WordPress 사이트는 다시 널리 퍼진 리디렉션 맬웨어의 희생자가 되었습니다. 많은 WordPress 웹 소유자가 웹사이트 리디렉션 또는 관리자 패널에서 오류가 발생하는 것에 대해 우려하여 저희에게 연락했습니다.
이러한 웹사이트를 정리하는 동안 해킹 방식에서 유사점을 도출할 수 있습니다. 이 모든 웹 사이트는 동일한 리디렉션 맬웨어에 감염되었습니다. 이 멀웨어는 먼저 buyittraffic[.com]이라는 이름의 악성 도메인으로 리디렉션한 다음 마지막으로 sinowncrers12 [.] live, cuttraffic[.com] 또는 puttraffic[.com] 또는 importtraffic[.com]이라는 도메인으로 리디렉션했습니다. 또는 Gianttraffic[.com], js. 그린라벨프란시스코. [com]/touch.js, dl. gotosecond2.[com]/talk.js, 통계[.]admarketlocation[.]com , stat.trackstatisticss.[com]slan.[js], silvergatest15 [.] 라이브 , www.wow-robotics.[xyz] , planeobservetoo1[.]라이브 , dock.lovegreenpencils[.]ga/m.js?n=nb5 , cht.secondaryinformtrand[.]com/m.js?n=nb5, main.travelfornamewalking[.]ga/, irc.lovegreenpencils[.]ga/, 등
대부분의 경우 웹사이트가 먼저 clicks.worldctraffic[.com]으로 리디렉션되는 것을 볼 수 있습니다. , top.worldctraffic[.com], red.toupandgoforward[.com], bluelabelmoscow.[com] 또는 ticker.trasnaltemyrecords[.com] 위 사이트 중 하나에 방문하기 전에
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290491.png)
악성코드 리디렉션 '체인'의 전형적인 예입니다. 원하는 도메인에 방문하기 전에 웹사이트가 여러 번 리디렉션되는 위치입니다.
추가 조사에서 현재 수백 개의 웹사이트가 이 맬웨어에 감염된 것으로 보입니다.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290479.png)
웹사이트가 해킹되었음을 알리는 증상
다른 도메인으로 리디렉션되는 홈페이지는 분명히 해킹의 전조입니다. 그러나 이 악성코드에 첨부된 다른 징후도 있습니다. 다음과 같은 경우 해킹당했음을 알 수 있습니다.
- 웹사이트에 액세스할 수 없습니다.
- wp-admin 패널에 로그인할 수 없습니다.
- wp-admin에서 404 오류가 발생했습니다.
- WordPress 관리 영역에 로그인하면 다음 오류가 발생합니다.
"오류:해당 이메일 주소로 등록된 사용자가 없습니다."
웹사이트에서도 비슷한 증상이 나타나면 Google에 문의하세요. 우리는 몇 시간 안에 귀하의 웹사이트에서 해킹을 제거할 것입니다. 오히려 저희 멀웨어 스캐너가 몇 분 안에 멀웨어를 찾습니다.
해킹의 기술
이 맬웨어가 웹사이트를 여러 번 리디렉션하는 방법을 이미 언급했습니다. 이것이 어떻게 일어나는지 봅시다:
다음 이미지는 우리에게 온 해킹된 사이트 중 하나에서 가져온 것입니다. 도메인 이름을 확인하십시오.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290515.png)
이제 이 도메인에서 알림 표시줄을 닫으려고 하면 동일한 도메인의 약간 변형인 0.cuttraffic[.com]으로 리디렉션됩니다.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290621.png)
알림바를 다시 넘으면 1.cuttraffic[.com] 등으로 리디렉션됩니다.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290653.png)
빠른 검사를 통해 사이트에 buyittraffic[.com] 링크 삽입도 확인됩니다.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290723.png)
계속 진행 중입니다. 또한 리디렉션 페이지가 웹 사이트의 지역 언어에 따라 사용자 지정되는 것을 볼 수 있습니다. 아래 그림 참조:
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290731.png)
해커가 귀하의 사이트를 어떻게 감염시켰습니까?
해커가 어떻게 그렇게 많은 웹사이트를 감염시킬 수 있었는지에 대한 질문이 나옵니다.
그 이유는 명확하지 않지만 취약한 버전의 adminer가 원인일 수 있습니다.
정리를 하는 동안 영향을 받는 모든 웹 사이트의 루트 폴더에서 adminer.php 파일을 찾을 수 있었습니다. 따라서 해커가 관리자 스크립트를 사용하여 데이터베이스에 액세스하고 감염시킨다고 가정하는 것이 안전합니다.
위의 정보와 4.6.3 이전의 adminer 버전에는 심각한 취약점이 있다는 사실을 결합합니다. 이 취약점을 통해 공격자는 WordPress의 wp-config.php, Magento의 local.xml 등과 같은 서버의 로컬 파일을 읽을 수 있습니다. 이러한 파일에는 데이터베이스에 액세스하는 데 사용할 수 있는 데이터베이스 자격 증명이 포함되어 있습니다.
따라서 서버에서 adminer.php 파일을 확인하고 제거하는 것이 좋습니다.
