워드프레스 악성코드 30

tuniaf.com으로 리디렉션되는 워드프레스 멀웨어

엊그제 tuniaf[.]com으로 리디렉션되는 워드프레스 멀웨어 치료 및 복구를 맡았습니다. 사이트를 방문하면 위와 같이 tuniaf[.]com 사이트로 이동하면서 가짜 구글 reCAPTCHA 인증 화면이 표시됩니다. 특이한 것은 주소가 1.tuniaf[.]com, 2.tuniaf[.]com... 11.tuniaf[.]com 등과 같이 계속 바뀌네요. 이 악성코드는 앞서 소개한 utroro[.]com으로 리디렉션되는 멀웨어의 변종처럼 보입니다. utroro[.]com 리디렉션 워드프레스 멀웨어 치료 Ultimate Member 플러그인이나 인기 워드프레스 테마인 Newspaper 등을 제때 업데이트하지 않는 경우 utroro[.]com으로 리디렉션되는 멀웨어에 감염될 수 있습니다. 워드프레스, 테마, 플..

워드프레스 2018.08.30

워드프레스 홈페이지 로딩 중 화면이 계속 표시되는 경우

워드프레스 사이트를 방문했을 때 콘텐츠가 표시되지 않고 로딩 중 화면만 계속 표시되는 경우가 있을 수 있습니다. 이러한 문제의 원인은 다양할 수 있습니다. 먼저는 모든 플러그인을 비활성화하여 문제가 해결되는지 확인해보는 것이 좋습니다. 최근에는 멀웨어에 감염되어 이런 현상이 나타나는 사례를 목격했습니다. 관리자로 로그인했을 때에는 이상이 없는 것처럼 보이고 단지 페이지가 로딩 중이 계속 표시되지만 방문자가 사이트를 방문하면 이상한 사이트로 이동하는 현상이 나타났습니다. 그림에서는 sloi1[.]com 사이트로 리디렉션되면서 화면에는 아무 내용이 표시되지 않고 있습니다. 이런 문제가 발생하면 먼저 백업본을 이용하여 정상적인 상태로 복원할 수 있다면 복원하는 것이 가장 빨리 문제를 해결하는 방법입니다. 국내..

워드프레스 2018.08.29

워드프레스 멀웨어 치료 - 모바일에서만 스팸 광고 표시

어제는 모바일에서만 온라인 카지노 광고 같은 스팸 광고가 표시되는 멀웨어를 치료하고 워드프레스 사이트를 복구하는 일을 맡았습니다. 지난 주에는 모바일로 접속하면 이상한 스팸 사이트로 이동하는 멀웨어를 치료했습니다("멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드" 참고). 이처럼 최근에는 모바일에서만 증상이 나타나는 악성코드에 감염된 사례가 부쩍 눈에 띕니다. 모바일에서만 증상이 나타나기 때문에 스마트폰으로 자신의 사이트를 방문하지 않는 경우 사이트가 감염되었는지 여부를 방문자가 알려주지 않으면 인식하지 못하게 될 수 있습니다. 멀웨어에 감염될 경우 가장 간단한 조치 방법은 문제가 발생하지 않은 시점으로 사이트를 롤백(Roll-back)하는 것입니다. 카페24의 경우 7일 ..

워드프레스 2018.07.21

멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드

최근 들어 모바일에서만 증상이 나타나는 워드프레스 멀웨어가 기승을 부리는 것 같습니다. 어제는 PC에서는 아무런 증상이 나타나지 않았지만 스마트폰으로 접속하면 이상한 스팸 사이트로 리디렉션되는 멀웨어 치료를 맡았습니다. (며칠 전에는 모바일에서만 온라인 카지노 사이트 등의 스팸 광고가 표시되는 악성코드에 감염된 사이트와 관련된 문의를 받았습니다.) 또한, 로그인 상태에서 사이트 접속 시에는 문제가 없지만 게스트 상태에서 사이트에 접속하면 리디렉션이 발생하는 경우도 흔히 목격됩니다. 멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드 워드프레스 사이트를 운영하는 경우 가끔씩 스마트폰을 이용하여 로그아웃 상태에서 사이트에 접속하여 이상한 광고가 표시되는지, 혹은 이상한 사이트로 이..

워드프레스 2018.07.12

워드프레스 uploads 폴더나 다른 폴더에 이상한 파일이 있는 경우 (멀웨어 감염)

워드프레스 uploads 폴더나 다른 폴더에 위의 그림과 같이 이상한 파일이 생성되는 경우가 있을 수 있습니다. 이 경우 보통 멀웨어에 감염되어 나타나는 현상 중 하나입니다. 이런 파일을 모두 삭제해도 시간이 지나면 또 생성됩니다. 멀웨어/악성코드/해킹의 원인 다음과 같이 업데이트를 소홀히 하거나 보안에 신경을 쓰지 않을 때 해킹을 당하거나 멀웨어에 감염될 수 있습니다. 워드프레스 코어를 최신 버전으로 업데이트하지 하지 않는 경우 워드프레스 테마 또는 플러그인을 최신 버전으로 업데이트하지 않는 경우 관리자 ID로 admin, administrator나 사이트 도메인과 동일한 이름을 사용하는 경우 관리자 비밀번호가 너무 짧은 경우 오랫동안 업데이트되지 않은 플러그인/테마를 사용하는 경우 출처가 불분명한 곳..

