12월에 제로보드에 악성코드가 다량으로 배포되었다고 하네요.
제 홈페이지(http://www.word.pe.kr)에도 악성코드가 들어 있더군요.. -.-
이와 관련한 제로보드 측의 공식 대응 내용을 첨부합니다.
저의 경우는 첫번째와 세번째였더라구요..
12월 18일 제로보드 취약성으로 인한 파일 변조가 발생하고 있습니다.
현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에 발생하고 있습니다.
제로보드의 버전은 bbs 폴더의 lib.php 파일에서 확인하실 수 있습니다.
------------------------------------------------------------------------------------------------
□ 원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조
□ 증상 :
1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성
2. 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입
(예시: http://h.nexprice.com/css/x.htm)
* 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
* 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는 header_url 에 위 2번과 동일한
악성코드 배포지 URL 생성.
□ 조치 : 1. 1번 증상의 경우 해당 파일 삭제
2. 2번 증상의 경우 파일의 소스를 확인하여 삽입된 iframe 삭제
3. 3번 증상의 경우 제로보드 관리자로 로그인하여 생성된 그룹이 있는지 확인하여
새로 생성된 그룹에 삽입된 소스를 삭제
------------------------------------------------------------------------------------------------
|
|
- 해킹사고는 근본적으로 암호의 관리가 필요합니다. 이용하시는 호스팅의 경우 암호가 짧거나 단순한
암호로 설정해놓으신 고객님들께서는 암호변경을 하시기 바랍니다.
(이미 해킹 사고를 당하신 고객님께서는 필히 암호 변경 진행하셔야 합니다)
- 위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로 제로보드 취약성이
해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의 경우에는 2009.09.29자로 제로보드4
공식 배포가 중지되었기 때문에 해결이 되지 않습니다.
위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나 지속적으로 보안 패치
가능한 게시판으로의 변경을 고려하시기 바랍니다
|
출처 : 제로보드 공식 홈페이지 http://www.xpressengine.com/zb4_security/19342857
|
추가로 KISA에서 웹 보안 Tool을 무료로 배포하고 있습니다.
CASTLE이라고 하는 건데요. 이걸로 어느정도 막아낼 수 있다고 해서 설치를 해봤습니다.
위 사이트에 가서 받으시면 되구요.. ASP, PHP, JSP용으로 모두 제공하고 있네요.
바빠서 홈페이지를 신경 못썼더니 크롬이나 파폭, 사파리에서 모두 유해한 페이지로 설정되어 있더군요..
홈페이지 관리하시는 분들은 신경 쓰시기 바랍니다.