워드프레스 멀웨어
2019.01.12 19:41
지인이 운영중인 블로그 같은 매체가 있는데
제가 워드프레스로 빌드한 것입니다.
근데 멀웨어가 설치돼서 한동안 이용자들이 불편을 겪은 모양입니다.
아이폰 xs 를 드립니다 라든가 구글 설문조사 라든가 하는 형태로 나타나는 피싱입니다.
ftp로 백업파일을 받아서 들여다 보고 의심가는 파일들을 지웠습니다.
이상이 없는 것 같아서 일단은 지켜보기로 했는데 조금 찝찝합니다.
싹 지우고 새로 설치하고 필수적인 파일들만 다시 올리고 db 조금 수정해서 주입하고 그럼 되겠지만
잘 안될까봐 무서워서 못하겠더군요..
WinMerge 이용해서 공홈에서 받은 워드프레스 파일폴더와 ftp로 백업받은 파일폴더를 비교해서 다음과 같은 파일을 지웠습니다.
/wp-includes/rest-api/armaac0wur.php
/wp-includes/random_compat/aaivevtznz.php
/wp-content/ru6eh24ugt.php
/wp-admin/css/colors/2ykt8xefui.php
/wp-includes/random_compat/aaivevtznz.php
/wp-content/ru6eh24ugt.php
/wp-admin/css/colors/2ykt8xefui.php
파일내 구문들이 똑같고 기존 파일에 해당 구문을 넣은 사례는 없는 걸로 봐서 ftp 접근 권한을 가진 것은 아닌걸로 판단 했습니다.
db 내에도 해당 구문의 일부를 검색해봤는데 나오지 않아서 깨끗하다 봤구요..
워드프레스도 최신버전을 업했으니 당분간은 괜찮겠죠?
아닐 수도 있겠지만 이대로 넘어가줬으면 좋겠네요.
코멘트 2
번호 | 제목 | 작성자 | 작성일 | 조회 |
---|---|---|---|---|
공지 | [공지] KPUG 운영비 모금. 안내 드립니다. - updated 230805Sa [24] | KPUG | 2023.08.05 | 1623 |
공지 | [안내의 글] 새로운 운영진 출범 안내드립니다. [14] | 맑은하늘 | 2018.03.30 | 24537 |
공지 | KPUG에 처음 오신 분들께 고(告)합니다 [100] | iris | 2011.12.14 | 434609 |
29458 | 요즘 먹어본 것들 [9] | matsal | 08.11 | 189 |
29457 | 오늘도 철없는 중년은 뭔가 또 들고 온것 같습니다 [2] | 바보준용군 | 08.11 | 189 |
29456 | 태풍 무사 통과 굿 !!!! [2] | 박영민 | 08.09 | 154 |
29455 | 운영비 현재 잔액 안내 드립니다. [5] | 맑은하늘 | 08.05 | 227 |
29454 | 오늘의 술!!! [6] | 박영민 | 08.04 | 152 |
29453 | 서현역 참사 생각... [3] | 맑은하늘 | 08.04 | 152 |
29452 | 무알콜 맥주.. [4] | 아람이아빠 | 08.02 | 125 |
29451 | 알뜰폰 요금제 몇 가지 정리해봤습니다. [3] | 수퍼소닉 | 08.02 | 255 |
29450 | 보름달입니다. [3] | 박영민 | 08.02 | 106 |
29449 | 카카오 에게 능욕당한 기분… [6] | 바보준용군 | 08.01 | 154 |
29448 | 욕심을 억제해야하는데, 쉽지 않네요. [15] | 수퍼소닉 | 07.31 | 235 |
29447 | 다들 살아는 계신지요? [5] | 해색주 | 07.30 | 118 |
29446 | 어제 테니스 경기가 있었습니다. [2] | minkim | 07.24 | 142 |
29445 | 여름을 대비 하는 나의 자세 [11] | 바보준용군 | 07.22 | 190 |
29444 | 출산 신고 [4] | 박영민 | 07.22 | 142 |
29443 | 금요일 밤을 맞이 하는 나의 자세!!! [3] | 박영민 | 07.21 | 139 |
29442 | 냉장고 교체 [9] | Alphonse | 07.21 | 149 |
29441 | 시작 메뉴가 작동하지 않습니다. 다음에 로그인할 때 수정하도록 하겠습니다. [2] | Alphonse | 07.21 | 110 |
29440 | 농장 지킴이입니다. [4] | 박영민 | 07.21 | 117 |
그외 3-4개 파일 더 삭제했습니다.
일부php 파일이 .suspected 파일로 변환되어서 그것도 삭제
.suspected 검색해보니 해킹얘기만 나오네요
다 밀고 새로 설치하라고.. ㅜ.ㅜ
.suspected 는 tinymce 라고 에디터 애드온에 들어있었네요
애드온을 통한 감염도 많다는데 저게 문제인지..
아님 회원가입할때 구문을 넣어서 들어온건지..
근데 이거 대처한다고 php 파일 해당 구문을
윈도10용 컬러노트에 넣었더니 프로그램이 종료돼 버리네요
지웠다 다시 깔려고 했는데 설치가 안되어버림.
ㅜ.ㅜ 제 컬러노트 다 털리진 않겠죠?