해킹된 WordPress 사이트를 식별하는 방법

게시 됨: 2017-04-14

해킹된 WordPress 사이트는 대부분 몇 가지 증상을 보입니다. 이 게시물에서는 이러한 증상이 무엇인지 설명하고 웹사이트가 이러한 증상 중 일부 또는 전부의 영향을 받는지 여부를 식별할 수 있는 몇 가지 도구를 제공합니다.

해킹 된 WordPress 사이트의 증상

대부분의 증상은 웹 사이트가 이상한 방식으로 작동하고 이상하게 보이는 파일과 HTML 코드가 좌우로 나타나기 시작하는 것과 관련이 있습니다. 하나씩 살펴보도록 하겠습니다!

1. 웹사이트에서 스팸을 보내기 시작합니다.

들어오는 스팸을 발신하는 것보다 식별하는 것이 훨씬 더 쉽지만 누군가 귀하의 사이트를 사용하여 스팸을 보내는지 확인하기 위해 할 수 있는 몇 가지 방법이 있습니다.

  • 메일 로그를 확인하십시오(보통 /var/log 아래에 있음). SPF에 의해 금지된 550 Sender 오류 메시지 와 함께 비정상적인 양의 이메일이 차단됨 의심스러운 것으로 간주됩니다. 특히 도메인에 대해 구성된 SPF 레코드가 있는 경우. 그렇다면 그것은 확실히 적신호입니다.
  • MXToolbox 및 UltraTools RBL Database LookUp과 같은 다양한 웹사이트에서 귀하의 사이트가 스팸 소스로 블랙리스트에 등록되었는지 여부를 알려줄 수 있습니다. 그 중 몇 가지를 사용할 수 있으며 가능한 한 많이 검색해야 합니다. 블랙리스트에 포함되지 않았다고 100% 깨끗한 것은 아닙니다.

2. 귀하의 웹사이트가 귀하를 다른 곳으로 리디렉션합니다.

이것은 아마도 가장 쉽게 발견할 수 있는 증상일 것입니다. 웹 사이트를 방문하면 웹 페이지를 보는 대신 이상한 곳으로 리디렉션됩니다. 먼저 DNS 레코드가 변경되었는지 확인하고 이제 다른 IP 주소를 가리킵니다.

 DNS 레코드가 정상인 것 같으면 HTML 페이지에 리디렉션의 원인이 되는 무언가가 있을 가능성이 매우 높습니다. 브라우저의 Javascript 지원을 비활성화하고 웹사이트가 리디렉션하는지 다시 확인하십시오. 리디렉션이 지속되면 웹사이트의 다른 영역(데이터베이스, 웹사이트의 .htaccess 파일 또는 웹 서버 구성)이 변조되었을 가능성이 높다는 신호입니다.

3. 웹사이트에 의심스러운 iframe이 있습니다.

iframe은 일반적으로 광고와 같은 다른 소스의 콘텐츠를 표시하는 데 사용되는 다른 HTML 내에 "포함된" HTML 문서입니다. 눈에 보이는 iframe은 쉽게 찾을 수 있지만 대부분은 너무 작아서(때로는 몇 픽셀만 차지합니다!) 쉽게 놓칠 수 있습니다. 편집기에서 HTML 파일을 열고 알 수 없거나 의심스러워 보이는 URL에 연결을 시도하는 <iframe> 태그를 찾습니다. HTML 주석 태그 <!– 안에 넣어 주석 처리합니다. HTML 파일을 변조한 경우 웹사이트가 확실히 손상되었으며 웹사이트가 변조된 다른 위치가 있을 수 있기 때문에 여기서 멈추지 않아야 합니다.

4. 웹사이트가 로드되면 팝업이 열립니다.

이것은 또한 쉽게 발견할 수 있는 신호입니다. 귀하의 웹 사이트는 분명히 제자리에 있지 않은 팝업 창을 로드합니다. 팝언더라고 불리는 그들 중 일부는 더 교활합니다. 웹사이트를 방문할 때는 표시되지 않지만 백그라운드에서 로드됩니다. 그러나 브라우저를 최소화하면 즉시 볼 수 있으며 일반적으로 화면의 많은 부분을 차지합니다.

