워드프레스 해킹 당했는데 피해는 없을까

워드프레스 블로그를 운영할 때 조심해야 할 것 중 하나가 해킹이었는데, 평소에 조금 어려운 비밀번호를 사용하고 있으니 괜찮겠거니 생각했었던 사이트에서 해킹을 당한 사례가 있습니다. 사용하고 있는 데이터가 망가지는 일은 당하지 않았는데, 해킹을 시도한 놈이 알 수 없는 php 파일을 4개 심어 놓고 해당 파일로 뭔가를 작업했었던 것으로 추정이 됩니다.

해킹을 발견한 계기

해킹된 것을 알게 된 계기는 우연히 들어간 클라우드웨이즈 관리자 페이지에서 갑자기 사용한 용량이 말도 안되게 높아져 있는 것을 본 것입니다. 바로 직전에 발생했던 것 중 하나는 바로 ‘DB 접속 오류’였습니다. DB에 접속 오류? 이것은 과부하가 걸렸을 때만 발생하는 것인데?

그래서 어플리케이션 중 많은 리소스를 차지하고 있는 것을 찾아봤죠. 그랬더니 놀랍게도 한 사이트가 갑자기 디스크 사용량이 1GB가 되어 있으면서 메모리를 많이 쓴다고 나오는 것이었습니다.

부랴부랴 해당 계정으로 들어가서 살펴보니, 만들지도 않았던 admin이라는 계정이 생겨 있더군요. 이거 언제 만들었을까요? 제가 만든 적도 없는 것이 어떻게 생성된 것인지 궁금했습니다.

부랴부랴 해당 계정을 지웠는데 지금은 제대로 잘 작동하고 있는지를 살펴봐야겠습니다.

클라우드웨이즈로 호스팅을 이용할 때는 트래픽 모니터링을 잘해 놓아야겠다는 생각이 다시 한 번 들었습니다. 사용중인 트래픽이 갑자기 증가하면 둘 중 하나이기 때문입니다. 갑자기 콘텐츠 하나가 급상승하여 인기 있는 페이지가 되었거나, 아니면 해킹을 당한 것입니다.

일단 나가고 있는 트래픽을 모니터링 해 본 결과는 리부팅을 하고 난 후 조금 줄기는 했는데, 이전 주간하고 비교하면 여전히 평소보다 높네요

해당 계정에 아직도 문제가 있는지 점검을 해 봐야할 것 같습니다. 한 번 털리는 것이 어렵지, 일단 털리면 그 뒤에 또 같은 루트로 들어올 수도 있다는 것이니 매일 모니터링을 해 봐야 할 것 같습니다.

방금 확인을 해 보니 다행히 어드민으로 생성되었던 계정은 보이지 않습니다. 관련된 파일은 다 지워져 있고요. 그리고 워드프레스 사이트에 접속되는 속도도 이전과 같은 속도로 회복이 되었습니다.

해킹 주의보

이번 사태로 해킹에 대해 아주 주의를 해야 한다는 것을 알게 되었습니다. 일단 해킹으로 인해 만들어진 엄청난 로그 파일의 크기가 상당합니다. 1기가라니, 64기가를 사용하고 있는 서버인데, 상당한 충격이네요.

나중에 사이트가 대폭 성장해서 이 정도가 매일 요청되는 사이트가 되었으면 하는 바람이지만, 요원한 일이죠. 언젠가는 그런 날이 올 것을 기대해 봅니다.

클라우드웨이즈 워드프레스를 이용하면서 처음으로 겪어보는 아주 신박한 일이었습니다. 다음에는 이런 일이 없어야 할텐데, 잘 살펴보아야 할 일이 하나 더 생겼습니다. 사이트 속도가 갑자기 느려지게 되면 해킹도 한 번 의심해 보는 것이 맞는 것 같습니다.