클라우드웨이즈(Cloudways)는 멀웨어 보호 기능을 제공합니다. 사용자 애플리케이션(워드프레스)에서 악성코드를 감지하면 "Alert: Malware detected on your application..." 제목의 경고 이메일을 발송합니다. 그러나 이 알림 이메일을 받았다고 해서 반드시 악성코드에 감염된 것은 아니므로, 먼저 홈페이지가 실제로 멀웨어에 감염되었는지 확인하시기 바랍니다.
클라우드웨이즈 멀웨어 감지 이메일을 받는 경우 확인 사항
어제 클라우드웨이즈로부터 두 개의 워드프레스 사이트에서 멀웨어가 감지되었다는 알림 메일을 받았습니다.
멀웨어에 감염되었지만 치료를 하지 않고 방치할 경우 여러 가지 문제가 발생할 수 있습니다.
- 도메인이 검색엔진에 의해 블랙리스트로 등록되어 접근이 차단될 수 있습니다.
- SEO 스팸으로 인해 검색엔진 순위가 하락할 수 있습니다.
- 애플리케이션의 속도가 느려질 우려가 있습니다.
상기와 같은 이메일을 받으면 대부분의 사용자들이 당황하게 될 것입니다. 하지만 이 이메일을 받는다고 해서 모두 멀웨어에 감염된 것은 아니므로 먼저 실제로 사이트가 감염되었는지 확인하는 것이 좋습니다.
1 클라우드웨이즈에 로그인하여 Applications 탭에서 문제의 애플리케이션(워드프레스)을 클릭합니다.
2 Application Security (애플리케이션 보안) » Malware Protection (멀웨어 보호)으로 이동합니다.
위와 같이 "Your Application is infected with malware" 경고가 표시되는 경우 View Details (상세 정보 보기)를 클릭합니다.
3 "Your Application is infected" 팝업이 표시됩니다. 여기에서 감염 수(Total Infections), 감염된 파일 수(Infected Files), 데이터베이스 감염 수(Database Injections) 등의 정보를 확인할 수 있습니다.
✅ 파일이 감염된 경우
파일 감염의 경우 아래 그림과 같이 감염된 파일 이름 위에 마우스를 올리면 감염된 파일 경로가 표시되고 복사할 수 있습니다.
어떤 파일이 감염되었는지 확인합니다. 저는 …/public_html/wp-content/cache/breeze/….html 파일에서 악성코드가 감지된 것으로 표시되었습니다.
이 경우에는 실제 악성코드에 감염된 것은 아니고 캐시를 삭제하면 문제가 해결됩니다.
실제 파일이 감염된 경우에는 SFTP에 접속하여 해당 파일을 체크하여 감염 여부를 직접 확인하시기 바랍니다. 수동으로 멀웨어를 제거하거나 Malware Protection 애드온을 구독할 수 있습니다.
👉Malware Protection 애드온은 1개 애플리캐이션당 월 4달러 정도이므로 먼저 이 애드온을 구독하여 문제가 해결되는지 확인해보시기 바랍니다. 이 애드온을 이용해도 멀웨어가 제거가 안 되는 경우에는 여기에서 서비스(유료)를 의뢰하실 수 있습니다.
✅ DB가 감염된 경우
데이터베이스에 악성코드가 주입되는 경우 아래 그림과 같이 Type에 db가 표시됩니다.
Reason(사유)에 CMW-URL-28257이 표시되는데요. 이것은 Cloudways가 URL 기반으로 감지한 악성코드 이벤트의 고유 ID인 것으로 보입니다.
View를 클릭하여 감염된 테이블을 확인할 수 있습니다.
저는 영어와 스페인어로 된 사이트로 구성된 멀티사이트에서 댓글 콘텐츠에 악성코드가 주입된 것으로 나왔습니다.
이 경우는 실제로 악성코드에 감염된 것이 아니며 문제가 되는 댓글들을 삭제하면 문제가 해결됩니다.
저는 모든 댓글이 휴지통으로 이동하도록 설정하였고 오랫동안 메일을 확인하지 않고 방치하다 보니 영문 사이트에 6,200개가 넘는 스팸 댓글이 달려 있었습니다. 스팸 댓글 중 일부에 악성코드가 포함된 것으로 보였습니다.
이런 경우 스팸 댓글들을 수동으로 삭제하려면 시간이 꽤 걸릴 수 있습니다. DB에서 다음과 같은 명령을 내려서 휴지통에 든 모든 댓글을 즉시 삭제할 수 있습니다.
