해커들이 가짜 워드프레스 플러그인을 이용하여 사이트 전체를 통제합니다

연구원들은 해커들이 숨겨진 백도어를 통해 워드프레스 사이트를 악용하고, 사이트 소유자가 그들을 제거하려 해도 전체 제어권을 유지하고 있음을 발견했습니다.

Sucuri에 의한 최근 조사에서 두 개의 악성 콘텐츠가 포함된 파일이 정상적인 워드프레스 시스템 구성요소로 가장되어 있음이 밝혀졌습니다. 하나는 “DebugMaster Pro”라는 가짜 플러그인으로 (./wp-content/plugins/DebugMaster/DebugMaster.php), 다른 하나는 핵심 파일인 척 했습니다 (./wp-user.php).

두 가지 모두 공격자가 항상 사이트에 관리자 계정을 가질 수 있도록 설계되었습니다. DebugMaster 파일에는 비밀 관리자 사용자 계정을 생성하는 고급 코드가 포함되어 있었습니다. DebugMaster는 플러그인 목록에서 보이지 않으면서 도난당한 로그인 정보를 원격 서버로 전송하였습니다.

보고서에 따르면: “이 스니펫은 WordPress에게 관리자 역할을 가진 ‘help’라는 새로운 사용자를 생성하도록 강요합니다. 만약 사용자가 이미 존재한다면, 스크립트는 그것이 관리자 권한을 복원하도록 보장합니다.”

라고 설명하고 있습니다.도난당한 정보, 사용자 이름과 비밀번호를 포함하여, 이들은 인코딩되어 해커가 제어하는 웹사이트로 전송되었습니다. 이 맬웨어는 웹사이트 관리자의 IP 주소를 찾기 위해 작동하는 동안 웹사이트에서 해로운 스크립트를 실행하였습니다.

wp-user.php 파일은 간단하지만 우려스러운 상황을 보여주었습니다. 시스템은 고정된 비밀번호를 사용하는 ‘help’라는 이름의 관리자 계정을 유지하였습니다. 사이트 소유자가 이 계정을 삭제하더라도, 이 파일은 즉시 이를 재생성하였습니다.

연구자들은 이 감염의 경고 신호로 ‘DebugMaster.php’나 ‘wp-user.php’와 같은 이상한 파일들, 새로운 또는 숨겨진 관리자 계정, 그리고 삭제된 계정이 다시 나타나는 것을 들었습니다.

이 문제에 대한 해결책은 해로운 파일을 제거하고 의심스러운 계정을 삭제하는 것입니다. 사용자들은 모든 비밀번호를 재설정하고 워드프레스, 플러그인을 업데이트하며 불통상적인 연결을 확인하기 위해 서버 로그를 확인하는 것이 권장됩니다.

연구자들은 두 개의 파일이 “웹사이트에 견고한 기반이 형성되었다”고 말했습니다. 즉, 사이트가 완전히 청소되고 보호되지 않으면 공격자들이 쉽게 다시 돌아올 수 있다는 뜻입니다.