널리 사용되는 WordPress는 종종 인터넷을 통한 악의적인 해킹 캠페인의 대상이 됩니다. 이러한 캠페인은 해커의 동기, 사용된 난독화 등과 같은 요인에 따라 서로 다를 수 있습니다. 그러나 해킹된 WordPress 사이트가 모든 종류의 악의적인 목적을 위한 매개체로 사용된다는 점은 모두 공통된 것입니다.
이러한 유형의 맬웨어 감염 중 하나는 .Bt WordPress 해킹입니다. 이러한 종류의 감염이 WordPress 사이트의 루트 디렉토리 또는 “wp-admin 확장자가 .bt인 파일을 생성하기 때문에 그렇게 명명되었습니다. " 또는 "wp-admin/css " 디렉토리.
여기에서 해킹의 원인, 증상, 감지 및 제거를 찾을 수 있습니다. 또한 더 나은 이해를 위해 악성 코드의 작동을 분석합니다. 그래서
.Bt WordPress 해킹의 일반적인 원인
".Bt WordPress 해킹"의 몇 가지 일반적인 원인은 다음과 같습니다.
- 오래되고 평판이 좋지 않은 플러그인.
- 버그 테마.
- 오래된 PHP 버전입니다.
- 약한 비밀번호.
- 서버 구성 오류.
.Bt WordPress Malware의 코드 분석
이 감염의 첫 번째 확인은 IP 주소 목록이 포함된 .bt 파일입니다. 이 파일을 삭제하면 감염이 .bt 파일에 상주하지 않으므로 재생성됩니다. 감염은 일반적으로 다음과 같은 WordPress 파일에 있습니다.
- wp-load.php
- wp-settings.php
- /wp-content/themes/<일부 테마>/functions.php
- /wp-includes/functions.php
이 파일의 악성 코드는 난독 처리되어 있으며 다음과 같습니다.
코드에서 볼 수 있듯이 멀웨어는 의심을 피하기 위해 먼저 모든 오류 메시지를 비활성화합니다.
1단계:맬웨어 다운로드
.Bt WordPress 해킹에서 악성 페이로드는 서버에 상주하지 않고 외부 소스에서 다운로드됩니다. 이를 수행하기 위해 이 멀웨어는 먼저 "allow_url_fopen " PHP의 래퍼를 사용할 수 있습니다. 사용할 수 없는 경우 악성코드는 cURL을 계속 사용합니다. "get_data_ya()"라는 함수를 사용하여 맬웨어를 다운로드하는 PHP 라이브러리 . 악성 파일이 다운로드된 URL은 hxxp://lmlink1[.]top/lnk/inj[.]php입니다. .
2단계:악성코드 난독화
그 후 다운로드된 데이터는 간단한 XOR 암호화를 사용하여 난독화됩니다. 이것은 "wp_cd() 함수에서 수행됩니다. "는 데이터와 키를 입력 매개변수로 받아들이고 XOR 암호화로 출력을 반환하는 악성코드입니다.
3단계:맬웨어 작성
암호화된 페이로드가 준비되면 맬웨어는 쓰기 가능한 하위 디렉터리를 검색합니다. 해당 디렉토리가 발견되지 않으면 현재 디렉토리 내부에 쓰기를 시도합니다.
다운로드된 악성 페이로드는 암호화되지 않았으며 다음과 같이 보입니다.
여기에서 페이로드에는 나중에 하위 디렉토리에 쓰는 동안 추가되는 열기 및 닫기 PHP 태그가 포함되어 있지 않다는 점에 주목해야 합니다.
4단계:페이로드 실행
페이로드가 하위 디렉토리에 성공적으로 작성되면 include()를 사용하여 실행됩니다. PHP의 진술. 그런 다음 이 페이로드는 검색 엔진 봇의 IP 주소가 포함된 .bt 파일을 생성합니다. 페이로드는 아래 코드에서 볼 수 있는 것처럼 제약 스팸을 제공하는 데에도 사용됩니다.
.bt 파일은 검색 엔진 봇에 스팸을 제공하는 것을 방지하고 따라서 사이트의 블랙리스트 지정을 방지하는 데 사용됩니다. 페이로드는 또한 생성된 악성 명령을 받아들인 다음 감염된 WordPress 사이트에서 실행됩니다.
5단계:페이로드 삭제
마지막으로 악성 작업이 끝나면 악성코드는 unlink()를 사용하여 파일을 삭제합니다. 어떤 종류의 의심도 피하기 위해 PHP의 기능. 따라서 이 악성코드는 악성 페이로드를 저장하지 않고 다운로드하여 사용하고 작업이 끝나면 삭제하므로 오랫동안 레이더에 머물게 됩니다.
.bt 멀웨어를 어떻게 탐지하고 치료할 수 있습니까?
방법 1:.bt가 있는 파일 확인 또는 .r 확장자
휴리스틱 테스트로 ".bt"가 있는 파일이 있는지 확인할 수 있습니다. 또는 ".r" 확장자가 서버에 있습니다. 파일 관리자를 사용하여 검색하십시오.
또는 SSH를 통해 서버에 로그인하고 다음 명령을 실행하기만 하면 됩니다.
find . -name '*.bt' -print
.Bt WordPress 해킹을 추가로 확인하려면 WordPress 파일 내부에서 악성 코드를 검색하십시오. SSH 콘솔에서 다음 명령을 실행합니다.
find . -name "*.php" -exec grep " $ea = '_shaesx_'; $ay = 'get_data_ya'; $ae = 'decode';"'{}'; -print &> list.txt
이 명령은 출력을 list.txt 파일에 저장합니다. 이 악성코드가 포함된 파일을 열어 악성코드를 제거합니다. 악성코드가 무엇인지, 원본 파일코드가 무엇인지 잘 모르겠다면 이 링크를 방문하여 악성코드만 보고 그에 따라 제거하세요. 그래도 확신이 서지 않으면 의심스러운 코드를 주석 처리하고 도움을 받으세요.
방법 2:핵심 파일 무결성 확인
또 다른 방법은 코어 파일 무결성을 확인하는 것입니다. 그렇게 하려면 SSH를 통해 웹 서버에 로그인한 다음:
1단계: WordPress의 새 사본을 다운로드하고 다음 명령을 사용하여 탐색하려면 새 디렉토리를 만드십시오.
$ mkdir WordPress
$ cd WordPress
2단계: 다음 명령을 사용하여 최신 버전의 WordPress를 다운로드하고 압축을 풉니다.
$ wget https://github.com/WordPress/WordPress/archive/<latest version>.tar.gz
$ tar -zxvf <latest version>.tar.gz
여기에서 <최신 버전>을 사용 가능한 최신 버전의 WordPress(예:https://github.com/WordPress/WordPress/archive/5.3.tar.gz
)로 바꿉니다.3단계: 이제 diff 명령을 사용하여 파일을 비교하여 의심스러운 코드를 찾아내십시오.
$ diff -r path/to/your/file/wp-load.php /Wordpress/wp-load.php
.
4단계: 악성 코드를 발견하면 제거하거나 제거에 도움을 받으세요.
Astra가 도와드리겠습니다!
Astra Security는 웹사이트 보호 솔루션으로 .bt WordPress 해킹을 탐지하고 차단하는 저렴한 보안 솔루션을 제공합니다.
질문이 있으신가요? 댓글 상자에서 우리를 향해 쏘거나 보안 전문가와 채팅하세요. 회신을 약속드립니다 🙂