워드프레스 손상: 스팸 콘텐츠

일부 워드프레스 사이트에 영향을 미치는 손상이 감지되었습니다. 손상을 통해 공격자는 워드프레스 관리자 로그인에 대한 액세스 권한을 얻고 파일을 호스팅 계정에 업로드할 수 있습니다. 업로드된 파일은 스팸 콘텐츠를 워드프레스 테마 및/또는 데이터베이스에 삽입하는 데 사용되며, 이를 통해 사기적인 사이트로 연결되는 숨겨진 링크가 생성됩니다.

손상에 대한 자세한 정보와 대처 방법은 웹사이트가 해킹당하면 어떻게 하나요?에서 확인할 수 있습니다.

손상 증상

손상 시 숨겨진 링크가 생성되므로 사이트에는 보이지 않습니다. 사이트가 영향을 받았는지 파악할 수 있는 가장 좋은 방법은 홈페이지의 소스 코드를 확인하는 것입니다. 감염된 홈페이지로의 방문을 차단하려면 Google® Chrome 또는 Firefox®를 사용하고 view-source:http://[도메인 이름]을(를) 방문하는 것이 좋습니다.

이 창에서는 자주 발생하는 온라인 사기(제약 광고 또는 소액 대출 등)와 관련된 소스 코드를 검색할 수 있습니다. 다음과 같은 일반적인 용어를 검색해 보십시오.

  • 소액 대출
  • 제약
  • 비아그라
  • 시알리스

해결 방법

이 콘텐츠를 제거할 수 있는 가장 간단한 방법은 영향을 받지 않은 복원 파일에서 웹사이트의 콘텐츠와 데이터베이스를 복원하는 것입니다.

감염되지 않은 백업이 없는 경우, 해당 콘텐츠를 수동으로 제거할 수 있습니다. 이 콘텐츠가 있는 일반적인 위치 두 곳은 워드프레스 테마 헤더 또는 워드프레스 데이터베이스입니다.

테마 편집하기

워드프레스 관리자 제어판을 통해 직접 워드프레스 테마에 액세스하고 이를 편집할 수 있습니다. 테마 백업이 있는 경우에는 워드프레스 모양 메뉴를 통해 간단하게 테마를 재설치할 수 있습니다.

아니면 파일의 코드를 바로 확인할 수도 있습니다. 워드프레스를 통해 파일을 편집하는 방법에 관한 자세한 내용은 WordPress.org 문서(여기)에서 확인할 수 있습니다.

여기서는 확인한 모든 링크를 제거할 수 있습니다.

데이터베이스 정리하기

공격자는 일반적으로 악성 링크를 데이터베이스에 삽입할 때 탐지를 피할 수 있도록 역순으로 입력합니다(예: ‘link’ 대신 ‘knil’ 입력). 데이터베이스에서 관련 내용을 검색해 볼 수 있습니다.

데이터베이스를 변경하기 전에 먼저 백업부터 생성하는 것이 좋습니다(상세 정보).

phpMyAdmin 인터페이스의 검색 탭을 사용하여 데이터베이스 테이블을 수동으로 검색할 수 있습니다(상세 정보).

또한 phpMyAdmin의 SQL 탭에서 다음 데이터베이스 쿼리를 실행할 수도 있습니다.

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

이 쿼리는 wp_options 테이블에서 역순의 div HTML 마커를 포함하는 모든 항목을 선택합니다. 다음과 유사한 결과를 확인할 수 있습니다.

query results

연필 아이콘을 클릭하여 콘텐츠를 상세하게 검토할 수 있습니다. 이렇게 하면 행 콘텐츠를 확대하여 볼 수 있습니다. 여기서는 콘텐츠를 바로 편집하여 악성 텍스트를 제거할 수 있습니다. 변경 후에는 이전 페이지로 돌아가기를 클릭하여 내용을 저장할 수 있습니다. 콘텐츠 완전히 악성으로 보이면 이전 페이지로 돌아가기를 클릭한 다음 빨간색 X 아이콘을 클릭하여 항목을 제거합니다.

result details

추가 손상 파일

테마 및/또는 데이터베이스를 정리한 후에는 호스팅 계정에서 관련 파일이 유효한지 검토해야 합니다. 이 손상은 주로 다음과 같은 몇 가지 파일과 관련이 있습니다.

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

이러한 이름은 유효해 보일 수 있지만, 합법적인 파일이 아닐 수 있습니다. 파일의 코드를 확인하거나 파일의 수정 날짜를 같은 디렉터리에 있는 다른 파일의 수정 날짜와 비교하여 어떤 파일이 합법적인지 파악할 수 있습니다.

악성으로 보이는 모든 파일을 제거하거나 이름을 변경하여 비활성화하는 것이 좋습니다.

기술 정보

코드 샘플

알려진 악성 파일의 MD5Sum

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

이 글이 도움되었나요?
피드백을 보내주셔서 감사합니다. 고객 서비스 담당자에게 문의하시려면 지원 전화 번호 또는 위의 채팅 옵션을 이용하시기 바랍니다.
도와드릴 수 있어 기쁩니다! 더 도와 드릴 것이 있나요?
그것 유감스럽습니다. 혼동이 되었던 사항 또는 솔루션이 고객님의 문제를 해결하지 못했던 원인을 알려주세요.