얼마전에 블로그가 털렸다. 특정 게시물 하나의 댓글에 사용된 유저 이미지에 인젝션이 들어가 그 게시물이 눌리면 다른사이트로 납치되는 증상이 있었다. 그 문제는 어찌어찌 찾아서 해결했다.
그리고 난뒤 나는 복구가 완료되었다 생각하고 홀가분하게 "역시 나는 모든걸 해결할수 있다" 라며 으쓱 했다.
그런데 그 이후 내블로그는 더 심각하게 해킹을 맞았다.
인덱스부터 시작해서 대부분의 파일이 변조 되었다.
오늘의 포스팅은 "해줘" 다
커서와 작업을 했고 나는 그냥 ssh연결해서 디렉토리에 적절한 권한을 준뒤 알아서 수정하고 더 확인할 부분만 추가요청을 한게 다 다.
워드프레스 해킹 복구 요약
1. 사건 개요
- 워드프레스 사이트가 대량의 악성 스크립트와 백도어에 감염됨.
- 핵심 파일 및 플러그인‧업로드 경로까지 광범위하게 변조.
2. 발견된 주요 악성 요소
- index.php:
goto로 난독화된 코드로 완전 변조. - wp-includes 핵심 파일들(
template-loader.php,cron.php,functions.php,general-template.php,plugin.php,wp-blog-header.php,wp-load.php) 첫머리에 악성include또는 PHP 시작 태그 누락. - 악성 플러그인:
wp-content/plugins/jealous-whale/전체. - 타임스탬프형 악성 파일:
custom_file_*,custom.file.*등. - 중첩 images 폴더에 다수의
index.php. - wp-admin/css/colors/midnight/midnight/ 내부 난독화 PHP.
- blocks/pullquote/ 경로의 악성
index.php. - 변조된 robots.txt (수상한 sitemap URL).
- DB 백도어 adminbackup 계정과
hack_file옵션.
3. 수행한 조치
- 파일 복원·삭제
- 정상 워드프레스 코어로 교체, PHP 시작 태그 추가.
- 악성 플러그인·파일·중첩 디렉터리 전부 삭제.
- 데이터베이스 정리
adminbackup관리자 계정,hack_file옵션 제거.
- 퍼미션/소유권 수정
- 파일 644, 디렉터리 755, 소유자
apache:apache.
- 파일 644, 디렉터리 755, 소유자
- robots.txt 표준 값으로 복원.
- 웹 서버 재시작 후 정상 동작 확인(HTTP 200, PHP 실행).
4. 최종 결과
- 사이트(https://linuxer.name/) 정상 로딩, HTML 출력 정상.
- 악성 코드·백도어 전부 제거 완료.
