나우호스팅에서 워드프레스 악성코드 제거 후 카페24로 이전 작업

지난주 금요일에 나우호스팅에서 호스팅 중인 2개의 워드프레스 사이트에서 악성코드(멀웨어)를 제거한 후에 카페24로 이전하는 작업을 맡았습니다. 하나의 호스팅에 3개의 사이트가 있었는데, 모든 사이트가 멀웨어에 감염된 상태였습니다. 그중에서 2개의 사이트를 대상으로 작업을 진행했습니다.

나우호스팅에서 워드프레스 악성코드 제거 후 카페24로 이전 작업

클라께서 구글에서 "site:도메인명"으로 검색하면 일본어 콘텐츠가 노출되는 악성코드에 감염되어 악성코드 제거 및 이전 작업을 제게 의뢰해 왔습니다.

example.com/download 등과 같은 페이지로 일본어 콘텐츠가 노출되었지만, 상당수는 example.com/products/10wp1234와 같이 products 폴더로 URL이 시작되었습니다.

products 디렉터리로 시작하는 URL 개수가 153개 정도네요.

공유호스팅에서 한 계정에 여러 개의 사이트를 관리하는 경우 계정 내의 사이트 하나가 멀웨어에 감염되면 계정 내의 모든 사이트가 악성코드에 감염될 가능성이 있습니다. 실제로 해당 서버에는 3개의 워드프레스 사이트가 연결되어 있었는데, 메인 워드프레스 사이트의 감염 상태가 심했고 나머지 사이트들도 감염된 것을 발견했습니다.😥

사이트가 멀웨어에 감염되면 몇 가지 증상이 나타납니다.

1. 사이트 방문 시 이상한 스팸 사이트로 리디렉션. 요즘에는 로그인 시에는 리디렉션이 발생하지 않고 비로그인 상태(게스트)로 접속할 때에만 리디렉션이 일어나는 경우가 많아서 너무 늦게 감염 사실을 알게 되는 경우가 종종 있습니다.
2. 사이트 방문 시 이상한 팝업 표시.
3. 검색엔진에 이상한 콘텐츠가 색인되는 경우도 흔합니다. 특히 일본어로 된 스팸 콘텐츠가 노출되는 경우를 자주 접하게 되네요.😥
4. 사이트 접근 불가능. 사이트 자체에 접속이 안 되는 경우도 있습니다. 심지어 데이터베이스(DB)와 파일들이 모두 삭제되는 사례를 본 적도 있습니다. 이 경우 데이터와 DB 백업본이 없는 경우 복구가 불가능할 수 있습니다.

멀웨어 감염이 의심되는 경우 서버에 접속하여 이상한 이름의 파일이 생성되어 있지 않은지 체크해 보시기 바랍니다.

다음과 같은 경우 악성코드에 감염되었을 가능성이 높습니다.

1. 서버에 이상한 이름의 파일이 있는 경우. 예를 들어, 루트 폴더에 워드프레스 관련 파일 외에 이상한 파일(예: pages.php, document.php...)이 있다면 악성코드에 감염되었을 가능성이 높습니다.
2. 이상한 이름의 폴더. 위의 그림에서는 68e1f라는 이상한 폴더가 생성되어 있습니다. 
3. 간혹 폴더마다 .htaccess 파일이 생성되어 있는 경우도 있습니다.
4. 테마 폴더에 설치한 적이 없는 테마가 설치되어 있거나, 플러그인 폴더에 설치한 적이 없는 플러그인이 설치된 경우.
5. uploads 폴더 아래에 이상한 PHP 파일이 생성되어 있는 경우.
6. wp-config.php 파일이나 .htaccess 파일에 이상한 코드가 생성되어 있는 경우
7. 워드프레스 관리자 페이지의 사용자 페이지에 이상한 관리자가 추가되어 있는 경우.

파일을 열어보면 보통 코드가 난독화되어 알아 보기 어렵게 되어 있는 경우가 많습니다.

이런 코드를 복사하여 챗GPT에 붙여넣기 한 다음, 악성코드인지 여부를 알려달라고 할 수 있습니다. 상기 그림은 코드가 난독화되어 알아보기 어렵게 되어 있는데요. 전형적인 악성코드의 예입니다.

그리고 .htaccess 파일에 다음과 같은 코드가 추가되어 있다면, 사이트가 악성코드에 감염된 것입니다.

해당 사이트는 이런 모든 증상이 나타났습니다. 악성코드에 감염된 파일들이 너무 많아서 해결이 쉽지 않았지만, 악성코드를 모두 제거한 다음, 카페24로 사이트를 옮겼습니다.😄

참고로 클라우드웨이즈(Cloudways)를 이용하는 경우 사이트에 악성코드가 검색되면 이메일을 통해 통지합니다. 하지만 간혹 스팸 댓글 내에 포함된 코드를 악성코드로 감지하는 등 오감지가 있을 수 있습니다. 멀웨어 감염 알림 메일을 받으면 사이트가 실제로 감염되었는지 확인한 후에 대처할 수 있습니다.

클라우드웨이즈 멀웨어 감지 이메일을 받는 경우 확인 사항 - 워드프레스 정보꾸러미

멀웨어 예방하기

멀웨어를 예방하기 위해서는 다음과 같은 조치가 도움이 됩니다.

1. 워드프레스, 테마, 플러그인을 항상 최신 버전으로 업데이트
2. 보안 취약점이 있는 테마나 플러그인은 업데이트하거나 삭제. (클라우드웨이즈에서는 보안 취약점이 발견되면 이메일로 알림을 보냅니다(참고). Wordfence 같은 보안 플러그인을 설치하면 도움이 됩니다.)
3. 보안 플러그인 설치(예: Wordfence)
4. 정기적으로 백업하여 다운로드
5. 강력한 비밀번호 사용
6. 계정 정보 공유 금지
7. 사용하지 않는 테마나 플러그인은 삭제
8. 오랫동안 업데이트가 안 되는 테마나 플러그인은 가급적 사용하지 않습니다.

👉 악성코드 감염, 해킹 등을 비롯하여 워드프레스 또는 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/3630

카페24: FTP/SSH에서 파일을 삭제할 수 없는 문제 (feat. 멀웨어 감염)

https://avada.tistory.com/3593

워드프레스 멀웨어: wp-config.php 파일 감염 치료

 

워드프레스 멀웨어 제거 후 클라우드웨이즈로 사이트 이전 작업 (feat. 김수키 악성코드) - 워드프