Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

해킹된 웹사이트를 복구하는 방법은 무엇입니까? 해킹된 웹사이트 수정을 위한 DIY 완료

웹사이트 보안은 모든 온라인 비즈니스의 확장에 중요한 역할을 합니다. 최근 몇 년 동안 매달 새로운 변종 랜섬웨어 및 크립토 마이너가 발견되면서 사이버 공격이 증가하고 있습니다. 이는 소규모 기업이 온라인 비즈니스를 안전하게 유지하고 해킹된 웹사이트 복구를 위해 더 많은 돈을 지출해야 함을 의미합니다. Juniper Research의 보고서에 따르면

Cybersecurity Ventures의 또 다른 연례 범죄 보고서에 따르면

최근 4,600개 이상의 웹사이트가 결제 정보 및 기타 사용자 데이터를 훔치는 악성 코드에 의해 공격을 받았습니다. 침해된 사이트에는 전자 상거래 상점, 블로그, 전자 학습 사이트가 포함됩니다. 악성코드는 Picreel 및 Alpaca Form의 CDN을 사용하여 사이트를 감염시켰습니다. 도난당한 신용 카드 정보는 파나마의 서버로 중계되었습니다. 악성코드의 소스코드는 악성코드에 선언된 다양한 기능을 드러내어 데이터 수집과 중계를 돕는다. 1200개 이상의 웹사이트가 여전히 Picreel 악성코드 변종에 감염되었으며 3700개 이상의 웹사이트에 여전히 Alpaca 침해 코드가 포함되어 있습니다.

날마다 점점 더 정교한 멀웨어 변종이 등장하면서 귀하의 사이트가 다음 희생자가 되는 것은 시간 문제일 뿐입니다. 따라서 해킹된 웹 사이트 복구를 배우고 예방 조치를 취하는 것이 중요합니다.

해킹된 웹사이트 복구:해킹된 웹사이트의 증상

  • 의심스럽거나 알 수 없는 링크, 파일, 관리자, 웹 페이지, 표, 스크립트가 웹사이트에 나타납니다.
  • 고객을 수상한 도메인으로 리디렉션하는 팝업 및 광고가 귀하의 사이트를 감염시킵니다.
  • 웹사이트가 느려지고 응답하지 않습니다.
  • 연결이 매우 적음에도 불구하고 서버에 과부하가 걸립니다.
  • 사용자가 웹사이트에서 도난당한 신용 카드 정보에 대해 불평합니다.
  • 일본어 키워드 해킹 또는 Pharma Hack의 결과로 사이트에 의미 없는 콘텐츠가 나타납니다.
  • 타사 호스팅을 사용하는 동안 계정이 금지되거나 비활성화됩니다.
  • 검색 엔진은 사용자에게 웹사이트 방문에 대해 경고합니다.
  • 웹사이트 비밀번호가 변경되고 로그에 무차별 로그인 시도가 표시됩니다.
  • 알 수 없는 플러그인 및 확장 프로그램이 서버에 설치되었습니다.
  • 웹사이트의 메일 서버에서 여러 스팸 이메일이 발송되었습니다.
  • 웹사이트의 데이터는 인터넷 포럼에서 판매 중입니다.
  • Wireshark 또는 기타 패킷 캡처 도구의 트래픽 로그는 데이터가 의심스러운 도메인으로 전송되고 있음을 보여줍니다.

해킹된 웹사이트 복구:맬웨어 제거

  • 1단계: 사이트를 완전히 백업하십시오. 그런 다음 사이트를 유지 관리 모드로 전환합니다.
  • 2단계: 이제 감염원을 찾으십시오. 스크립트, 파일 또는 웹 페이지가 될 수 있습니다. 소스 코드를 보고 base64 인코딩을 결정하십시오. 새로운 플러그인이나 확장 프로그램이 있는지 확인하십시오.
  • 3단계: 웹사이트가 검색 엔진에 의해 차단된 경우 Google 콘솔을 사용하여 감염 원인을 확인합니다. 또한 알 수 없는 관리자를 제거하는 것을 잊지 마십시오. 그래도 성공하지 못하면 Astra와 같은 온라인 바이러스 스캐너를 사용하십시오.
  • 4단계: 감염된 파일에서 악성 코드 라인을 삭제합니다. 데이터베이스에서 의심스러운 테이블을 삭제합니다. 민감한 파일이고 코드가 어떤 역할을 하는지 잘 모르겠다면 해당 파일을 주석 처리하고 도움을 요청하십시오.
  • 5단계: 정리가 완료되면 블랙리스트 제거를 위해 사이트를 Google에 제출하는 것을 잊지 마십시오. 또한 해킹의 원인을 파악하고 감염이 재발하지 않도록 패치하는 것이 필요하다. 자세한 내용은 아래의 정보 그래프를 참조하세요.
해킹된 웹사이트를 복구하는 방법은 무엇입니까? 해킹된 웹사이트 수정을 위한 DIY 완료

