WordPress 관리자 로그인 안되는 문제 해결(부제: cache.cloudswiftcdn[.]org 멀웨어)

서론

오랜만에 블로그에 글 쓸려고 했는데 로그인 UI는 안보이고 흰 화면만 나타나고 있어서 개발자 도구를 켜서 확인해보니…

나도 모르는 이상한 사이트에서 js를 불러오고 있었는데, 이 js에서 runtime error가 발생하고 있던 것이였다.. (런타임 에러 안났으면 더 위험할뻔..) 무슨 놈인가 싶어 구글에 검색해봤는데 최근부터 유행하기 시작한 WordPress 관리자 페이지에 이상한 스크립트를 꽂아넣는 말웨어 URL이라는 것.. 로그인도 못하고 있어서 이 놈을 서둘러 없애야겠다고 싶어서 바로 클라우드 콘솔에 접속했다.

본론

이 녀석을 제거할려면 일단 WordPress가 설치된 폴더로 이동해야한다. 그 다음 아래의 URL이 하나라도 있는지 검색해본다. ([.] 문구는 제거해서 검색하도록 한다).

"hxxps://assets.scontentflow[.]com"
"hxxps://cache.cloudswiftcdn[.]com"

Bash Shell에서는 아래와 같이 검색하면된다.

$ find . -type f -print | xargs grep -i "cache.cloudswiftcdn.com" /dev/null # 현재 폴더내에 있는 모든 파일을 대상으로 문자열을 검색하고 포함되는 내용을 컬러로 강조하여 출력한다.

찍어보니까 나의 경우 wp-config.php 파일 1번째 라인에 숨어있었다.

해당 라인을 제거하면 이제 정상적으로 로그인할 수 있다.

그리고 추가적으로 본인의 테마 폴더에 이상한 twentytwentyone, twentytwentytwo, twentytwentythree, twentytwentyfour가 있는지 확인해보자. 얘네도 전부 삭제해주자.

그리고 관리자 페이지에서 유저 페이지로 들어가 admim 으로 되어있는 계정과, 기존에 보이지 않았던 계정들도 전부 제거해주자.

실제로 악성 코드 스크립트를 확인해보면 ID: admim / PW: 7F9SzCnS6g3AFLAO39Ro 로 생성하는 걸 확인할 수 있다. (그 와중에 도메인 mystique api⋯ 신비롭네…)

결론

항상 워드프레스 업데이트하자. 이번에는 확인해보니 LiteSpeed Cache 구버전에서 발생하고 있었으니 플러그인도 자주 챙기자. 안챙기면 정신차려보면 털려있을 수도..