Cloki 악성코드란 무엇입니까?
취약한 Joomla 및 WordPress 웹사이트의 속도를 늦추는(또한 충돌을 일으키는) "Cloki"라는 새로운 종류의 맬웨어가 나타났습니다. 멀웨어는 cPanel 또는 SSH에 액세스하지 않고도 핵심 시스템 명령을 실행할 수 있습니다. 매우 짧은 시간에 악성코드가 반복적으로 실행되도록 cron 작업을 추가할 수 있습니다. 이로 인해 서버 리소스가 최대화되어 WordPress 및 Joomla 웹사이트가 느려집니다. GoDaddy, Hostgator 및 InMotion과 같은 호스팅 계정이 Cloki에 감염된 웹사이트의 Linux 공유 호스팅 계정을 일시 중지한 사례를 보았습니다.
Cloki로 해킹 당했는지 확인하는 방법
- cPanel을 통해 서버에서 실행 중인 Cron 작업/CronTabs 확인: 추가하지 않은 크론 작업이 보이면 다음과 같습니다.
- 서버에서 다음 이름의 파일을 확인합니다. 일반적으로 사용자의 홈 디렉토리에 있습니다.
- 클로키
- 밉
- 유딕
- wprx
- xmcc
Cloki 악성코드를 수정하는 방법
- 호스팅 계정을 일시적으로 비활성화/정지 cPanel/WHM을 통해 또는 호스팅 회사에 티켓을 제출하여
- 다음 'disable_functions'가 추가된 public_html 폴더에 사용자 정의 php.ini를 생성합니다.
show_source, 시스템, shell_exec, passthru, phpinfo, popen, proc_open, allow_url_fopen, eval, exec, parse_ini_file, open_base, symlink. - Cloki 크론 작업 삭제 이전 섹션에서 찾았을 것입니다.
- 모든 인스턴스 삭제 아래에 언급된 악성 파일:
- 클로키
- 밉
- 유딕
- wprx
- xmcc
- 호스팅 계정 다시 활성화 몇 분 동안 웹사이트를 모니터링합니다.
- 파일 또는 크론 작업 확인 악성코드에 의해 다시 생성된 경우
Cloki로부터 Joomla와 WordPress를 보호하는 방법
- 웹 애플리케이션 방화벽(WAF)으로 사이트 보호
- 위험한 PHP 기능 비활성화 이전 섹션에서 언급한 대로 php.ini 파일을 사용하여 서버에서.
- CMS 및 플러그인 업데이트, 즉, WordPress 및 Joomla 핵심 버전
- 취약한 파일 업로드 영역 확인 귀하의 웹사이트에서. 확인하세요
- 정기적으로 모니터링 서버의 파일 및 크론 작업 변경
Cloki를 제거하는 것은 약간 까다로울 수 있습니다. 맬웨어는 매우 빠르게 재감염되는 경향이 있습니다. 하나의 파일/크론 작업을 삭제하면 다른 작업이 거의 즉시 생성됩니다. 웹사이트에서 이 감염을 치료하는 데 도움이 필요하면 웹사이트 정리 및 맬웨어 제거 페이지로 이동하십시오.