멀웨어 감염 유형: SQL 삽입

Google Search Console에 멀웨어 감염 유형 'SQL 삽입'으로 표시된 페이지가 있다는 것은 무슨 뜻인가요?

SQL 삽입 유형은 사이트의 데이터베이스가 해킹되었을 가능성이 높다는 것을 의미합니다. 예를 들어 해커가 데이터베이스 표의 모든 기록에 프로그래밍 방식으로 악성 코드를 삽입했을 수 있습니다. 나중에 서버에서 데이터베이스의 정보를 필요로 하는 페이지를 로드하면 이 악성 코드가 페이지의 콘텐츠에도 삽입되며 사이트의 방문자에게까지 피해를 줄 수 있습니다.

멀웨어에 관한 일반적인 정보를 더 알아보려면 피해 평가(멀웨어 해킹)를 참조하세요.

'SQL 삽입' 멀웨어 유형을 조사하려면 어떻게 해야 하나요?

우선 브라우저를 사용하여 사이트의 해킹된 페이지를 표시하면 안 됩니다. 멀웨어는 주로 브라우저 취약성을 이용하여 전파되므로 감염된 멀웨어 페이지를 브라우저에서 열면 컴퓨터에 피해를 줄 수 있습니다.

cURL 또는 Wget을 사용하여 HTTP 요청(예: 페이지 가져오기)을 수행함으로써 동작을 확인해 봅니다. 이렇게 무료로 사용할 수 있는 도구는 리디렉션 진단에 유용하며 리퍼러 또는 user-agent 정보를 유연하게 포함할 수 있습니다. 해커는 특정 user-agent 또는 리퍼러가 있는 사용자에게만 악성 콘텐츠를 게재함으로써 더 많은 '실제 사용자'를 타겟팅하고 사이트 소유자 및 멀웨어 스캐너로부터 발견되는 것을 더 잘 피할 수 있습니다 (이러한 도구를 사용하려면 사이트가 온라인 상태가 되어야 합니다).

예:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
예:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Wget 또는 cURL의 출력 결과에서 사이버 범죄자가 포함했을 수도 있는 'iframe'이나 'eval'과 같은 단어가 있는지 확인합니다.

다음으로 데이터베이스 서버에 로그인하거나 phpMyAdmin과 같은 도구를 통해 데이터베이스를 확인합니다. Wget 또는 cURL을 사용한 경우 Wget 또는 cURL을 통해 페이지 소스 코드에서 확인한 피해 상황을 실제 데이터베이스 항목과 서로 비교해 봅니다. 예를 들어 페이지에 위험한 iframe이 포함된 것을 알았다면 iframe을 찾는 SQL 검색어를 사용해 검색해볼 수 있습니다. 예:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

또한 서버의 데이터베이스 로그와 오류 파일에 비정상적인 활동(예: 일반 사용자에게는 비정상적으로 보이는 예기치 않은 SQL 명령어, 오류)이 있는지 확인하는 것이 좋습니다.

사이트에서 'SQL 삽입' 멀웨어 유형을 정리하려면 어떻게 해야 하나요?

사이트를 정리할 준비가 되면 감염된 데이터베이스 기록을 각각 업데이트하거나 알려진 최신 데이터베이스 백업을 복원할 수 있습니다.

악성 코드를 삭제해도 해커가 처음 사이트를 해킹하도록 허용한 근본적인 취약성은 해결되지 않습니다. 근본 원인을 해결하지 않으면 이후에 사이트가 다시 해킹당할 수 있습니다. 해킹된 사이트 정리에 대한 자세한 내용은 해킹된 사이트 관련 도움말을 참조하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?