워드프레스 사이트가 멀웨어에 감염되었는지 확인하는 방법

Last Updated: 2024년 09월 27일 댓글

워드프레스 자체는 보안에 강하지만 사이트를 업데이트하지 않거나 보안에 취약한 테마 또는 플러그인을 사용할 경우 사이트가 해킹을 당하거나 멀웨어(악성코드)에 감염될 우려가 있습니다.

사이트에 접속할 때 이상한 스팸 사이트로 리디렉션되는 등 이상 증상이 발생하면 멀웨어 감염을 의심해볼 수 있습니다.

웹호스팅 업체의 멀웨어 스캔 기능

멀웨어 감염이 의심될 경우 호스팅 업체에 연락하여 멀웨어 스캔을 요청할 수 있습니다. 일부 호스팅은 사이트에서 악성 코드가 발견되면 사용자에게 알려서 조치를 취할 것을 요구하기도 합니다. 경우에 따라 악성 코드를 제거할 때까지 사이트 접속이 차단되기도 합니다.

패스트코멧(FastComet)이나 케미클라우드(ChemiCloud) 등의 웹호스팅에서는 Imunify360 도구를 사용하여 멀웨어을 스캔하고 악성코드를 제거하는 기능을 제공합니다.

클라우드웨이즈(Cloudways)도 2024년 9월 9일(대한민국 시각으로 아마 9월 10일)부터 Imunify360이 제공하는 멀웨어 스캐닝 기능을 무료로 추가한다고 합니다.

웹호스팅 업체으로부터 멀웨어 감염 사실을 통보 받을 경우 악성코드에 감염된 파일 리스트를 요청할 수 있을 것입니다. 멀웨어 감염 파일 목록을 검토하여 악성코드 제거를 시도할 수 있으리라 생각됩니다.

※업데이트: 클라우드웨이즈의 Malware Protection 기능을 이용하여 악성코드 감염 여부를 확인할 수 있고, 멀웨어가 감지되는 경우 감염된 파일의 경로를 확인할 수 있습니다.

워드프레스 사이트가 멀웨어에 감염되었는지 확인하는 방법

보통 맬웨어(malware)에 감염되면 사이트에 접속 시 원치 않는 외부 사이트로 리디렉션되는 경우가 많습니다.

사이트가 멀웨어에 감염되었는지 확신이 서지 않으면 앞서 언급했듯이 호스팅 업체에 연락하여 "멀웨어 감염이 의심되니 악성코드에 감염된 파일 목록을 알려달라"고 요청하면 보통 멀웨어 스캔 보고서를 제공해 줄 것입니다.

최근 블루호스트(Bluehost)에서 워드프레스 사이트의 멀웨어를 치료한 후에 클라우드웨이즈(Cloudways)로 이전하는 작업을 맡았습니다.

FTP에 접속하여 살펴보니 대부분의 디렉터리에 fbfvghnn.php라는 이상한 이름의 파일이 생성되어 있는 것을 확인했습니다. public_html 폴더는 물론 public_html 외부 폴더에도 동일한 파일이 생성되어 있었습니다.

public_html의 상위 폴더에는 시스템 관련 파일들이 위치해 있습니다. 멀웨어 스캔을 요청할 경우 스캔 보고서가 public_html의 상위 디렉터리에 생성되는 것 같습니다.

챗GPT 활용하기

이상한 이름의 파일이 있다면 멀웨어일 가능성이 높습니다. 확신이 서지 않는 경우 파일 내용을 챗GPT에게 물어보면 악성코드인지 여부를 알려 줄 것입니다.

위의 그림 속에 있는 fbfvghnn.php 파일을 열어보니 아래와 같은 코드로 되어 있었습니다.

코드를 복사하여 챗GPT에 붙여넣기 하고 해당 코드가 악성코드인지 물어보았습니다.

챗GPT에서 해당 파일에 악성코드가 포함되어 있을 가능성이 매우 높다면서 이유를 자세히 설명해 주네요.

물론 챗GPT의 답변이 부정확할 수도 있지만, 이런 유형의 질문에 대해서는 어느 정도 정확한 답변을 하는 것 같습니다.

아래는 워드프레스 사이트가 설치된 루트 폴더에 있는 파일들을 보여줍니다. 표시된 파일들에는 모두 악성코드가 포함되어 있습니다.

이러한 파일 중 하나를 열어보니 다음 그림과 같이 알아보기 어려운 코드로 되어 있었습니다.

악성코드가 포함된 파일은 아래와 같이 난독화된 코드로 되어 있는 경우가 특히 많습니다.

이 코드에 대하여 챗GPT에 물어보니 예상대로 "명백한 악성코드"라는 답변을 주네요.

악성코드의 특징 중 하나는 코드가 의도적으로 알아보기 어렵게 난독화되어 있다는 점입니다.

블루호스트를 통해 멀웨어 스캔을 하고 감염된 파일 제거를 시도했지만, 완전히 멀웨어가 제거되지 않아서 재발한 것 같습니다.

관리자 페이지에 접속하니 일부 메뉴에는 접속이 되지 않는 현상이 발생하였습니다. 그리고 엘리멘터로 만들어진 페이지를 편집하려고 시도하니 엘리멘터가 열리지 않았습니다. 또한, 백업 플러그인을 사용하여 백업을 한 후에 멀웨어 제거 작업을 진행하려고 했지만 거의 모든 백업 플러그인이 작동하지 않았습니다.

악성코드를 모두 제거하고 클라우드웨이즈로 이전한 후에는 엘리멘터를 이용하여 페이지를 편집할 수 있었습니다. 그리고 백업 플러그인으로 백업도 가능해졌습니다.

악성코드가 개별 페이지에도 삽입되어 디비에서 모두 삭제했습니다. 이 과정에서 의뢰인이 직접 추가한 일부 스크립트도 제거되었습니다. 자바스크립트 코드를 페이지에 직접 추가하는 것은 그리 좋은 생각이 아닌 것 같습니다.

마치며

멀웨어 감염이 의심되는 경우 먼저 웹호스팅 업체에 연락하여 악성코드 스캔을 요청할 수 있습니다. 마음씨 좋은 호스팅 업체의 경우 악성코드를 제거해줄 수도 있습니다. 하지만 제대로 제거하지 않으면 다시 재발되므로 확실히 악성코드를 제거하고, 보안 조치를 하는 것이 중요합니다.

FTP를 통해 서버에 접속하여 이상한 이름의 파일이 있다면 멀웨어 감염을 의심할 수 있습니다. 해당 파일을 PC로 다운로드를 시도할 때 윈도우의 악성코드 감지 프로그램이 삭제한다면 악성코드가 포함되었을 가능성이 높습니다.

공유호스팅에서는 한 사이트가 멀웨어에 감염되면 같은 계정 내의 다른 사이트들도 멀웨어에 감염되는 경우가 많습니다. 그러므로 공유호스팅에서 사이트 하나가 감염되면 해당 계정 내의 모든 사이트에서 멀웨어 제거 조치를 해주고, 블루호스트의 경우 public_html 폴더 외부에도 악성코드에 감염된 것으로 의심되는 파일들이 없는지 스캔해야 합니다.

악성코드 감염을 비롯하여 워드프레스 또는 웹호스팅 관련 문제로 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고


댓글 남기기

Leave a Comment

카카오톡 상담 카톡 서비스 상담