워드프레스 사이트 해킹하는 방법

§

wordpress-malware-visitortracker-600x321

이 글의 목적은 현재 해킹에 무방비 상태로 노출되어 있는 수많은 한국 워드프레스 사이트 운영자들에게 경각심을 불러 일으키기 위한 글이지 해킹을 방조하는 글이 아님을 알립니다.

오늘까지 무려 500만개가 넘는 워드프레스 사이트가 VisitorTracker 라는 악성코드에 의해 해킹되었고, 이 중 백만개가 넘는 사이트가 구글에 의해 차단되었습니다. (매일 기하급수적으로 해킹되는 사이트가 늘어나고 있고, 현재 매우 심각한 상태 입니다.)

http://www.scmagazine.com/update-wordpress-malware-visitortracker-getting-stronger/article/442551/
https://blog.sucuri.net/2015/09/wordpress-malware-visitortracker-campaign-update.html

작년에 발견된, 그렇지만 아직도 해결안된 RevSlider 플러그인 (한국분들이 아주 많이 사용하시는 슬라이더 플러그인 이죠.) 의 vuln (취약점) 때문에 주로 해킹되고 있습니다. Contact Form 7 도 같은 취약점이 현재 존재하는 듯 합니다.

아래는 현재 취약점이 patch 안되고 있는 플러그인들 리스트 인데, 이외에 다른 플러그인들도 0day vuln (아직공개되지 않은 취약점) 이 존재하는 듯 합니다.

GravityForms RCE
RevSlider RCE
Contact Form 7 RFI
TimThumb AFU (yes, timthumb still)
MailPoet AFU

어떤식으로 사이트가 해킹되고 있는지 간략하게 보여드리겠습니다.

해킹 사이트 타켓대상 : 현재 취약점이 해결되지 않고 있는 플러그인을 사용하고 있는 워드프레스 사이트

방법

일단 Rev Slider 폴더내에 개별페이지 나열이 가능한 사이트들을 찾아봅니다.

해킹툴 사용할 필요없이 크롬에서 구글을 이용해 revslider 를 사용하고 있는 사이트 중 개별페이지 접근이 가능한 사이트를 일단 나열해 봅니다.

https://www.google.com/search?q=inurl%3A%2Fwp-content%2Fplugins%2Frevslider%2F&oq=inurl%3A%2Fwp-content%2Fplugins%2Frevslider%2F&aqs=chrome..69i57j69i58.727j0j9&sourceid=chrome&es_sm=93&ie=UTF-8

(저는 해킹툴을 사용해서 조금 규모가 큰 한국 사이트를 하나 찾았는데 거길 보여드릴려다가 파장이 커질 것 같아서…. >.

이 검색결과만 보여드려도 프로그래밍에 대해 조금이라도 이해하시는 분들은 개별페이지가 이렇게 노출되는게 얼마나 심각한 상황인지 아실거고….

자 이제 config.php 를 하나 열어보죠.

http://solidcity.brewourcoffee.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

config.php 에는 어떤 정보가 들어있죠? 네 DB 관리자 이름과 비번이 들어 있습니다.

username 과 비번을 열람하면 저나 저 사이트 관리자나 동급이 되는겁니다. (저는 절대 열람안했습니다. 열람하면 그때부터 범죄행위라서.)

해커라면 일단 관리자 비번 부터 바꾸겠죠. 더이상의 설명은 필요 없으리라 생각됩니다.

저 악성코드는 제가 이렇게 수작업 한 과정을 자동으로 돌려서 워드프레스 사이트들을 해킹하고 있는 것 입니다. (자스에 악성코드를 다 붙여서 눈에 보이지 않는 iframe 을 생성한 후, 감염된 사이트를 방문하는 방문자들을 악성코드가 심어져 있는 사이트로 이동시키고 있습니다.)

감염된 워드프레스 사이트들 ban 먹이느라 구글도 몹시 바쁘고 있습니다.

제발 슬라이더 같은 기능을 하는 쓰잘데 없는 플러그인들은 사용을 자제하셨으면 좋겠습니다.

jQuery 슬라이더 같은건 직접 만들어 붙이시던가, 슬라이더를 만드실 줄 모르시면 튜토리얼이라도 보고 배우시던가, 아니면 그냥 웹디자이너 한테 하나 만들어 달라고 해도 됩니다. (아주 간단한 작업입니다.) 슬라이더 만든후, css 하고 js 만 enqueue script (등록) 하셔서 워드프레스에 붙이시면 됩니다.

사이트 탈탈 털리시고, 구글한테 ban 먹어서 사이트 접속도 안되고, 하루라도 ban 먹어서 장사못하시면 (그 사이트 하루 매출이 어느정도인지 모르겠지만, 피해가 심각하실텐데요…) 조만간 그렇게 될 사이트가 지금 한둘이 아닌데, 참…

휴…. 할 말이 없습니다. 아, 저 악성코드는 사이트 접속자의 컴퓨터를 악성코드가 존재하는 사이트로 이동시켜 접속자의 컴퓨터를 감염시킵니다.

그래서 당분간 워드프레스로 구축된 사이트를 방문하실때는 브라우저에서 JAVA 하고 플래시 꺼놓으시는게 좋습니다.

자꾸만 해킹당하는 워드프레스, 사용자 의식 문제

hackya 는

Attorney, front-end developer, digital media artist, WordPress enthusiast, & a father of 4 wonderful children.

Tags: , , ,

카테고리: , ,

Ω