스팸 팝업을 표시하는 악의적인 워드프레스 플러그인: Injectbody/Injectscr
보안업체인 Sucuri에 의하면 최근 원치 않는 팝업을 표시하는 스크립트를 주입하는 injectbody와 injectscr이라는 악의적인 플러그인에 감염된 사이트가 늘어나고 있다고 합니다.
이 두 플러그인은 유사한 폴더 구조를 가집니다.
Injectbody
wp-content/plugins/injectbody/
- njectbody.php: 2146바이트 (플러그인 코드)
- inject.txt: 2006바이트 (JavaScript 삽입)
njectscr
wp-content/plugins/injectscr/
- injectscr.php: 1319바이트 (플러그인 코드)
- inject.txt: 3906바이트 (JavaScript 삽입)
이 두 플러그인에는 자신의 존재를 숨기는 함수가 포함되어 있습니다. 사이트가 감염되면 숨겨진 injectbody 플러그인이 이상한 스크립트를 사이트 페이지에 삽입하게 됩니다. injectscr 플러그인도 비슷한 스크립트를 추가합니다.
리스크를 줄이기 위한 조치
- 일부 활성화된 플러그인은 관리자에게도 표시되지 않을 수 있으므로 워드프레스 관리자 인터페이스만 믿지 말고, wp-content/plugins 폴더를 직접 검사하여 있으면 안 되는 폴더가 있는지 확인하도록 합니다. 만약 wp-content/plugins/injectbody/와 wp-content/plugins/injectscr/ 폴더가 있으면 삭제해야 합니다.
- 해커는 워드프레스에 로그인하여 플러그인을 설치합니다. 따라서 해커는 관리자 비밀번호를 알고 있거나 별개의 관리자 사용자를 생성했을 수 있습니다. 그러므로 해킹을 당한 경우 반드시 다음과 같은 조치를 취하도록 합니다.2.1. 모든 워드프레스 비밀번호(최소한 관리자 계정이라도)를 즉시 변경합니다.
2.2. 모든 사용자를 검토합니다. 특히 관리자 계정을 주의하여 살펴봅니다. 다음 사용자는 반드시 삭제하도록 합니다: INJECTBODY__ADMIN / INJECTSCR__ADMIN. - 다른 멀웨어에 감염되지 않았는지 확인하도록 합니다. 백도어가 있지 않은지도 주의하여 살펴봅니다.
자세한 사항과 기술적인 내용은 Sucuri 블로그 글을 참고해보시기 바랍니다.
참고:
일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.