다. (다른 사람이 추측할 수 없는 복잡한 비번을 선택합니다.)
마치며
워드프레스는 보안에 강한 편이지만 업데이트를 소홀히 하고, 약한 비밀번호를 사용하는 등 보안에 신경을 쓰지 않으면 악성코드에 감염되거나 사이트가 해킹당할 수 있습니다. 그러면 사이트 평판에도 문제가 발생하게 됩니다. 구글에 "Hackd by Mr.Green"이라고 검색해보면 많은 사이트가 이 멀웨어에 감염되어 있는 것을 확인할 수가 있습니다.
얼마 전에 워드프레스 5.7 업데이트가 릴리즈되었습니다. 가능하면 최신 워드프레스 버전으로 업데이트하시기 바랍니다.
참고