안녕하세요. 조씨가 알려주는 IT이야기 입니다.
이번 포스팅에서는 제 워드프레스 사이트 해킹과 복구과정에 대해 이야기 해보려고합니다. 여태 껏 잘 관리하면서 블로그를 운영했다고 생각했으나, 그 SX텔레콤이 당했던 비슷한 웹셀 공격을 제가 받게 될 줄은 상상도 못했습니다. (물론 침입 경로는 많이 다르긴합니다) 사이트 증상을 간단하게 설명하고 워드프레스 보안의 경각심을 다양한 워드프레스 운영자 분들께 알려드리려고 포스팅 하였습니다.
해킹 의심 정황 발견. 6월 25일 오전 11시 52분 경. (지인과 여행 중)
지인들과 카페에서 이야기를 하던 도중 제 폰으로 구글 메일이 도착하였습니다. 제 블로그에 새 소유자로 등록이 되었다는 이야기 아니겠습니까? 급하게 휴대폰을 열어서 구글 서치콘솔을 접속해 봅니다. 그런데 제 계정 외 아무런 소유자로 등록된 사람이 보이지 않았습니다. 제 구글 계정 또한 2차인증 및 OTP로 로그인이 가능하도록 조치하여, 구글 계정이 해킹 당할 수 없는 구조입니다.
3일 후 PC로 통해 제 워드프레스 관리페이지에 접속했습니다. 어라? 이거 뭔가 이상합니다. 그래서 처음에 저는 단순히 플로그인이나 워드프레스 업데이트로 인한 충돌을 의심했었습니다. 관리페이지와 각 플러그인 및 링크 접속에 문제가 발생하였고, 제 홈페이지는 정상적으로 접속이 가능했기 때문입니다.
GPT를 통해 다양한 원인 분석을 진행 해봅니다. 플러그인 해제, FTP 접속 후 모든 플러그인 삭제 등 다양한 시도를 해봤으나 변함이 없었습니다. 그래서 다른 기기를 통해 구글 접속 후 제 블로그를 검색을 해봤습니다.
지금은 복구가 되어 검색엔진 상단에 위치하고 있지만, 당시 검색 했을 때 이런 일본어 판매 사이트로 리디렉션 되는 모습을 발견하였습니다. 정상적인 제목과 내용으로 검색이 되지 않았고, 그 외 다양한 언어 광고성 제목과 내용으로 바뀌고 있었습니다. 100% 제 사이트가 해킹이 되었음을 직감하였습니다.
다행히도 스팸사이트로 이동하지 않도록 구글 자체적으로 검열되어, 해당 사이트에 접속이 되지 않도록 조치 되었습니다. 이후 호스팅 내 모든 접속국가 차단을 설정하고, 사이트를 일시정지 모드로 변경하였습니다.
이외 말고도, 어느정도 조회수가 나오던 글 마찬가지로 특정 일본어와 러시아 다양한 국가 언어로 변경되어 타 사이트로 리디렉션 되고 있었습니다.
설마 했는데 FTP 내부를 통해서 타 사이트까지 같이 잡아 먹어버렸습니다;; 이거 일이 많이 커지기 시작해서 3일 간 밤샘 작업이 계획되어버렸습니다..
일단 기본적으로 FTP 내부에 있는 모든 파일을 모조리 백업합니다. 하필 기존에 사용하던 NAS 시스템이 RAID 문제로 문제가 발생되는 바람에 1달 이전 백업 본 말고 없습니다.
확실히 스크립트 파일이 감염되어 FTP 내부에 있는 타 사이트까지 웹셀에 감염되었습니다. 윈도우 디펜더 백신을 통해 해킹 된 파일을 간단하게 걸러주었습니다.
FTP를 천천히 분석을 해본 결과 특정 폴더에 이상한 “68e1f” 와 같은 폴더가 생성되어 있었고, 교묘하게 index.php 같은 형식을 사용하여 눈에 뛰지 않게 작업을 해놨습니다. (이 때 저는 제가 해결 할 수 없는 범위에 있다고 판단했고, 이후 전문적으로 복구 해주는 분께 비용을 지불하기로 마음을 먹었습니다) 기존 티스토리 블로그에서 워드프레스로 이동한 건 2024년도 6월 경입니다. 그런데 파일 생성 된 일자를 보면 2021년으로 되어 있는데 가장 큰 의문 사항이었습니다.
대략적으로 코드를 볼 때 핵심파일 관련 코드가 있는 것으로 판단되었고, 각 종 교묘하게 이름 값을 바꿔 찾기 힘들게 조치를 해 놨습니다. 당장 사이트 내 백신을 돌리는 것도 불가능 한 상태라 저는 여기서 작업을 중지하고 전문적으로 복구 하시는분께 맡겼습니다. 이후 7월 1일 최종적으로 사이트 복구를 완료하게 되었습니다.
침투 경로 의심 되는 부분들
1. 호스팅 업체의 강한 의심 (내부 망 자체가 해킹의 위협과 방화벽이 제대로 유지 되지 않음 (오래된 php 버전 등)
2. 제가 사이트 내 사용하는 플러그인을 경로를 통한 침투 (특정 플러그인이 업데이트 되지 않고 있었습니다)
3. 업로드를 통해 설치 한 플러그인이 알고 보니 멀웨어 파일 등 (저는 정품 아니면 사용하지 않기 때문에 애매합니다)
이 정도로 추릴 수가 있는데 결론적으로 관리 허점이 있었기에 이렇게 된 게 아닌가 싶습니다. 호스팅 업체는 타 업체로 이동하였으며, 백업 기능을 상시 설정해 놓고 사용하고 있습니다.
사이트를 복구 해 주신 워드크래커님에게 감사인사를 드립니다.
• 결론 •
워드프레스를 운영을 계획이거나 운영 중이시라면 반드시 보안 관련 업데이트를 주기적으로 받으시고, 네트워크 연결 또한 국내만 설정하도록 하는 것을 강력히 권장드립니다.
궁금하거나 질문이 있다면 댓글 주시면 최대한 알려드리겠습니다.
“도움이 되셨다면 공감 버튼을”