WordPress 리디렉션 해킹에 대해 더 자세히 알아보려면 이 블로그를 확인하세요.
해킹에 대해 무엇을 할 수 있습니까?
웹사이트가 감염되었다는 사실을 깨달았습니다. 이제 어떻게 하시겠습니까?
두 가지:전문가에게 웹사이트 청소를 의뢰할 수 있습니다. . 또는 직접 웹사이트를 수동으로 정리할 수 있습니다.
후자의 경우 서버에 악성 파일이 있는지 확인하는 것으로 시작할 수 있습니다. 해커는 일반적으로 여러 취약점을 악용하고 서버에 악성 파일을 생성합니다. 감염된 파일을 찾아야 합니다. 그런 다음 리디렉션을 트리거하는 비트를 정확하게 제거합니다. 이 감염을 일으키는 멀웨어를 찾을 수 있는 몇 가지 주요 장소:
- 관리자 스크립트 찾기: 웹사이트의 cPanel/FTP에 로그인하고 'adminer.php'라는 파일을 찾습니다. 일반적으로 이 파일은 서버에 대한 백도어 액세스를 남기기 위해 해커에 의해 배포됩니다. 이 파일을 찾으면 즉시 삭제하십시오.
- 이 백도어 찾기: 이와 같은 경우 wp-content/force-download.php.에서 의심스러운 파일을 찾는 경우가 많습니다. WordPress의 wp-content 폴더 아래에 force-download.php 파일이 있는지 확인하십시오. 그렇다면 삭제하세요.
- 출처 확인: 이것은 인덱스 페이지의 코드를 확인하고 이러한 악성 링크를 검색해야 하는 가장 기본적인 검사 중 하나입니다. 찾으면 삭제하세요.
- 가짜 사용자 확인: wp_users로 이동 데이터베이스 테이블을 확인하고 알 수 없는 권한이 없는 사용자가 없는지 확인합니다. 공격을 받은 사이트에 대한 액세스를 유지하기 위해 해커는 해당 사이트에 가짜 관리자 계정을 만듭니다. 이것은 우리가 이번 공격에서도 보았습니다. 우리에게 온 대부분의 감염된 사이트에는 악성 사용자/관리자가 생성되었습니다.
이러한 공격에 사용된 여러 가짜 사용자 ID는 admin@wsxdn.com[.com], admin@wsxdn.com[.]com(사용자 이름:wordpresdadmin)입니다.
단계별 수동 정리 프로세스는 이 WordPress 멀웨어 제거 가이드를 참조하세요.
이 악성 링크를 클릭한 사람이 있습니까?
즐겨찾는 웹사이트를 방문한 사용자가 이러한 악성 팝업 중 하나에서 '허용'을 클릭했다면 다음과 같이 할 수 있습니다.
- 크롬에서 푸시 알림을 검토하세요. 알 수 없는 웹사이트를 찾으면 해당 웹사이트를 비활성화하세요.
- PC에서 바이러스 백신 실행
- 오늘의 브라우저 캐시 및 방문 기록 지우기
사이트를 보호하는 방법
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290751.jpg)
이러한 무섭고 값비싼 결과에 직면하지 않도록 하려면 신뢰할 수 있는 보안 솔루션에 투자하십시오. Astra 보안 제품군은 웹 애플리케이션 방화벽, 멀웨어 스캐너, 즉각적인 멀웨어 정리, VAPT(Vulnerability Assessment and Penetration Testing) 등을 제공합니다. Astra의 WordPress 보안 솔루션을 사용하면 이러한 문제에 대해 다시 걱정할 필요가 없습니다.
또한 WP Hardening 플러그인은 Astra의 또 다른 다중 솔루션입니다. 웹 사이트 감사 및 사이트에 대한 원 클릭 보안 수정을 제공합니다. 이제 이 도구를 사용하여 12개 이상의 중요한 보안 영역을 수정할 수 있습니다.
![워드프레스 웹사이트 buyittraffic[.com], cuttraffic[.com] 및 puttraffic[.com]으로 리디렉션 - 지금 해결](/article/uploadfiles/202210/2022103113290816.png)
결론
WordPress의 리디렉션 해킹은 새로운 것이 아닙니다. 그러나 buyittraffic[.com] 리디렉션 맬웨어는 웹 사이트에 여러 가지 방식으로 영향을 미치므로 우리를 놀라게 합니다. 분명히 이 감염과 관련하여 많은 일이 일어나고 있습니다.
이러한 해킹은 사이트의 취약점으로 인한 직접적인 결과입니다. 열악한 사이트 유지 관리는 이러한 취약점의 원인 중 하나일 수 있습니다. 보안 감사 및 취약성 테스트를 선택하지 않는 것은 또 다른 문제가 될 수 있습니다. 이러한 원인을 처리할 수 있다면 다른 멀웨어 제거 방법을 찾지 않아도 됩니다.
귀하의 웹사이트에 대한 구체적인 우려 사항이 있습니까? 아래에 댓글을 달거나 저희와 이야기해 주시면 답장을 약속드리겠습니다 🙂