메인 페이지가 특정 adf.ly 페이지로 리다이렉트 되더군요…

[인터넷에서] [찾아보니] 특정 취약점을 이용해 관리자 계정을 만들고 header.php를 고쳐 리다이렉트되게 만들었던 것 같습니다…

사후대응으로 [이 글]을 통해 Wordfence라는 플러그인을 설치하고 파일 검사를 진행했더니 아래와 같이 무작위 파일명에 언더바를 붙인 php 파일들이 수십 개 나오더군요.

ransom

mal.txt 원본 php 파일입니다.

mal_modified.txt 가독성을 높인 버전입니다.

아래 첫 번째 함수는 인자 세 개를 받고 base64_decode한 특정한 문자열을 만들어내는 것 같았습니다.

 

두 번째 함수는 HTTP쪽을 처리하는 함수인 것 같은데 HTTP_X_FORWARDED_FOR 혹은 REMOTE_ADDR 속성을 찾아내는 것 같네요.

 

세 번째 함수는 CURL을 이용해 특정 주소에 있는 파일을 받아오거나 보내는 것 같았습니다.

 

아래 코드는 전역 스코프에 존재한 코드였습니다. 문서파일과 각종 워드프레스 관련 파일들을 찾아 내용을 가져오는 행동을 하는 것으로 보입니다.

 

아래는 마지막 함수입니다. 특정 파일을 생성하는 것으로 보였습니다.

 

좀 찝찝했던 건 이 파일들의 생성 날짜가 2012년으로 되어있는데 제가 이 홈페이지를 만든 건 2014년 말이거든요. 의심을 못하게 일부러 오래되게 만들었거나 파일 자체는 만들어져있고 리눅스에서 파일 생성 시간을 보존하면서 가져왔을 수도 있겠군요..

아무튼 큰 피해는 없어서 다행이었습니다.

 


[2016년 8월 3일에 내용 추가]

오늘 인덱스 페이지가 다시 수정당했습니다. 그래서 정밀검사를 진행했는데 Crayon Syntax Highlighter의 코드가 아래와 같이 변조당했더군요.

결국은 얘로부터 칩입당한 것 같았습니다…

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.