이전 글에서 언급했지만 최근 utroro[.]com으로 리디렉션되는 멀웨어가 출현하여 피해를 보는 사례가 발견되고 있어 주의가 요구됩니다.
utroro[.]com 멀웨어는 브라우저 바이러스가 아니고 사이트 감염 바이러스입니다. 이 멀웨어는 러시아 해커에 의해 유포된 것이라고 하네요. (러시아 해커들 나빠요ㅠㅠ)
Utroro.com 리디렉션 워드프레스 멀웨어 치료 작업
이 멀웨어에 감염된 사이트를 사용자가 방문하면 utroro[.]com 사이트로 리다이렉션됩니다.
하지만 관리자 페이지에는 접속이 가능합니다. 이 멀웨어에 감염된 사이트의 여러 파일에 hxxps://cdn.eeduelements[.]com/jquery.js를 호출하는 스크립트가 추가됩니다.
그리고 이상한 파일이 생성되어 있을 수 있습니다. 이상한 파일을 열어보면 아래 그림과 같이 이상한 코드가 들어 있습니다.
이 멀웨어를 제거하려면...
- 소스 파일을 검색하여 hxxps://cdn.eeduelements[.]com/jquery.js를 호출하는 스크립트를 모두 제거합니다.
- 이상한 파일을 찾아서 모두 제거합니다.
사이트가 복구되면 보안 플러그인 설치 등을 통해 보안 조치를 해주어야 합니다.
먼저는 백업을 받아 놓은 후에 멀웨어 제거를 시도해보시기 바랍니다. 만약 백업본이 있다면 백업본을 사용하여 복원을 시도하는 것이 좋습니다. (가령 패스트코멧과 카페24의 경우 지난 7일 이내 기간으로 복원이 가능합니다.)
참고로 보안을 위해 다음과 같은 조치가 도움이 될 수 있습니다.
- 보안 플러그인 설치
- 정기적인 사이트 백업
- 강한 비밀번호 사용
- 관리자 ID에 admin, 사이트명을 사용하지 않기
- 워드프레스를 최신 버전으로 업데이트
- 테마를 최신 버전으로 업데이트
- 플러그인을 최신 버전으로 업데이트
- 보안에 취약한 플러그인(예: 오랫동안 업데이트가 안 된 플러그인) 삭제
웹호스팅 레벨에서 보안이 취약한 경우도 있는 것 같습니다. 공교롭게도 최근 복구를 의뢰받은 utroro[.]com 리다이렉트 멀웨어에 감염된 사이트 두 곳이 국내의 한 웹호스팅 업체였습니다.
워드프레스와 관련하여 어려움을 겪는 경우(예: 사이트 접속 불능, 악성코드 감염) 여기에서 서비스(유료)를 의뢰할 수 있습니다.
※ 이 멀웨어의 변종으로 unverf[.]com으로 리디렉션되는 멀웨어가 있습니다.
미리 대비하는 것이 최선
유비무환(有備無患)이라는 말이 있듯이 사이트가 감염되거나 해킹되기 전에 미리 대비하는 것이 최선 같습니다. 워드프레스 사이트를 항상 최신 버전으로 업데이트하고 백업을 철저히 하는 한편, 보안 플러그인을 설치하면 어느 정도 안심하실 수 있습니다. 물론 사이트가 감염되기 전에 이러한 조치를 취해야 합니다. 감염되고 난 후에는 무용지물입니다.
여러 가지 조치에도 멀웨어 제거에 어려움을 겪거나 워드프레스 또는 웹호스팅 관련 문제 해결이 필요한 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
참고
https://avada.tistory.com/3275
https://avada.tistory.com/3046