이것은 일반적인 해킹된 웹사이트 복구 단계이지만 일부 CMS 특정 해킹된 웹사이트 복구 지침은 아래에 나와 있습니다.

해킹된 웹사이트 복구에 도움이 필요하십니까? 지금 사이트를 청소하세요

OpenCart 맬웨어 제거

감염 원인을 확인하려면 OpenCart 사용자는 핵심 파일 무결성을 확인해야 합니다. 이는 OpenCart의 핵심 파일이 OCMOD/VQMOD를 수정하지 않는 한 공식 문서에 있는 것과 다르지 않아야 함을 의미합니다. 정당한 이유로. 이것은 'diff'를 사용하여 수행할 수 있습니다. 리눅스의 명령. 공식 리포지토리에서 로컬 폴더로 파일을 다운로드한 후 다음 명령을 사용하여 비교합니다.

diff -r 경로/to/OpenCart/file.php /path/to/official/Opencart/file.php

또한 OpenCart 사용자의 경우 먼저 설치 폴더를 삭제하는 것이 중요합니다. 이것은 단순히 루트 폴더로 이동하여 찾을 수 있습니다. OpenCart 사용자는 공격자로부터 카탈로그를 보호해야 합니다. 이는 .php와 같은 특정 민감한 파일에 대한 액세스를 차단하여 수행할 수 있습니다. , .txt 카탈로그의. 이렇게 하려면 .htaccess에 다음 코드 줄을 추가합니다. 카탈로그 폴더 내의 파일:

해킹된 웹사이트를 복구하는 방법은 무엇입니까? 해킹된 웹사이트 수정을 위한 DIY 완료

관련 문서 – 궁극적인 Opencart 보안 관행 및 맬웨어 제거 가이드

Prestashop 멀웨어 제거

Prestashop 해킹된 웹 사이트 복구의 경우 일반적으로 대상이 되는 몇 가지 모듈을 살펴봄으로써 감염을 감지할 수 있습니다. 먼저 FTP 클라이언트를 사용하여 Prestashop 스토어에 로그인합니다. 그런 다음 다음 폴더에서 악성 코드를 찾습니다.

  • 모듈/홈페이지 광고/슬라이드
  • 모듈/홈페이지광고2/슬라이드
  • 모듈/제품페이지광고/슬라이드
  • 모듈/열 광고/슬라이드
  • 모듈/단순 슬라이드쇼/슬라이드

base64로 인코딩된 것처럼 보이는 모든 코드를 주시하십시오. 다음 Grep를 사용하여 찾을 수 있습니다. Linux 명령:

찾기 . -이름 "*.php" -exec grep "base64"'{}'; -print &> 감염된.txt

이 명령은 감염된.txt 파일 안에 모든 base64로 인코딩된 인스턴스를 저장합니다. 여기에서 온라인 도구를 사용하여 암호를 해독하고 삭제할 수 있습니다.

Drupal 악성코드 제거

Drupal 해킹된 웹 사이트 복구의 경우 먼저 /drupal-admin에 알 수 없는 파일이 없는지 확인하십시오. 폴더. 주의해야 할 몇 가지 의심스러운 파일은 다음과 같습니다. Marvins.php, db_.php, 8c18ee, 83965, admin.php, buddy.strength, dm.php . 그러한 파일을 발견하면 즉시 삭제하십시오. 또한 알 수 없는 데이터베이스 사용자를 제거하는 것을 잊지 마십시오. 특정 날짜 이후에 새 사용자가 생성되었는지 확인하려면 다음 SQL 명령을 사용하십시오.

u AND u.created> UNIX_TIMESTAMP(STR_TO_DATE('2019년 5월 15일', '%M %d %Y '));

여기에 2019년 5월 15일 이후에 생성된 모든 사용자가 표시됩니다. 모든 정리가 완료되면 drush cache-rebuild(Drupal 8) 또는 drush cache-clear all(Drupal 7) 명령을 사용하여 캐시를 지웁니다.