워드프레스 2018.07.11

해킹으로 인한 워드프레스 멀웨어 감염 치료 및 복원

해킹으로 인한 워드프레스 사이트 멀웨어 감염 치료 및 복원 어제는 이상한 광고 사이트로 리디렉션되는 멀웨어(악성코드)에 감염된 사이트를 치료하고 복구하는 작업을 맡았습니다. 사이트를 살펴보니 관리자 아이디와 비밀번호가 취약하여 봇에 의해 해킹된 후에 멀웨어가 심어진 것처럼 보였습니다. 사이트에 접속하면 외부 사이트로 이동하게 되어 관리자 페이지에도 접속할 수 없었습니다. 의심스러운 파일을 모두 제거하고 관리자 페이지에 로그인해보니 예상대로 이상한 관리자 계정이 하나 추가되어 있었습니다. 그리고 이미지 업로드 폴더에 삭제할 수 없는, modify로 시작하는 이상한 파일들이 생성되어 있었습니다. 닷홈에 요청하여 삭제해달라고 했지만 '서버 측에서도 확인해 본 결과 첨부 이미지에 보여지는 modify로 시작하는..

워드프레스 2018.06.20

리다이렉트 워드프레스 멀웨어 치료 및 복구

사이트에 접속하면 cpm20.com으로 리다이렉트되는 멀웨어에 감염된 워드프레스 사이트에서 멀웨어를 치료하고 복구하는 작업을 어제 의뢰받았습니다. 하지만 사이트가 Synology에서 구동되고 있었습니다. 리디렉션 문제 때문에 사이트는 일시적으로 폐쇄되어 있는 상태였습니다. 문제는 FTP 포트가 막혀서 워드프레스 파일에 접근하는 것부터 난관에 부닥쳤습니다. 클라이언트로부터 사이트의 전체 파일을 압축한 파일을 받아서 해외 호스팅 중 하나인 사이트그라운드(SiteGround)에 테스트 사이트를 만들어서 동일한 환경을 만들기로 했습니다. 하지만 파일을 다운로드받으니까 PC에 설치된 바이러스 프로그램이 바이러스에 감염된 파일이 압축 파일에 포함된 것으로 감지하여 파일을 삭제해버리는 것이 아닌가요? 방법을 찾다가 ..

워드프레스 2018.03.29

워드프레스를 타겟으로 하는 리다이렉트 멀웨어

최근 들어 다른 사이트로 이동시키는 멀웨어에 감염된 워드프레스 사이트를 간혹 목격합니다. 워드프레스는 보안에 강한 편이지만 업데이트를 소홀히 하거나 약한 비밀번호를 사용하는 등 보안에 신경 쓰지 않으면 악성코드에 감염되거나 해킹을 당할 수 있습니다. 위의 동영상은 리다이렉트 악성코드에 감염된 사이트를 접속했을 때 다른 사이트로 리디렉션되는 것을 캡처한 것입니다. 문제는 방문자가 멀웨어에 감염된 사이트를 방문하면 이상한 사이트로 이동하지만, 관리자가 사이트에 접속하면 별 특이점이 나타나지 않는다는 점입니다. 그래서 사이트가 악성코드에 감염되었는지 제때 인식하지 못할 수 있습니다. 그러면 멀웨어를 치료할 수 있는 적기를 놓칠 수 있습니다. 항상 백업을 해놓는 것이 중요합니다. 그러면 멀웨어에 감염되거나 해킹..

워드프레스 2018.03.11

워드프레스에서 리다이렉트 멀웨어 악성코드 감염 해결

어제는 워드프레스에서 멀웨어에 감염되어 사이트가 외부 사이트로 리다이렉트되는 현상이 나타나는 사이트의 해결을 의뢰받아 문제를 수정했습니다. 워드프레스에서 리다이렉트 멀웨어 악성코드 감염 해결 클라이언트 사이트를 운영할 수가 없어서 임시로 유지보수 중이라는 페이지를 내걸고 있었습니다. 사이트를 방문하면 위의 그림과 같이 이상한 페이지로 이동하는 현상이 나타났다고 하네요. 사이트를 스캔해보니 악성코드가 있다는 경고가 발생했습니다. 본래 지난 달에 문제가 발생했는데, 처음 문제가 발생하자 웹호스팅의 복구 기능을 사용하여 문제가 없던 시점으로 복원했다고 합니다. 그렇게 하니 문제가 해결되었다가 다음 날에 또 문제가 발생했고, 다시 복원했지만 이제는 문제가 해결되지 않았다고 하네요. 근본적인 문제를 해결하지 않고..

워드프레스 2018.03.07

해킹 시도는 왜 주말에 급증하는 것일까?

워드프레스로 운영되는 사이트 몇 개를 유지관리하는 일을 맡고 있습니다. 어제 한 클라이언트로부터 메일이 왔습니다. 지난번에 제 메일로 notification이 너무 많이와서 메일드렸었는데요, 현재 블루호스트에 등록되어있는 accounts 메일로도 메일이 엄청 온다고 본사에서 연락이 오네요. 첨부파일로 전달드리는 것처럼 같은 시간에 스팸처럼 너무 많이 와서요.. 얼마 전에 Bluehost에서 너무 많은 이메일이 온다고 하여 살펴보니 서버에 어떤 이벤트가 발생할 때마다 알림이 제공되도록 설정되어 있었습니다. 그래서 중요한 이벤트가 있을 때에만 알림이 전송되도록 바꾸어주었습니다. 어제는 Site Lockout Notification이라는 제목의 이메일이 연속적으로 계속 전송되는 문제가 발생한다고 하네요. 살펴..

워드프레스 2018.03.05