카페24 워드프레스 멀웨어 치료 작업

며칠 전 카페24에서 호스팅되는 워드프레스 사이트 문제로 클라이언트께서 연락해 왔습니다. 관리자 페이지를 제외한 모든 페이지가 열리지 않는 상태였고, 잠시 후 관리자 페이지에 접속 시 "이 웹사이트에 심각한 오류가 발생했습니다" 오류가 발생했습니다.

FTP를 통해 서버를 살펴보니 이상한 폴더들이 생성되어 있고 해당 폴더에는 악성코드가 들어가 있는 것으로 의심되는 파일이 있었습니다. 또한, .htaccess 파일에도 이상한 코드들이 삽입되어 있었고 플러그인 폴더에는 알 수 없는 플러그인이 설치되어 있었습니다.

카페24 워드프레스 멀웨어 치료 작업

클라이언트는 주로 카페24에서 워드프레스를 만들어서 고객사 사이트를 제작해 주는 홈페이지 업체였습니다. 이전에도 몇 차례 카페24에서 운영 중인 워드프레스 사이트가 멀웨어에 감염되어 멀웨어 치료를 한 적이 있었습니다.

보통 워드프레스 코어, 테마, 플러그인 등을 장기간 최신 버전으로 업데이트하지 않고 사용하는 경우에 멀웨어에 감염될 가능성이 높습니다. 하지만 이번 사이트는 비교적 최근에 제작된 사이트였습니다.

1개월 전에 이 클라이언트의 의뢰를 받아 멀웨어에 감염된 사이트의 치료를 맡은 적이 있습니다. 증상이 그 때의 사이트와 비슷했습니다.

카페24: FTP/SSH에서 파일을 삭제할 수 없는 문제 (feat. 멀웨어 감염)

이번 사이트에서도 FTP를 통해 파일을 수정하거나 삭제하려고 시도하면 수정이 되지 않거나 삭제가 되지 않는 현상이 발생했습니다.

위의 그림과 같이 악성코드 파일이 든 것으로 의심되는 폴더를 삭제하려고 시도하거나 .htaccess 파일을 수정하려고 시도하면 "550 Permission denied" 에러가 발생했습니다.

카페24의 서버 보안에 문제가 있어서 동일한 멀웨어에 감염된 것인지, 아니면 해당 클라이언트가 사용하는 특정 플러그인에 악성코드가 주입된 것이 아닌지 의심이 되었습니다.

예를 들어, 엘리멘터 프로 등 유료 플러그인을 공식 사이트가 아닌 알 수 없는 경로를 통해 저렴하게 구입하거나 무료로 다운로드하는 경우 해당 플러그인 파일에 악성코드가 숨겨져 있을 수 있습니다. 하지만 해당 사이트에 설치된 유료 플러그인은 엘리멘터밖에 없었고 라이선스가 등록된 것으로 보아서 가능성은 낮아 보였습니다.

카페24를 이용하는 경우 서버에서 제공하는 보안 기능만으로 불충분할 수 있으므로 Wordfence 등 보안 플러그인을 설치하는 것이 안전할 수 있습니다.

악성코드 감염 의심 파일이 포함된 폴더와 플러그인, 악성코드가 삽입된 .htaccess 파일

웹서버에 접속했을 때 이상한 폴더가 있거나 설치한 적이 없는 플러그인이 설치되어 있거나, .htaccess 파일이나 wp-config.php 파일 등에 이상한 코드가 포함되어 있으면 멀웨어에 감염되었을 가능성이 높습니다.

해당 사이트에 접속하면 아래 그림과 같이 f649f라는 생뚱맞은 이름의 폴더가 생성되어 있었습니다.

해당 폴더 안에 index.php라는 파일이 들어 있었고, 파일을 열어보니 난독화된 코드로 되어 있어 파일 내용을 파악하기 어려운 상황이었습니다.

이와 같이 알아 보기 어려운 난독화된 코드로 되어 있다면 코드를 챗GPT에 넣어서 악성코드인지 여부를 확인할 수 있습니다.

상기 코드는 웹서버에 업로드되면 공격자가 원격으로 쉘이나 악성코드를 삽입할 수 있도록 설계된 매우 위험한 백도어라고 합니다.

.htaccess 파일에도 이상한 코드가 주입되어 워드프레스 사이트가 제대로 작동하지 않도록 되어 있었습니다.

그리고 wp-content 폴더에도 cb1, install.php, kworkerd와 같은 비정상적인 파일들이 존재했습니다.

또한, 이상한 이름의 플러그인(abipipowu)도 설치되어 있었는데, 클라이언트 담당자에게 물어보니 설치한 적이 없는 플러그인이라는 답변을 들었습니다.

이처럼 웹서버에 이상한 파일들과 폴더들이 생성되어 있는 것으로 보아서 멀웨어에 감염된 것이 확실했습니다. 최근의 추세인지, 아니면 카페24에서 잘 감염되는 멀웨어인지는 몰라도 파일과 폴더를 삭제할 수 없도록 퍼미션이 변경되어 있었습니다.

이와 같이 멀웨어에 감염된 것이 확실하다면 카페24에서 지난 7일 이내의 날짜로 사이트를 롤백하여 사이트 복원을 시도할 수 있습니다. 만약 감염이 7일 이전에 이루어졌거나 정상적인 상태의 백업본이 없다면 직접 멀웨어를 치료해야 합니다. (참고로 클라우드웨이즈의 경우 백업 설정에 따라 지난 4주 이내의 날짜로 복원이 가능합니다.)

이를 위해서는 웹서버에서 멀웨어 의심 파일과 폴더를 삭제하고 멀웨어에 감염된 파일들을 모두 치료해야 합니다. 그리고 치료 후에는 보안 조치를 제대로 해야 합니다. 그렇지 않으면 다시 감염될 가능성이 높습니다.

경우에 따라 DB에도 악성코드가 주입될 수 있습니다. DB에 접속하여 악성코드가 삽입되지 않았는지 체크하여 제거하는 작업도 필요합니다. 

참고로 관리자 아이디로 admin을 사용하는 것은 위험할 수 있습니다. 가급적 관리자 사용자 이름으로 admin을 사용하지 말고, admin을 사용하고 있다면 다른 이름으로 변경하시기 바랍니다.

카페24에서는 보안상의 이유로 phpMyAdmin 서비스를 종료했기 때문에 phpMyAdmin을 먼저 설치한 후에 DB에 접속이 가능합니다.

👉 멀웨어 등 워드프레스나 웹호스팅 관련 문제의 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

마치며

워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나, 보안에 문제가 있는 테마나 플러그인을 사용하거나, 오랫동안 방치되고 있는 플러그인을 사용하거나, 약한 비밀번호, 다른 사용자와 비밀번호 정보 공유 등 보안 관행을 무시하는 경우 보안에 허점이 생겨 해킹이나 악성코드 감염 등의 문제가 발생할 수 있습니다. 항상 최신 버전으로 업데이트하고 정기적으로 백업하면 사이트를 안전하게 운영할 수 있습니다.

참고

https://avada.tistory.com/3458

블루호스트에서 멀웨어 치료 및 클라우드웨이즈로 워드프레스 이전 작업

https://avada.tistory.com/3450

멀웨어에 감염된 워드프레스 사이트 복구 및 업데이트 작업

https://avada.tistory.com/3554

클라우드웨이즈(Cloudways)에서 가성비 좋은 케미클라우드로 워드프레스 이전