-- wp_comments 테이블에서 휴지통 댓글 삭제
DELETE FROM wp_comments
WHERE comment_approved = 'trash';
-- wp_2_comments 테이블에서 휴지통 댓글 삭제
DELETE FROM wp_2_comments
WHERE comment_approved = 'trash';만약 댓글이 달리면 승인 대기 중 상태가 되도록 설정했고, 많은 승인 대기 중 상태의 댓글을 일괄 삭제해야 한다면 다음과 같은 SQL 쿼리를 실행할 수 있습니다.
-- wp_comments 테이블에서 승인 대기 중 댓글 삭제
DELETE FROM wp_comments
WHERE comment_approved = '0';
-- wp_2_comments 테이블에서 승인 대기 중 댓글 삭제
DELETE FROM wp_2_comments
WHERE comment_approved = '0';또는, 멀웨어가 주입된 것으로 표시된 댓글 ID들만 삭제하는 것도 가능합니다.
DELETE FROM wp_comments
WHERE comment_ID IN (8954, 8969, 10738, 12068, 12977, 12979);네이버 카페에서도 한 사용자가 클라우드웨이즈로부터 멀웨어 알림 메일을 받았지만 확인해보니 악성코드가 포함된 댓글 때문이었다고 하네요. 이 문제로 인해 알림 메일을 받는 경우 문제가 되는 승인 대기 중인 메일들을 삭제하면 문제가 해결될 것입니다.
4 멀웨어를 제거했거나 문제가 되는 사항을 해결한 경우 기다리면 멀웨어 감염 경고가 사라질 것입니다. 악성코드를 제거하더라도 멀웨어 알림 메일이 발송될 수 있습니다. 그런 경우에는 해당 메일을 무시할 수 있습니다.
악성코드 검사와 이 알림 발송 사이에 약간의 시간 차가 있었을 수 있습니다. 이미 자체 정리 도구를 사용했거나 Malware Protection 기능을 활성화해 문제를 해결했다면 이 메시지는 무시하셔도 됩니다.
멀웨어가 없는 것으로 확인되면 아래 그림과 같이 "Your application is prone to malware attacks." 메시지가 표시됩니다.
위의 그림과 같이 바뀌면 멀웨어가 없는 것으로 생각할 수 있습니다.
서버 관리 페이지에서 멀웨어에 감염된 애플리케이션 확인하기
서버 레벨에서 멀웨어에 감염된 것으로 의심되는 애플리케이션을 확인할 수 있습니다. 하지만 위에서 설명했듯이 멀웨어 감염 애플리케이션으로 표시되더라도 실제로는 악성코드에 감염되지 않았을 수도 있습니다.
클라우드웨이즈에 로그인한 다음 Servers 탭에서 서버를 클릭합니다.
서버 관리 화면이 표시됩니다. Security » Malware Protection을 클릭합니다.
위의 그림과 같이 멀웨어에 감염된 애플리케이션 개수가 표시되고 Applications list에서 감염된 앱을 확인할 수 있습니다.
- 멀웨어에 감염된 것으로 표시되는 경우 본문의 설명을 참고하여 실제로 감염되었는지 확인합니다.
- 멀웨어에 감염된 경우 Malware Protection 애드온(월 4달러 정도)을 활성화하여 멀웨어 제거를 시도할 수 있습니다.
- 스팸 댓글이나 Breeze 캐시 파일 등의 이유로 실제로 멀웨어에 감염되지 않아도 감염된 것으로 표시될 수 있습니다.
- 멀웨어를 제거하거나 스팸 댓글을 삭제해도 감염됨(Infected)으로 표시될 수 있습니다.
- 해결에 어려움을 겪는 경우 유료 서비스를 의뢰하실 수 있습니다.
마치며
클라우드웨이즈는 사용자 애플리케이션에 보안 취약점이 있거나(예: 보안 문제가 있는 워드프레스 테마나 플러그인이 설치된 경우) 멀웨어를 감지하는 경우 보안 알림 메일을 보냅니다.
이런 메일을 받더라도 당황하지 마시고 보안 취약점 경고를 받은 경우에는 보안 문제가 있는 워드프레스 코어, 테마 또는 플러그인을 최신 버전으로 업데이트하거나 삭제하고, 멀웨어 감지 경고를 받은 경우에는 이 글을 참고하여 실제로 사이트가 감염되었는지 확인하여 감염 여부에 따라 적절히 대응하시기 바랍니다.
댓글 남기기