워드프레스 해킹 12

워드프레스: 해킹 의심 사이트 복원 작업

워드프레스로 제작된 뉴스 사이트에 엄청나게 많은 관리자가 생성되어 이상한 기사들이 발행되고 있는 문제로 클라께서 연락을 해오셨습니다. 보통 해킹 당하거나 악성코드에 감염되면 한 두 개의 관리자 계정이 생성되지만, 해당 사이트에서는 300명이 넘는 관리자가 생성되어 있었고, 영어로 이상한 글들이 계속 발행되고 있었습니다. 워드프레스: 해킹 의심 사이트 복원 작업 멀웨어에 감염되거나 해킹되면 이상한 관리자 계정이 생성되어 있는 경우가 많습니다. 이번에 문제가 된 사이트에는 이상한 관리자가 300명 넘게 생성되어 있었습니다.😢😢 그리고 영어로 된 이상한 스팸 글들도 많이 발행되어 있었습니다. 글들은 영어로 되어 있었지만 태그는 영어, 한국어, 일본어, 러시아어, 중국어, 아랍어 등 다양한 언어로 설정되어 있었..

워드프레스 멀웨어 감염 사이트 복구

어제는 멀웨어에 감염된 사이트를 복구하는 작업을 수행했습니다. 워드프레스 자체는 보안에 강하지만 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하지 않고 방치할 경우나 약한 비밀번호를 사용하는 경우에 악성코드에 감염될 가능성이 있습니다. 또한, 웹호스팅에서도 웹방화벽을 설치하는 등의 보안 조치를 하면 해킹이나 멀웨어 등을 예방하는 데 도움이 됩니다. 하지만 서버 레벨에서 강력한 보안 조치를 취한다 해도 워드프레스 사이트 업데이트를 소홀히 할 경우 문제가 발생할 수 있습니다. 워드프레스 멀웨어 감염 사이트 복구 국내 웹호스팅 업체에 호스팅 중인 워드프레스 사이트가 접속되지 않는 문제를 해결하는 작업을 맡았습니다. 살펴보니 이름의 PHP 파일들이 생성되어 있었습니다. 7월 10일 이전에 멀웨어에 감염된..

워드프레스: .htaccess 파일 자동 생성 문제

워드프레스 관리자 페이지에 접속하려고 시도할 때 Error 403 Forbidden 오류가 발생하는 문제와 관련하여 문의를 받았습니다. FTP에 접속하여 사이트를 살펴보니 .htaccess 파일과 index.php 파일을 삭제해도 자동으로 생성되었습니다. 멀웨어(악성코드)에 감염되면 이런 문제가 발생합니다. 워드프레스: .htaccess 파일 자동 생성 문제 워드프레스 사이트가 리디렉션 멀웨어에 감염되어 백업본을 사용하여 과거 버전으로 복원한 후에 관리자 페이지에 접속하려고 시도할 때 403 Forbidden 오류가 발생하는 문제를 접하게 되었습니다. .htaccess 파일을 살펴보니 다음과 같은 코드로 되어 있었습니다. Order Allow,Deny Deny from all Order Allow,Den..

해외호스팅 FastComet: 워드프레스 사이트가 멀웨어에 감염 시

FastComet에서 호스팅되는 워드프레스 사이트가 멀웨어에 감염될 경우 사이트 접속이 차단되고 IP 주소도 차단될 수 있습니다. 악성코드 제거 작업을 맡아서 멀웨어에 감염된 파일들을 FastComet의 테스트 사이트로 업로드하니 곧바로 사이트 접속이 차단되고 내 IP 주소도 차단되었습니다. 눈에 띄는 악성 파일들을 제거한 후에 올렸는데, 일부 악성코드가 그대로 남아 있어 문제가 된 것 같습니다. 해외호스팅 FastComet: 워드프레스 사이트가 멀웨어에 감염 시 FastComet에 호스팅되는 사이트에 접속이 안 되는 경우에는 FastComet에 연락하여 롤백을 요청할 수 있습니다. 저는 하루 전 버전으로 복원을 요청했습니다. FastComet에서는 7일치 백업을 유지하고 있는 것 같습니다. 해외 웹호스..

워드프레스 'Hacked By MR.GREEN' 멀웨어 복구 방법

최근 오랫동안 업데이트를 하지 않아서 멀웨어에 감염된 워드프레스 사이트 복구 작업을 진행했습니다. 악성코드 파일을 모두 제거하고 phpMyAdmin을 통해 살펴보니 본래 워드프레스 관리자 계정은 삭제되어 있고, admin이라는 관리자 계정이 생성되어 있는 것을 발견했습니다. 비번을 바꾸어서 사이트에 접속해보니 사이트 제목이 'Hacked By MR.GREEN'으로 되어 있는 것을 발견했습니다. 이 글에서는 'Hacked By MR.GREEN' 멀웨어에 감염되었을 경우 대처 방법에 대해 살펴보겠습니다. 워드프레스 'Hacked By MR.GREEN' 멀웨어 사이트에 접속이 되지 않는 문제로 문의를 받아서 FTP에 접속해보니 그림과 같이 이상한 php 파일들이 엄청나게 생성되어 있었습니다. 이상한 이름의 폴..

