Home 게시판 커뮤니티 자유게시판 해킹인가요?

2개 답변, 2 voices Last updated by Avatar of 2C2C 9 years, 6 months 전
  • Avatar of 2C2C
    Participant
    @devoalee
    #26677

    상업용홈페이지를 워드프레스로 제작을 하여 어드민에  접속한 상태로 지속적으로 켜놓고 있습니다.

    회원이 가입을 하면 이메일 자동발송이 회원 이름과 아이디가 오게 되어있는데

    빈칸으로 오길래 무언가 하는 마음에 어드민 페이지를 보니 세션이 종료가 되어있더라구요.

    뭐지? 하는 생각으로 접속을 하는데 접속이 되지 않았습니다. 이거 해킹인가? 하는생각이 문뜩 들더군요.

     

    바로 로그파일을 확인하니 세션이 만료된 기점전  특정 아이피가 어드민페이지를 수차례 호출을 하고

    나중엔 어드민 프로필페이지가 호출되었더라구요.(비로그인 사용자는 프로필 페이지 열람불가 404에러페이지로 리다이렉트)

    일단 패스워드 재설정을 클릭하여 아이디를 입력하였지만 이메일이 오지 않는것이었습니다.

    DB로 접속을 해서 어드민 아이디 이메일을 보니 쌩뚱맞은 이메일이 DB에 기록이 되어있더라구요.

     

    해당 아이피 121.132.98.197 아이피로도 접속을 해보니 중국 CCTV 보안업체 로그인 페이지로 넘어가더군요. 이메일은 네이버 이메일…

     

    대처방안으로 어떤것이 있을까요? 일단 해당 로그파일과 내역들은 저장해놓았습니다.

    워드프레스 버그인가요?? 혼란스럽네요.

    Avatar of 2C
    Avatar of 082net082net
    Keymaster
    @082net
    #26679

    해킹인것으로 보이네요, 혹시 어드민 아이디가 admin 으로 되어 있지는 않나요? admin 으로 되어있는 계정은 해킹의 위험이 있어 워드프레스측에서도 비추천되고 있습니다. 이외에도 쉽게 예상 가능한 아이디는 관리자 아이디로는 하지 않는게 좋습니다.

    최근 지인 분 께서도 워드프레스 계정을 해킹당해서 글 들에 스팸문구가 추가되었던데요…

    어쩌면 워드프레스 로그인 보안이 뚫린것일지도 모르겠네요.

    일단 워드프레스 코어 개발 쪽에 로그파일과 함께 상황을 포스팅 해 보시는게 어떨까요?

    http://make.wordpress.org/core/ > create a ticket 링크를 통해 버그 신고를 할 수 있습니다.

    wordpress org support 에 관련 문제도 한 번 검색해 보시면 도움이 될거에요.

    제가 찾은 참고 링크들은:

    http://codex.wordpress.org/FAQ_My_site_was_hacked
    http://wordpress.org/support/topic/268083#post-1065779
    http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
    http://ottopress.com/2009/hacked-wordpress-backdoors/

    Additional Resources:
    Hardening WordPress
    http://sitecheck.sucuri.net/scanner/
    http://www.unmaskparasites.com/
    http://blog.sucuri.net/2012/03/wordpress-understanding-its-true-vulnerability.html

    이니 한 번 참고 해 보세요.

    Avatar of 082net
    Facebook 사용자 모임 그룹 도 함께 운영되고 있으며, 격 주로 미트업과 스터디를 진행하고 있으니 관심 있으신 분들의 많은 참여 바랍니다 🙂
    Avatar of 2C2C
    Participant
    @devoalee
    #26687

    안녕하세요 답변 감사합니다.

    어드민 아이디가 몇번 쳐보면 쉽게 유추가 될 수는 있겠다는 생각이 들었습니다.

    DB까지 변경된걸 보니 소름이 돋더군요.

    일단 응급처치로는 limit login attempt 플러그인을 설치하여 반복적인 접근을 막아놓긴 했습니다.

    아무리 그래도 비밀번호가 대문자 에 특수기호가 2개나 포함되어있는데 이걸 변경할줄은….

3 글 보임 - 1에서 3 까지 (총 3 중에서)
  • 답변은 로그인 후 가능합니다.