관련 문서 – 궁극적인 Drupal 보안 관행 및 맬웨어 제거 가이드

PHP 맬웨어 제거

PHP 해킹된 웹 사이트 복구의 경우 먼저 데이터베이스를 살펴보십시오. 먼저 데이터베이스를 백업하십시오. phpMyAdmin과 같은 도구를 사용하여 'Sqlmap과 같은 의심스러운 테이블을 찾습니다. '. 또한 테이블 내용에서 의심스러운 링크, 악성 코드 등이 있는지 검색합니다. 발견되면 해당 항목을 삭제하거나 필요한 경우 전체 테이블을 삭제하십시오. 그런 다음 사이트가 여전히 제대로 실행되고 있는지 확인하십시오. 그렇다면 데이터베이스에서 멀웨어를 성공적으로 제거한 것입니다.

PHP 파일의 감염을 감지하려면 다음 명령을 사용하여 base64로 인코딩된 악성 코드를 찾으십시오.

찾기 . -이름 "*.php" -exec grep "base64"'{}'; -print &> output.txt

base64 인코딩 외에도 FOPO와 같은 다른 난독화 기술도 자주 사용됩니다. 알 수 없는 PHP 스크립트를 삭제했습니다. 코드가 무엇을 하는지 잘 모르는 경우 주석 처리하고 맬웨어 제거에 대한 도움을 받으십시오. PHP의 경우 원격 코드 실행에서 공격자를 도울 수 있는 위험한 기능을 비활성화하는 것이 중요합니다. 이 단일 명령으로 수행할 수 있습니다.

disable_functions ="show_source, 시스템, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, 평가"

때때로 오류 메시지는 공격자가 사이트를 손상시키는 데 사용할 수 있는 민감한 정보를 나타냅니다. 이러한 오류를 끄려면 php.ini에 다음 코드를 추가하세요. 파일:

display_errors=꺼짐
log_errors=켜기
error_log=/var/log/httpd/php_error.log

이 코드는 오류 표시를 비활성화하고 대신 오류를 php_error.log에 기록합니다. 문제 해결을 위해 사용할 수 있는 파일입니다. 마지막으로 PHP 양식, 값 등을 통해 서버에서 수신하는 모든 입력이 필터링되었는지 확인하십시오. 정제되지 않은 입력은 사이트에 큰 피해를 줄 수 있습니다. PHP 사이트에 대한 전체 보안 감사를 받으십시오.

해킹된 웹사이트 복구에 도움이 필요하십니까?채팅 상자에 메시지를 남겨주세요.

관련 문서 – 궁극의 PHP 보안 사례 및 맬웨어 제거 가이드

WordPress 악성 코드 제거

WordPress 해킹 웹 사이트 복구의 경우 이러한 파일의 감염 제거가 쉽기 때문에 먼저 핵심 파일을 검사하십시오. 또한 시스템 로그에서 파일에 대한 변경 사항을 확인하십시오. 이것은 맬웨어 감염을 식별하는 데 도움이 될 수 있습니다. 코어 파일에 감염이 있는 경우 공식 리포지토리에서 새 파일로 교체하기만 하면 됩니다. 테마 파일에도 동일하게 적용됩니다. 그러나 wp-content와 같은 민감한 파일 및 폴더는 편집하지 마세요. 및 wp-config .

