일단 이 사이트는 nodebb입니다. 제가 운영하는 홈서버와는 다른 곳임을 알려드립니다.

얼마전 출판쪽 데이터가 필요해서 오랜만에 워드프레스 웹(WordPress) 을 열어놓고 아침까지 서버에 문제가 생긴줄도 모르고 자다가 뭔가 이상하다 생각해서 추적해봤습니다.

아니나 다를까 서버에 채굴관련 프로그램을 설치해둔게 있어서 관련 부분 삭제하고 접속제어를 다 막고 하드웨어도 교체했습니다. 디스크에 뭐 넣었을지 뻔하니... 하여간 정리는 했고 원인을 탐지하다 보니 확인된 침해 흔적 (bookfactory 워드프레스)

spectre.php
웹 파일매니저 형태(업로드/수정/삭제 기능).
생성 시각: 2026-01-22 15:42 (UID 82 = 웹서버 사용자로 생성된 흔적).
about.php
2index.php
wp-login.php
모두 Monarx 위장 웹쉘(외부 C2에서 코드 받아 실행) 패턴 확인.
생성 시각: 2026-01-22 16:26 ~ 18:30
C2 도메인 흔적: c-new.icw5.xyz, c.zvo1.xyz, c2.icw7.com
즉, 워드프레스 앱 계층에서 파일 업로드/취약 플러그인 통해 웹쉘이 심어진 경로가 (특히 wp-file-manager 플러그인이 존재하며, 과거 다수 RCE/업로드 취약점 사례 있음.)

그런데 이 파일메니저는 제가 설치한게 아니라 docker 워드프레스 설치에 따라들어온거라서 인지를 못한 상황이라 와! 이놈들이 요즘은 이렇게 하는구나 라고... ㅠㅠ 오픈소스는 망해가고 있습니다.

컨테이너 내부 nginx 로그 확인

bookfactory_nginx, blog-nginx-argo9 컨테이너 안의 /var/log/nginx/* 조회
2026-01-22 15:30~19:00 사이 POST, upload, wp-login, xmlrpc, plugin 요청 추적
웹쉘 격리/보존 + 정리

위 4개 파일 및 spectre.php를 격리(tar/cp 보관) 후 삭제
워드프레스 코어/테마/플러그인 무결성 확인 및 재배포
WP 계정/플러그인 감사

관리자 계정 추가 여부 확인
wp-file-manager 등 고위험 플러그인 제거/업데이트

이렇게 해서 탐정놀이는 끝내고 하드디스크는 뽑아서 격리하고 다른 백업본을 올려놨습니다. 이제 워드프레스는 사이트에 받은 걸로만...

docker image 를 아무거나 받지 마세요... ㅠㅠ