[보안 경고] 제로보드4를 사용하는 홈페이지 접속에 주의하시기 바랍니다. > 공지사항

본문 바로가기

공지사항

[보안 경고] 제로보드4를 사용하는 홈페이지 접속에 주의하시기 바랍니다.

페이지 정보

작성자 웹마스터 쪽지보내기 작성일2010.12.21 10:17
글씨크기

본문

안녕하세요.
재림마을 운영센터입니다.

12월 18일부터 재림마을 호스팅 서버를 포함하여 거의 모든 서버들에서, 유명 게시판 프로그램인 제로보드4 버전을 사용하는 홈페이지의 파일 변조가일어나고 있습니다.

이에 각 홈페이지 관리자들 께서는 운영하시는 홈페이지를 확인하시고, 홈페이지에 문제가 있을 경우 webmaster@kuc.or.kr 로 운영하시는 도메인(홈페이지 주소)과 연락처를 남겨주시기 바랍니다.

증상은 홈페이지 접속시 왼쪽 하단 부분에 완료가 안 되고 < iframe src="h.nexprice.com/xxx/x.htm">와 같은 식으로 홈페이지 접속을 시도합니다.

v3, 알약, 바이로봇등 사용하시는 Anti-Virus 프로그램을 최신 업데이트 하고, 실시간 감지를 켜 놓으신 후 접속하시기를 권해 드립니다.

감사합니다.


아래는 이번 공격에 대한 정보입니다.
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
제로보드4 게시판의 취약성을 이용한 파일 변조 알림
출처 :: http://www.xpressengine.com/19342857


12월 18일 제로보드 취약성으로 인한 파일 변조가 발생하고 있습니다.

현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에
발생하고 있습니다. 제로보드의 버전은 bbs 폴더의 lib.php 파일에서
확인하실 수 있습니다.
_______________________________________________________________________________

원인 :  제로보드 4 게시판의 취약성을 이용한 파일 변조

증상  :   1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성

            2. 계정내 확장자가 html, php  파일들에 frame src="악성코드 배포지 URL 삽입

                (예: http:// h.nexprice.com/css/x.htm , http:// apple.chol.com/xml/index.html)
                * 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
                * 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
          
            3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의  header 또는
                header_url 에 위 2번과 동일한 악성코드 배포지 URL 생성.

조치  :  1. 1번 증상의 경우 해당 파일 삭제
          
           2. 2번 증상의 경우 파일의 소스를 확인하여 삽입된 iframe 삭제

           3. 3번 증상의 경우 제로보드 관리자로 로그인하여 생성된 그룹이 있는지
               확인하여 새로 생성된 그룹에 삽입된 소스를 삭제        
_______________________________________________________________________________

위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로
제로보드 취약성이 해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의
경우에는 2009.09.29자로 제로보드4 공식 배포가 중지되었기 때문에 해결이 되지 않습니다.

위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나
지속적으로 보안 패치가 가능한 게시판으로의 변경을 고려하시기 바랍니다.

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

댓글목록

등록된 댓글이 없습니다.