최근 유행하는 워드프레스 멀웨어 증상

2018. 10. 12. 16:18 | 댓글 8

워드프레스는 보안에 강하지만 워드프레스 코어 파일, 테마, 플러그인의 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용)으로 보안에 구멍이 생겨 해킹이나 멀웨어에 노출될 수 있습니다.

특히 인기 있는 테마나 플러그인이 보안 취약점으로 인해 업데이트되면 해커들의 타겟이 될 수 있으므로 항상 최신 버전으로 업데이트를 하고 업데이트가 오랫동안 안 된 테마나 플러그인은 사용하지 않는 것이 안전합니다. 그리고 무엇보다 '백업'을 생활화하면 만약의 사태 시에 복원이 가능합니다.

오늘 Error establishing a database connection 오류가 발생(IE에서는 500 서버 내부 오류)하는 워드프레스 사이트의 복구를 맡았습니다.

워드프레스 DB 오류

이 오류는 보통 DB 정보가 잘못되어 나타납니다. 의뢰하신 분에 의하면 DB 정보를 제대로 입력해도 문제가 나타나서 호스팅 업체에 문의하니 자기들은 워드프레스에 대해 책임을 지지 않는다는 말을 들었다고 하네요.

사이트를 살펴보니 서버에 이상한 파일들이 생성되어 있고 DB Host 부분의 정보가 변경되어 있었습니다. DB Host 설정을 제대로 바꾸어주고 눈에 띄는 이상한 파일을 삭제하니 Error establishing... 오류가 발생하지 않았지만 사이트가 이상한 스팸 사이트로 리디렉션되었습니다.

서버에는 다음과 같은 이상한 파일들이 생성되어 있었습니다.

워드프레스 멀웨어

무의미한 이름의 PHP 파일이 사이트 곳곳에 존재했습니다. 파일 하나를 열어 보니 다음과 같은 이상한 코드가 들어 있었습니다.

워드프레스 멀웨어

의심스러운 파일을 모두 삭제한 후에 멀웨어 스캔을 해보니 포스트 내에도 수상한 URL이 포함되어 있는 것으로 나타났습니다.

그래서 DB에서도 문제가 되는 악성 코드를 모두 찾아서 삭제했습니다.

얼마 전까지는 PHP 파일이나 js 파일에 악성 스크립트가 삽입되는 멀웨어가 많았지만, 최근 들어 파일에 악성 스크립트가 삽입될 뿐만 아니라 DB에도 의심스러운 코드가 삽입되어 사이트에 접속하는 사용자를 이상한 스팸 사이트나 데이트 주선 사이트 등으로 이동시키는 멀웨어가 부쩍 많아 진 것 같습니다.

그러므로 사이트가 멀웨어에 감염될 경우 데이터베이스에 이상한 스크립트가 추가되지 않았는지도 확인해보면 좋을 듯 합니다.

어제는 frenkulok.info, fokus-mokus.info, edumix.info 등으로 접속할 때마다 주소를 달리하여 리디렉션되는 멀웨어 문의를 받았습니다. 이 건에 대해서는 확인해보지 않았지만 비슷한 방식으로 워드프레스 사이트가 멀웨어에 감염되지 않았을까 생각됩니다.

사이트가 해킹 당하거나 멀웨어에 감염된 경우에는 먼저 웹호스팅의 롤백 기능을 사용하여 이상이 없는 상태로 되돌리면 간편하게 복구가 가능합니다. 국내 호스팅인 카페24에서는 지난 7일 간의 백업본을 제공하고 해외 호스팅 중 하나인 사이트그라운드(SiteGround)는 지난 30일 이내의 기간으로 전체 혹은 부분적으로 롤백이 가능합니다.

워드프레스 문제로 인해 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고:

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">
  1. thumbnail
    2018.10.12 21:31

    비밀댓글입니다

  2. thumbnail
    veneto

    백업은 필수네요!!