워드프레스 사이트 해킹으로 인한 스팸 글 생성 문제 해결

지난 주에 워드프레스 사이트를 오랫동안 업데이트하지 않고 관리자 ID를 admin으로 사용하는 등 보안에 소홀히 한 사이트가 해킹 당해 스팸 글이 생성되어 구글에 검색되는 문제의 해결을 맡았습니다.워드프레스 사이트 해킹으로 인한 스팸 포스트 생성 문제 워드프레스는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용, admin을 관리자 사용자명으로 사용 혹은 사이트의 도메인명을 관리자 계정명으로 사용) 등으로 인해 사이트가 해킹 당하거나 멀웨어에 감염될 수 있습니다. 문제를 살펴보니, 구글에 검색되는 해당 사이트의 링크를 클릭하면 이상한 스팸 사이트로 이동하는 문제가 발생했습니다. 그리고 구글에 '비아그라' 판매 같은 광고 글들이 해당 사이트의 도메인으로 노출되었습니다. ..

사이트가 로딩되지 않는 워드프레스 멀웨어 치료

워드프레스는 보안에 강하지만 업데이트를 소홀히 하면 사이트가 악성코드에 감염되거나 해킹을 당할 수 있습니다. 어제 워드프레스 사이트가 로딩되지 않는 증상의 멀웨어 치료를 맡았습니다. 첫 페이지는 로딩 아이콘만 표시되었고, 다른 페이지에 접근하려고 시도하면 404 에러가 발생했습니다. FTP에 접속하여 사이트를 살펴보니 이상한 PHP 파일이 생성되어 있고 워드프레스 코어 파일, 테마 및 플러그인의 일부 파일이 변조된 것을 확인할 수 있었습니다. 특히 Super Socialat이라는 이상한 플러그인이 설치되어 있었습니다. 또한, 숨김 파일 형태의 ico 파일이 많이 생성되어 있는 것도 발견할 수 있었습니다. 웹호스팅 문제인지 백도어 파일로 의심되는 일부 php 파일과 ico 파일이 삭제가 되지 않았습니다. ..

최근 유행하는 워드프레스 멀웨어 증상

워드프레스는 보안에 강하지만 워드프레스 코어 파일, 테마, 플러그인의 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용)으로 보안에 구멍이 생겨 해킹이나 멀웨어에 노출될 수 있습니다. 특히 인기 있는 테마나 플러그인이 보안 취약점으로 인해 업데이트되면 해커들의 타겟이 될 수 있으므로 항상 최신 버전으로 업데이트를 하고 업데이트가 오랫동안 안 된 테마나 플러그인은 사용하지 않는 것이 안전합니다. 그리고 무엇보다 '백업'을 생활화하면 만약의 사태 시에 복원이 가능합니다. 오늘 Error establishing a database connection 오류가 발생(IE에서는 500 서버 내부 오류)하는 워드프레스 사이트의 복구를 맡았습니다. 이 오류는 보통 DB 정보가 잘못되어 나타납니다. 의..

워드프레스 2018.10.12

워드프레스 uploads 폴더나 다른 폴더에 이상한 파일이 있는 경우 (멀웨어 감염)

워드프레스 uploads 폴더나 다른 폴더에 위의 그림과 같이 이상한 파일이 생성되는 경우가 있을 수 있습니다. 이 경우 보통 멀웨어에 감염되어 나타나는 현상 중 하나입니다. 이런 파일을 모두 삭제해도 시간이 지나면 또 생성됩니다. 멀웨어/악성코드/해킹의 원인 다음과 같이 업데이트를 소홀히 하거나 보안에 신경을 쓰지 않을 때 해킹을 당하거나 멀웨어에 감염될 수 있습니다. 워드프레스 코어를 최신 버전으로 업데이트하지 하지 않는 경우 워드프레스 테마 또는 플러그인을 최신 버전으로 업데이트하지 않는 경우 관리자 ID로 admin, administrator나 사이트 도메인과 동일한 이름을 사용하는 경우 관리자 비밀번호가 너무 짧은 경우 오랫동안 업데이트되지 않은 플러그인/테마를 사용하는 경우 출처가 불분명한 곳..

워드프레스 2018.07.11

해킹으로 인한 워드프레스 멀웨어 감염 치료 및 복원

해킹으로 인한 워드프레스 사이트 멀웨어 감염 치료 및 복원 어제는 이상한 광고 사이트로 리디렉션되는 멀웨어(악성코드)에 감염된 사이트를 치료하고 복구하는 작업을 맡았습니다. 사이트를 살펴보니 관리자 아이디와 비밀번호가 취약하여 봇에 의해 해킹된 후에 멀웨어가 심어진 것처럼 보였습니다. 사이트에 접속하면 외부 사이트로 이동하게 되어 관리자 페이지에도 접속할 수 없었습니다. 의심스러운 파일을 모두 제거하고 관리자 페이지에 로그인해보니 예상대로 이상한 관리자 계정이 하나 추가되어 있었습니다. 그리고 이미지 업로드 폴더에 삭제할 수 없는, modify로 시작하는 이상한 파일들이 생성되어 있었습니다. 닷홈에 요청하여 삭제해달라고 했지만 '서버 측에서도 확인해 본 결과 첨부 이미지에 보여지는 modify로 시작하는..

워드프레스 2018.06.20