웹사이트 방문자가 가짜 성인 데이트 사이트로 리디렉션되는 새로운 유형의 리디렉션 멀웨어가 나타났습니다. 이 멀웨어 캠페인에서 수천 개의 가짜 페이지가 웹사이트에 추가되고 Google 검색에 의해 색인이 생성됩니다. site: example.com를 검색하면 다음과 같은 결과가 표시됩니다.
멀웨어 캠페인은 에세이, 제약, 데이트 사이트, 대출, 미디어 및 악성 다운로드 스팸 사이트에 대한 가짜 페이지 및 리디렉션을 추가하는 것으로 알려져 있습니다.
관련 블로그 – WordPress 리디렉션 해킹
Google 검색에서 색인을 생성한 링크를 클릭하면 아래와 같은 노골적인 콘텐츠와 메시지가 포함된 사이트로 리디렉션됩니다.
웹사이트가 감염되었는지 확인하는 방법
- 만들지 않은 페이지에 대한 Google 검색 결과가 많이 있습니다.
- Google에서 웹사이트 링크를 클릭하면 성인/도박/데이트 사이트로 리디렉션됩니다.
- 귀하가 알지 못하는 새 페이지가 웹사이트에 추가되었습니다.
- 알 수 없는 관리자가 관리자 대시보드에 추가되었습니다.
- 웹사이트가 매우 느립니다
- Google Search Console에서 경고 메시지를 받았습니다.
Drupal 사이트에서 리디렉션 해킹을 찾는 방법은 무엇입니까?
Drupal 7에 대한 이 악성코드 해킹 캠페인을 조사했습니다. 사이트에서 해커가 정교한 기술을 사용하여 멀웨어를 교묘하게 숨겨 악성 코드를 식별하기 어렵게 한 것으로 나타났습니다.
Astra의 Malware Scanner로 사이트를 스캔한 결과 includes/template.inc에서 의심스러운 파일을 발견했습니다.
더 많은 조사를 통해 template.inc 각 요청과 함께 자동 로드되도록 파일이 'Drupal 레지스트리'에 추가되었습니다. 구성 값이 데이터베이스에 있습니다.
다음 단계는 플래그가 지정된 파일의 코드를 디코딩하는 것이었습니다. 특히 getMimeDescription() 기능.
public function getMimeDescription($documentDir) {
$indicies=array(8, 5, 0, 1, 9, 4, 6, 7, 3, 2);
$mimeMarkers=array('themes', 'Porto', 'loader1', 'light_rounded', 'prettyPhoto', 'all', 'images', 'prettyPhoto', 'sites', 'vendor');
$mimeType='gif';
$selecteds=array();
foreach($indicies as $index) {
$selected=$mimeMarkers[$index];
$selecteds[]=$selected;
}
array_unshift($selecteds, $documentDir);
$cachePath=join('/', $selecteds);
return $cachePath.'.'.$mimeType;
}
}위의 코드 조각이 평가되면 활성 상태인 다른 악성 파일의 경로가 표시됩니다.
sites/all/themes/Porto/vendor/prettyPhoto/images/prettyPhoto/light_rounded/loader1.gif
gzinflate()을 사용하여 수축된 문자열을 부풀린 후 PHP에서 함수, base64로 인코딩된 일부가 발견되었습니다.
위의 코드를 여러 단계의 난독화 해제 후 아래 스니펫에서 볼 수 있듯이 진정한 악성 코드가 밝혀졌습니다.
$v266=array('essay','pharm','dating','loan','media','download');
if(isset($this->v254['theme'])){
$this->v12->t4("page theme: '{
0
}
'",$this->v254['theme']);
$v267=strtolower($this->v254['theme']);
foreach($v266 as$v80){
if(strpos($v267,$v80)!==false)return$v80;
}
}
else{
$this->v12->t4("page has NO theme. old dor");
}
return'default';
}
function t170($v268,$v148){
$v269=$this->v255->t147($v268['exit']['url'],$this->v254,$v148);
return array('name'=>$v268['name'],'exit'=>$v268['exit']['type'],'url'=>$v269[00],'extparams'=>$v269[01]);
}웹사이트가 가짜 성인 데이트 사이트로 리디렉션되지 않도록 하려면 어떻게 해야 합니까?
가짜 성인 데이트 사이트 리디렉션을 완전히 제거하려면 웹사이트 파일과 데이터베이스에서 맬웨어를 검사해야 합니다. 이 해킹 분석에서 보았듯이 해커는 여러 수준의 난독화 및 코드 숨김 기술을 사용하여 리디렉션 코드를 능숙하게 숨깁니다.
맬웨어를 직접 치료하는 방법을 알아보려면 WordPress 맬웨어 제거에 대한 전체 가이드를 참조하세요.
데이트 사이트 리디렉션을 방지하기 위한 보안 권장 사항
- 복원해야 할 경우에 대비하여 웹사이트를 백업하세요.
- CMS, 플러그인 및 테마를 최신 버전으로 업데이트
- 해킹의 원인 파악 및 패치
- 강력한 방화벽으로 웹사이트 보호
- 파일이나 폴더에 777 파일 권한을 할당하지 마십시오. 폴더 권한을 폴더의 경우 755로, 파일의 경우 644로 설정
- 알 수 없는 관리자가 백엔드에 추가되었는지 확인
- public_html 폴더에 있는 모든 백업 파일(.zip, .sql, .tar 등) 삭제