클라이언트께서 운영하는 워드프레스 사이트에 이상한 스크립트가 로드되는 문제의 해결을 맡았습니다. 페이지 소스를 살펴보니 헤더 섹션에 아래 그림과 같이 이상한 자바스크립트 파일이 로드되고 있었습니다.
해당 JS 파일을 클릭해 보면 난독화된 코드가 표시되었습니다. 하지만 어디에서 해당 코드가 추가되는지를 찾는 것이 쉽지 않았습니다. 모든 데이터 파일과 데이터베이스(DB)를 체크해 보았지만 문제의 JS 코드를 로드하는 코드가 보이지 않았습니다.
외국인 개발자에게 작업 의뢰 시 조심하세요
문제의 사이트는 카페24에서 호스팅되고 있었는데, 해당 사이트와 또 하나의 사이트에 대하여 클라이언트께서 방글라데시 개발자에게 코딩 작업을 맡겼는데, 두 사이트 모두에서 위와 같은 현상이 발생했습니다. (총 3개 사이트 중 외국인 개발자에게 의뢰하지 않은 사이트에는 문제가 발생하지 않았습니다.)
외부 JS 파일을 살펴보니 아래와 같이 난독화되어 이해가 쉽지 않게 되어 있었습니다.
코드를 챗GPT에 넣어 물어보면 해당 코드가 어떤 기능을 하는지 대략적으로 알 수 있습니다.
문제는 해당 코드가 어디에서 로드가 되는지를 찾는 것입니다. 일반적으로 몇 가지를 의심해 볼 수 있습니다.
- 테마나 플러그인 파일에 코드가 숨겨져 있거나
- 플러그인을 통해 스크립트 삽입
- DB를 통해 추가
하지만 아무리 찾아 보아도 해당 코드가 어디에서 삽입되었는지 찾을 수 없었습니다.
임시적인 방법으로 플러그인을 사용하여 해당 사이트에서 js 파일이 로드되지 못하도록 시도해보았습니다. 하지만 일시적으로 외부 JS 파일이 로드되지 않았지만, 조금 지나니 모든 플러그인이 비활성화되는 현상이 발생했습니다.
시간을 충분히 투자하여 코드가 어떤 경로를 통해 삽입되었는지 확인할 수 있었습니다. 이때까지 접해보지 못한 방식으로 코드를 추가되어 있었습니다. 그런 것을 고안할 시간과 노력으로 다른 일을 했다면 더 좋지 않았을까 하는 생각이 들었습니다.😥
<!-- Advegic - START -->
<?php
$av_excludes = array('about-us','contact-us','privacy-policy','disclaimer', 'dmca', 'terms-conditions', 1396);
if(!is_page($av_excludes)): ?>
<script src="https://example.live/s/av.xxxxx.js"></script>
<?php endif; ?>
<style>
aside[id^=ai_widget] {
padding: 0 !important;
background: transparent;
border: none;
}
aside#ai_widget-5 {
position: sticky;
top: 80px;
}
.inside-right-sidebar {
height: 100%;
}
</style>
<!-- Advergic - END -->돈을 받고 작업하면서 클라이언트 사이트에 악성코드로 의심되는 파일을 로드하도록 코드를 몰래 심는 것은 이해가 되지 않네요.
참고로 사이트가 멀웨어에 감염될 경우에는 보통 서버에 접속해 보면 이상한 이름의 파일들이 생성되어 있는 경우가 많습니다.
워드프레스 사이트가 멀웨어에 감염되었는지 확인하는 방법 - 워드프레스 정보꾸러미
워드프레스 자체는 보안에 강하지만 사이트를 업데이트하지 않거나 보안에 취약한 테마 또는 플러그인을 사용할 경우 사이트가 해킹을 당하거나 멀웨어(악성코드)에 감염될 우려가 있습니다.
www.thewordcracker.com
많은 경우 데이터 파일을 통해 악성코드가 주입되지만 DB를 통해 악성코드가 유입되기도 합니다.
워드프레스는 보안에 강하지만 업데이트를 소홀히 할 경우 보안에 문제가 발생할 수 있습니다. 워드프레스 코어, 테마, 플러그인을 가능한 한 최신 버전으로 유지하는 것이 안전합니다. 그리고 정기적으로 백업하여 PC에 보관하면 문제가 발생 시 사이트를 복구할 수 있습니다.
또한, 보안 플러그인을 설치하여 보안을 강화할 수 있습니다. 클라우드웨이즈나 케미클라우드 등 일부 호스팅은 멀웨어를 스캔하여 악성코드가 있을 경우 제거할 수 있도록 위치를 알려주기도 합니다.
클라우드웨이즈 Malware Protection: 멀웨어 감지 기능 향상 - 워드프레스 정보꾸러미
클라우드웨이즈에서는 애플리케이션 레벨에서 Malware Protection 애드온을 활성화할 수 있습니다. 비용은 1~5개 애플리케이션에 대하여 애플리케이션당 월 4달러, 6개 이상의 경우 월 3달러, 15개 이
www.thewordcracker.com
멀웨어를 포함하여 워드프레스나 웹호스팅 관련 문제 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
https://avada.tistory.com/3458
블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업
한 계정에 여러 개의 사이트를 설치하는 경우 하나의 사이트가 멀웨어에 감염되며 다른 사이트들도 멀웨어에 감염되는 경우가 많습니다. 블루호스트(Bluehost)에서 같은 계정에 있는 모든 워드프
avada.tistory.com
https://avada.tistory.com/3417
아바다 테마가 설치된 워드프레스 사이트에서 멀웨어 (악성코드) 제거 작업
어제는 워드프레스 베스트셀링 테마인 아바다 테마가 설치된 워드프레스 사이트에서 멀웨어를 제거하는 작업을 수행했습니다. 사이트를 오랫동안 업데이트를 하지 않고 방치하다 악성코드에
avada.tistory.com