Pressidium으로 웹사이트 호스팅

60일 환불 보장

계획 보기

5. 왜곡되고 이상하게 보이는 PHP 파일.

다음 예와 같이 이해할 수 없어 보이는 PHP 파일을 발견하는 것은 항상 누군가가 귀하의 웹사이트를 조작했다는 확실한 경고 신호입니다.

<?php 평가(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

이러한 유형의 파일에 대한 기술 용어는 "난독화"입니다. 난독화는 일반적으로 악의적인 코드 조각의 소스를 숨기거나 그 기능을 읽고 이해하는 것을 매우 어렵게 만들기 위해 해커가 사용하는 일반적인 기술입니다.

6. 백도어, 웹쉘, 관리자 계정

Webshell은 해커가 원격으로 연결하여 웹사이트에 대한 전체 관리 액세스 권한을 얻는 데 사용할 수 있는 프로그램입니다. 이 프로그램을 사용하면 서버의 셸(따라서 webshell이라는 용어)에 대한 원격 웹 액세스가 허용되어 해당 프로그램에 연결하는 모든 사람이 명령을 실행할 수 있습니다. 어딘가에서 난독화된 PHP 파일을 발견하면 웹쉘일 가능성이 있습니다.

해커는 관리 권한이 있는 계정을 만들어 백도어로 사용할 수도 있습니다. 이들은 WordPress 백엔드 또는 데이터베이스에서 볼 수 있기 때문에 비교적 찾기 쉽습니다.

의심스러운 활동을 식별하는 데 도움이 되는 도구

웹사이트가 변조되었는지 여부를 식별하는 데 도움이 되는 몇 가지 도구가 있습니다. 해킹당했거나 감염되었다고 생각되면 모두 사용하여 웹사이트를 확인하는 것이 좋습니다. 이러한 방식으로 모든 서비스가 동일한 항목을 확인하는 것은 아니므로 보다 둥근 보기를 얻을 수 있습니다. 아래 리소스는 모두 무료이며 웹사이트 URL만 입력하면 됩니다.

특히 악성 iframe, 팝업, 리디렉션 및 기타 자바스크립트 짐승에 감염되었다고 생각되면 다음 웹사이트에서 즉시 알려줍니다.

  1. Sucuri의 SiteCheckunmaskparasites . 이들은 웹 사이트가 블랙리스트에 있는지 여부 등 알려진 맬웨어를 확인합니다.
  2. Google 투명성 보고서 . 이것은 귀하의 웹사이트가 Google에 따라 "방문하기에 위험한" 것으로 간주되는지 여부를 표시합니다.
  3. VirusTotal 은 URL과 파일을 분석하여 악성 콘텐츠가 포함되어 있는지 확인할 수 있는 무료 서비스입니다.
  4. PC Risk가 제공하는 무료 온라인 웹사이트 맬웨어 스캐너 . 사이트에서 "악성 코드, 숨겨진 iframe, 취약점 악용, 감염된 파일 및 기타 의심스러운 활동"을 검색합니다.
  5. Quttera의 무료 웹사이트 맬웨어 스캐너. 귀하의 사이트에서 "의심스러운 스크립트, 악성 미디어 및 기타 웹 보안 위협이 합법적인 콘텐츠에 숨겨져 있으며 웹사이트에 위치"를 검색합니다. 위협 수준에 따라 분류된 각 결과와 함께 보안 보고서를 생성합니다.

WordPress 사이트를 안전하게 유지하는 데 도움이 되는 여러 WordPress 플러그인도 있습니다. InfoSec 의 7가지 최고의 WordPress 보안 플러그인에 대한 이 훌륭한 가이드 도 확인하십시오 .

악성 콘텐츠를 발견하고 취약점을 패치하는 즉시 사이트를 정리하는 것이 가장 중요합니다. 손상된 웹 사이트는 비즈니스의 생계에 궁극적으로 영향을 미칠 수 있고 궁극적으로 영향을 미칠 수 있는 중단 또는 비정상적인 동작을 의미합니다!