워드프레스 일기의 워드프레스 악성코드 46

지난 2월 카페24에서 호스팅되는 워드프레스 사이트 속도가 너무 느려 속도가 비교적 빠른 것으로 평가받는 해외 웹호스팅 중 하나인 사이트그라운드(SiteGround)로 이전하는 작업을 맡았습니다. 이전을 하면서 데이터 파일을 살펴보니 이상한 PHP 파일이 다수 발견되었습니다. 이전을 완료한 후에 멀웨어에 감염된 것 같다고 알려주었습니다. 이상한 파일은 보이는 대로 삭제했지만, 이 경우 멀웨어를 완전히 제거하지 않으면 사이트에 문제가 발생할 가능성이 있습니다. 그리고 속도가 느린 이유가 아마도 멀웨어 때문이 아닌가 의심되었습니다. 사이트그라운드: 멀웨어로 사이트 차단 시 해결 방법 며칠 전에 사이트에 접속하면 403 Forbidden Error가 발생하는 문제로 복구를 문의해왔습니다. 403 Forbidd..

워드프레스는 보안에 강하지만 업데이트를 소홀히 하면 사이트가 악성코드에 감염되거나 해킹을 당할 수 있습니다. 어제 워드프레스 사이트가 로딩되지 않는 증상의 멀웨어 치료를 맡았습니다. 첫 페이지는 로딩 아이콘만 표시되었고, 다른 페이지에 접근하려고 시도하면 404 에러가 발생했습니다. FTP에 접속하여 사이트를 살펴보니 이상한 PHP 파일이 생성되어 있고 워드프레스 코어 파일, 테마 및 플러그인의 일부 파일이 변조된 것을 확인할 수 있었습니다. 특히 Super Socialat이라는 이상한 플러그인이 설치되어 있었습니다. 또한, 숨김 파일 형태의 ico 파일이 많이 생성되어 있는 것도 발견할 수 있었습니다. 웹호스팅 문제인지 백도어 파일로 의심되는 일부 php 파일과 ico 파일이 삭제가 되지 않았습니다. ..

약 보름 전에 릴리즈된 워드프레스 5.1.1에서는 Stored XSS 취약점이 패치되었습니다. 그러므로 워드프레스 운영자는 반드시 최신 버전으로 업데이트해야 안전합니다. 보안업체인 Sucuri에 따르면 5.1.1이 공개된 후 열흘 후에 워프레스 사이트들을 스캔한 결과 60% 가량이 아직도 최신 버전으로 업데이트하지 않았다고 합니다. 워드프레스 5.1이 설치된 사이트에서는 자동으로 5.1.1로 업데이트가 될 것입니다. 만약 업데이트가 되지 않았다면 업데이트 버튼을 눌러 업데이트를 해주면 됩니다. 현재 전세계 사이트의 1/3 이상이 워드프레스로 제작되었습니다. 워드프레스가 큰 인기를 끎에 따라 워드프레스를 타겟으로 하는 공격도 증가하고 있습니다. 특히 워드프레스나 인기 테마 또는 플러그인에 취약점이 발견된 ..

워드프레스는 보안에 강하지만 워드프레스 코어 파일, 테마, 플러그인의 업데이트를 소홀히 하거나 잘못된 보안 관행(예: 약한 비밀번호 사용)으로 보안에 구멍이 생겨 해킹이나 멀웨어에 노출될 수 있습니다. 특히 인기 있는 테마나 플러그인이 보안 취약점으로 인해 업데이트되면 해커들의 타겟이 될 수 있으므로 항상 최신 버전으로 업데이트를 하고 업데이트가 오랫동안 안 된 테마나 플러그인은 사용하지 않는 것이 안전합니다. 그리고 무엇보다 '백업'을 생활화하면 만약의 사태 시에 복원이 가능합니다. 오늘 Error establishing a database connection 오류가 발생(IE에서는 500 서버 내부 오류)하는 워드프레스 사이트의 복구를 맡았습니다. 이 오류는 보통 DB 정보가 잘못되어 나타납니다. 의..

지난 주에 이상한 스팸 사이트로 이동되는 증상의 멀웨어 치료를 맡았습니다. 의뢰인이 자체적으로 개발자를 통해 악성코드를 치료하고 DB도 오류가 나서 수정을 했다고 합니다. 하지만 수정 후에도 멀웨어가 있는 것으로 나와서 의뢰를 해왔습니다.이상한 스팸 사이트로 리다이렉션되는 s2.voipnewswire.net/s2.js 스크립트 파일 요청 멀웨어 치료살펴보니 s2.voipnewswire[.]net/s2.js 스크립트 파일을 요청하여 다른 URL로 리디렉션되는 현상이 나타났습니다.특히 DB(데이터베이스)에도 악성 코드가 심어져서 멀웨어가 제대로 치료가 되지 않은 것처럼 보였습니다.이런 경우 데이터 파일에서 문제가 되는 코드를 모두 제거해야 하고, DB도 점검하여 의심스러운 코드를 제거해주어야 합니다.사이트의..