맬웨어가 새 WordPress 사용자 계정을 만든 경우 즉시 제거해야 합니다. 새롭고 의심스러운 사용자 계정을 찾아 제거를 진행하십시오. 알 수 없는 사용자를 제거하려면:

  1. wp-admin을 엽니다. 대시보드를 열고 사용자>모든 사용자로 이동합니다. .
  2. 체크박스에서 제거하려는 사용자를 선택하고 '일괄 작업 " 드롭다운.
  3. 마지막으로 '삭제 " 옵션을 선택한 다음 "적용 " 설정.
해킹된 웹사이트를 복구하는 방법은 무엇입니까? 해킹된 웹사이트 수정을 위한 DIY 완료

또한 이미지 파일에서 bak.bak/Favicon 악성코드와 같은 악성코드인지 확인하세요. 자주 WordPress 사이트를 대상으로 합니다. wp-uploads 검사 폴더를 만들고 모든 이미지를 수동으로 스캔합니다. 이렇게 하려면 .ico를 복사합니다. 파일을 폴더에 저장하고 확장자를 .txt로 변경 . 이제 이 텍스트 파일을 엽니다. 내용이 이미지와 같이 횡설수설한 것처럼 보이면 파일이 깨끗한 것입니다. 그렇지 않으면 텍스트 파일에 PHP 코드가 표시되면 위의 WordPress 해킹 웹사이트 복구 단계를 따르세요. 마지막으로 XML-RPC를 비활성화하는 것을 잊지 마십시오. 워드프레스에서.

해킹된 웹사이트를 복구하는 방법은 무엇입니까? 해킹된 웹사이트 수정을 위한 DIY 완료

해킹된 웹사이트 복구:예방 조치

  • 관리자 폴더의 이름을 임의의 사용자 이름으로 바꿉니다. 예를 들어 이전에 관리자 폴더의 URL이 www.abc.com/admin/이었다면 이름을 www.abc.com/random123/으로 바꿉니다. . 다음 튜토리얼을 통해 수행할 수 있습니다.
  • 디렉토리 인덱싱을 사용하도록 설정하면 해커가 민감한 파일을 보고 이를 사용하여 사이트를 해킹할 수 있습니다. 따라서 .htaccess 파일에 다음 코드를 추가하여 디렉토리 인덱싱을 비활성화하십시오. 각 디렉토리의 파일:옵션 -색인
  • 사용 중인 CMS는 중요하지 않습니다. 최신 버전인지 확인하세요. 공식 사이트에서 최신 정보를 유지하는 것은 웹사이트 해킹을 방지할 수 있는 건강한 습관입니다.
  • 적절한 파일 권한은 공격자로부터 중요한 파일을 보호할 수 있습니다. 항상 파일 권한을 644 또는 444로 설정하십시오. config.php, index.php, admin/config.php, admin/index.php, system/startup.php와 같은 민감한 파일의 경우 권한을 444로 설정하십시오.
  • 사이트에 하드코딩된 비밀번호나 기본 비밀번호가 없는지 확인합니다. 항상 평판이 좋은 테마, 확장 프로그램 및 플러그인을 사용하세요.
  • 싼 가격 대신 안전한 호스팅 계획을 항상 선택하십시오. 이 계획은 지금은 저렴해 보이지만 해킹된 웹 사이트를 수리하는 동안 비용이 많이 들 수 있습니다. 또한 서버가 올바르게 구성되어 있고 열린 포트가 없는지, 서버에 잘못된 서버 구성이 있는지 확인하십시오.
  • SSL을 사용하면 사용자와 사이트 간의 통신을 보호할 뿐만 아니라 SEO에도 도움이 됩니다. 사이트에 대한 SSL 인증서를 가져와 서버에 구현합니다. 그런 다음 웹 사이트가 항상 HTTP 대신 https로 리디렉션되는지 확인합니다. 이를 수행하려면 .htaccess에 다음 코드를 추가하세요. 파일:

# HTTP를 HTTPS로 리디렉션
다시 쓰기 엔진 켜기
RewriteCond %{HTTPS} 끄기
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

보안 솔루션을 사용하여 수동으로 해킹된 웹사이트 복구 방지

처음부터 보안 솔루션이나 방화벽을 사용했다면 해킹된 웹 사이트 복구의 번거로움을 피할 수 있었을 것입니다. 오늘날에는 방화벽뿐만 아니라 완전한 보안 제품군을 제공하는 옵션이 많이 있습니다. Astra는 확장성이 높기 때문에 예산에 딱 맞습니다. Astra 방화벽은 사이트가 취약하더라도 모든 유형의 공격으로부터 웹사이트를 보호할 수 있습니다. 멀웨어 스캐너는 해킹된 웹사이트 복구를 돕고 수많은 멀웨어 변종을 탐지할 수 있습니다.