필자는 몇개의 사이트를 워드프레스로 제작하고 운영하고 있다. 그런데 오늘 새벽 갑자기 사이트 접속이 되지 않았다. 몇개의 사이트 가운데 두개의 사이트가 접속이 이루어지 않고, "forbidden you don't have permission"라는 메시지만 나오는 현상이 일어났다.
그래서 파악한 결과 두개의 사이트의 거의 모든 파일들의 확장자 뒤에 ".7z"가 붙여져 있었다.
상태는 아래와 같다.
위와 같이 워드프레스의 주요한 실행파일은 물론 내부의 거의 모든 파일 뒤에 ".7z"를 붙여 파일을 압축파일처럼 만들어 오류를 불러낸 것이다.
최근 워드프레스 취약점 공격에 대하여 해커들이 많이 시도하고 있다는 기사를 보기도 하였지만, 원인을 찾기는 어려웠다. 몇가지 단서는 아래 와같다.
1. 공격받은 A사이트와 B사이트는 다른 서버를 사용하고 있으면 약 10시간의 차이를 두고 이러한 파일 변경이 있었다.
2. 단순히 파일명의 ".7z"의 글자를 삭제해도 파일은 원래대로 돌아오지 않은 것을 보면 이름만 변경한 단순한 공격은 아니다.
3. 압축 파일을 해제하려고 해도 암호가 설정되어 있어서 이 역시 복구하기 어렵다.
4. 해당 시간의 특별한 로그 정보는 없다.
5. 두 사이트 모두 공통적으로 최근에 설치한 플러그인은 없었다.
여하튼 필자의 경우는 몇단계로 백업을 설정해 놓았기 때문에 간단히 파일을 복구 할 수 있었지만, 왜 몇개의 사이트 중 이 두 사이트만 공격을 받았는지 살펴볼 필요가 있을 것이다.
역시 보안은 절대적으로 백업만큼 좋은 것이 없는 듯 하다.
추후 이 문제에 대해 원인이 파악이 되면 다시 남기겠다.
추가
*문제를 파악한 결과 워드프레스의 문제가 아닌 서버 자체의 공격이었기 때문에
위의 공격은 서버 보안을 체크해서 해결해야 한다.
댓글