워드프레스 해킹 복구 및 보안최적화 작업을 진행했습니다. 악성코드에 감염이 되어 특정사이트 ( utoro[.]com ) 로 리다이렉트 되는 현상이 나타나는 사례가 접수되어 복구 작업을 진행했습니다. 증상을 살펴보면 사이트에 접속을 했을 때 자동으로 utoro 로 접속이 되고 가짜 reCAPTCHA 가 나오고 있습니다.
워드프레스 전문 보안 회사인 Sururi 사에 의하면 아래 다른 URL 로도 접속이 이루어진다고 합니다.
hxxp://murieh[.]space/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub
hxxps://unverf[.]com/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub
(출처: 수쿠리 블로그 )
이 증상을 일으키는 멀웨어 (악성코드)는 JS 파일과 PHP 파일 둘다 감염시키고 있는데, tagDiv 테마 ( 뉴스페이퍼, 뉴스맥 ) 와 얼미팃 멤버 플러그인의 취약점에 의해 감염이 되고 있습니다. 뉴스페이퍼 테마 (Newspaper Theme) 와 얼티밋 멤버 플러그인 둘다 국내에서 많이 사용되고 있는 상황이라 앞으로 이 악성코드에 의한 피해가 커질 것으로 예상이 됩니다. 이번 복구 요청도 뉴스페이퍼 테마를 사용하고 있던 중에 감염이 된 사례입니다. 이미 해킹에 의해 악성코드에 감염된 상태에서는 감염코드 제거 및 테마와 플러그인 버전 업데이트 작업이 필요합니다.
JS 파일 감염은 아래 코드를 이용해서 제거했지만, PHP 파일은 제 설치를 하는 방법으로 복구 작업을 진행했습니다.
find / -type f -name “*jquery*” | xargs grep -rl “jQuery”
아직 악성코드에 감염이 되지 않았지만 구 버전의 뉴스페이퍼 테마나 관련 플러그인을 사용하고 있다면 예방을 위해 업데이트 작업이 필요해보입니다. 지원이 필요한 분들은 스마일보이랩으로 연락주시면 신속히 대응해 드리겠습니다.
서비스 문의
홈페이지문의 : https://www.smileboylab.com/contact/
이메일문의 : admin@smileboylab.com
전화문의 : 02-352-0405, 02-2135-2876
톡톡 : https://talk.naver.com/ct/wc4p5h
카카오플러스친구 : http://pf.kakao.com/_yYxcRxl
Warning: file_get_contents(domain/mp3play.online.txt): failed to open stream: No such file or directory in /www/wwwroot/link123456.online/getlink/index.php on line 27