일전에 utroro[.]com으로 리디렉션되는 멀웨어에 대해 처음으로 소개한 적이 있습니다.utroro[.]com 리디렉션 워드프레스 멀웨어 치료이 멀웨어에 감염되면 가짜 구글 reCAPTCHA 화면으로 이동하게 됩니다. 이 악성코드는 Ultimate Member 플러그인이나 인기 매거진 테마인 Newspaper 등 tagDiv 테마를 적시에 업데이트하지 않은 사이트에서 발생하고 있습니다.이 악성코드를 소개한지 2주가 지났지만 악성코드에 감염된 사이트 수가 줄어들지가 않고 있습니다. 더구나 이 멀웨어는 계속 진화하면서 변종이 나타나고 있습니다.워드프레스 멀웨어 변종 - tityx.com으로 리디렉션되는 악성코드tuniaf[.]com으로 리다이렉트되는 멀웨어가 그 중 하나입니다.tuniaf[.]com으로 ..

엊그제 tuniaf[.]com으로 리디렉션되는 워드프레스 멀웨어 치료 및 복구를 맡았습니다.사이트를 방문하면 위와 같이 tuniaf[.]com 사이트로 이동하면서 가짜 구글 reCAPTCHA 인증 화면이 표시됩니다.특이한 것은 주소가 1.tuniaf[.]com, 2.tuniaf[.]com... 11.tuniaf[.]com 등과 같이 계속 바뀌네요.tuniaf.com으로 리디렉션되는 워드프레스 멀웨어이 악성코드는 앞서 소개한 utroro[.]com으로 리디렉션되는 멀웨어의 변종처럼 보입니다.utroro[.]com 리디렉션 워드프레스 멀웨어 치료Ultimate Member 플러그인이나 인기 워드프레스 테마인 Newspaper 등을 제때 업데이트하지 않는 경우 utroro[.]com으로 리디렉션되는 멀웨어에 ..

워드프레스 사이트를 방문했을 때 콘텐츠가 표시되지 않고 로딩 중 화면만 계속 표시되는 경우가 있을 수 있습니다. 이러한 문제의 원인은 다양할 수 있습니다. 먼저는 모든 플러그인을 비활성화하여 문제가 해결되는지 확인해보는 것이 좋습니다. 최근에는 멀웨어에 감염되어 이런 현상이 나타나는 사례를 목격했습니다. 관리자로 로그인했을 때에는 이상이 없는 것처럼 보이고 단지 페이지가 로딩 중이 계속 표시되지만 방문자가 사이트를 방문하면 이상한 사이트로 이동하는 현상이 나타났습니다. 그림에서는 sloi1[.]com 사이트로 리디렉션되면서 화면에는 아무 내용이 표시되지 않고 있습니다. 이런 문제가 발생하면 먼저 백업본을 이용하여 정상적인 상태로 복원할 수 있다면 복원하는 것이 가장 빨리 문제를 해결하는 방법입니다. 국내..

어제는 모바일에서만 온라인 카지노 광고 같은 스팸 광고가 표시되는 멀웨어를 치료하고 워드프레스 사이트를 복구하는 일을 맡았습니다.지난 주에는 모바일로 접속하면 이상한 스팸 사이트로 이동하는 멀웨어를 치료했습니다("멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드" 참고).워드프레스 멀웨어 치료 - 모바일에서만 스팸 광고가 표시되는 악성코드 제거이처럼 최근에는 모바일에서만 증상이 나타나는 악성코드에 감염된 사례가 부쩍 눈에 띕니다.모바일에서만 증상이 나타나기 때문에 스마트폰으로 자신의 사이트를 방문하지 않는 경우 사이트가 감염되었는지 여부를 방문자가 알려주지 않으면 인식하지 못하게 될 수 있습니다.멀웨어에 감염될 경우 가장 간단한 조치 방법은 문제가 발생하지 않은 시점으로 사이..

최근 들어 모바일에서만 증상이 나타나는 워드프레스 멀웨어가 기승을 부리는 것 같습니다. 어제는 PC에서는 아무런 증상이 나타나지 않았지만 스마트폰으로 접속하면 이상한 스팸 사이트로 리디렉션되는 멀웨어 치료를 맡았습니다. (며칠 전에는 모바일에서만 온라인 카지노 사이트 등의 스팸 광고가 표시되는 악성코드에 감염된 사이트와 관련된 문의를 받았습니다.) 또한, 로그인 상태에서 사이트 접속 시에는 문제가 없지만 게스트 상태에서 사이트에 접속하면 리디렉션이 발생하는 경우도 흔히 목격됩니다. 멀웨어 감염 치료 및 복구 - 모바일에서만 스팸 사이트로 리디렉션되는 악성코드 워드프레스 사이트를 운영하는 경우 가끔씩 스마트폰을 이용하여 로그아웃 상태에서 사이트에 접속하여 이상한 광고가 표시되는지, 혹은 이상한 사이트로 이..