해킹 유형: URL 삽입

Search Console에 해킹된 사이트 유형 'URL 삽입'으로 표시된 페이지가 있다는 것은 무슨 뜻인가요?

해커가 사이트에 주로 스팸성 단어 또는 링크가 포함된 새로운 페이지를 만들었다는 뜻입니다. 새 페이지에 의도하지 않은 작업을 수행하는 코드, 즉 사용자를 다른 사이트로 리디렉션하거나 웹 서버가 다른 사이트에 대한 Denial-of-Service 공격에 참여하도록 하는 코드가 포함되는 경우도 있습니다.

해커는 일반적으로 다음 중 한 가지 방법으로 사이트를 수정합니다.

  • 서버의 안전하지 않은 디렉토리에 대한 액세스 획득을 통하여. 예를 들어 실수로 디렉토리의 권한을 열어 두었을 수 있습니다.
  • 콘텐츠 관리 시스템 등 사이트에서 실행하는 소프트웨어의 취약성을 이용하여. 예를 들어 WordPress의 안전하지 않은 이전 버전을 실행했을 수 있습니다.
  • 방문자 수 카운터와 같이 사이트에서 사용하는 타사 플러그인을 해킹하여

스팸으로 해킹당한 사이트에 대한 보다 일반적인 정보는 해킹된 사이트 관련 도움말의 복구 절차 중 5단계: 피해 평가(스팸)를 참조하세요.

해커가 스팸성 페이지를 내 사이트에 추가했는지 확인하려면 어떻게 해야 하나요?

수신된 메시지 또는 Search Console의 보안 문제 페이지 목록에 표시된 예제 URL을 조사합니다. 각 URL에 대해 알아낸 사항을 자세히 기록합니다.

사이트에 새 페이지가 추가되었는지 확인하려면 사이트가 오프라인 상태인 경우에도 다음 방법을 사용할 수 있습니다.

  • Google에서 [site:example.com] 등 'site:' 검색을 수행할 수도 있습니다(참고: site: 연산자와 도메인 이름 사이에 공백이 없어야 함). 사이트에서 이 검색을 수행하면 Google에서 색인을 생성한 사이트의 페이지가 표시됩니다. 여기에서 확실하게 본인이 생성하지 않은 페이지가 더 있는지 확인할 수도 있습니다. 사이트가 큰 경우 보다 구체적인 검색(예: [site:example.com pharmacy], [site:example.com/wp-admin/] 또는 [site:example.com inurl:hacked.php])을 사용할 수도 있습니다.
  • 셸/터미널 액세스를 통해 서버에 로그인하고 보안 문제의 'URL 삽입' 유형에 제공된 예제가 있는지 자세하게 확인할 수 있습니다.

새 페이지의 콘텐츠를 보려는 경우 브라우저를 사용하면 안 됩니다. 새 페이지에 멀웨어가 포함되었을 수 있으며, 이 경우 주로 브라우저 취약성을 이용하여 전파됩니다. 브라우저에서 이러한 페이지를 열면 컴퓨터에 피해를 줄 수 있습니다. 해커가 클로킹 기술을 사용하여 스팸성 페이지를 숨길 수 있으므로 페이지에 ajfdnpdj가 없는 경우에도 내가 브라우저에서 보는 내용이 Google 또는 사용자가 보는 것을 보여주지 않는 경우가 많습니다. 브라우저에 아무것도 표시되지 않거나 페이지가 없을 수 있습니다(HTTP 상태 코드 404 반환). 클로킹에 대한 자세한 내용은 해킹된 사이트 관련 도움말의 복구 절차 중 5단계: 피해 평가(스팸)에 해당하는 동영상에서 다룹니다.

브라우저를 사용하는 대신 다음 방법 중 하나를 사용하여 스팸성 페이지가 사이트에 추가되었는지 확인할 수 있습니다.

  • Use “Fetch as Google” in Webmaster Tools:
    Google’s free Search Console provides a feature called “Fetch as Google” that you can use to see a page on your site as Google machines see it. This is useful since many hackers make changes that are visible only to Google machines. For example, they might add links to their site from yours that are only rendered when the referrer is Google.
  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Fetch as Google, Wget 또는 cURL의 출력 자료에서 새로 추가된 의심스러운 페이지의 콘텐츠를 확인할 수 있습니다.

'콘텐츠 삽입' 유형으로 해킹된 사이트를 정리하려면 어떻게 해야 하나요?

사이트를 정리할 준비가 되면(해킹된 사이트 관련 도움말의 복구 절차 중 7단계) 영향을 받은 디렉토리를 안전한 최신 백업으로 대체하거나 원치 않는 페이지 및 해커가 이를 만드는 데 사용한 모든 파일 또는 함수를 삭제할 수 있습니다.

악성 페이지를 삭제해도 해커가 처음 사이트를 해킹하도록 허용한 근본적인 취약성은 해결되지 않습니다. 근본 원인을 해결하지 않으면 이후에 사이트가 다시 해킹당할 수 있습니다. 예를 들어 이전 WordPress 설치 등 사이트에서 실행하는 모든 소프트웨어를 업데이트하면 도움이 됩니다. 이러한 해킹 유형뿐 아니라 전체 사이트 정리에 대한 자세한 내용은 해킹된 사이트 관련 도움말의 복구 절차 중 5단계: 피해 평가(스팸)에서 '파일 시스템 피해 평가'를 참조하세요.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?