[닷홈] 제로보드4 게시판의 취약성을 이용한 파일 변조 안내입니다.
- 게시자 : 닷홈
- 작성일 : 2010.12.18
-
안녕하세요 닷홈입니다.
12월 18일 금일 제로보드 취약성으로 인한 파일 변조가
발생하고 있습니다.
현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에
발생하고 있습니다. 제로보드의 버전은 bbs 폴더의 lib.php 파일에서
확인하실 수 있습니다.
닷홈에 계정을 신청하신 후에 생성된 html/폴더안에 있는 제로보드 설치파일인
bbs/폴더는 pl10 버전입니다만, 2009년 이전에 신청하신 경우에는 그렇지 않을 수
있습니다.
_______________________________________________________________________________
원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조
증상 : 1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성
2. 계정내 확장자가 html, php 파일들에 frame src=악성코드 배포지 URL 삽입
* 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
* 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
* 파일 소스를 확인하시기 어려울 경우에는 [고객센터]의 [1:1게시판상담]
작업요청하시기 바랍니다.
3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는
header_url 에 위 2번과 동일한 악성코드 배포지 URL 생성.
조치 : 1. 1번 증상의 경우 해당 파일 삭제
2. 2번 증상의 경우 파일의 소스를 확인하여 삽입된 iframe 삭제
3. 3번 증상의 경우 제로보드 관리자로 로그인하여 생성된 그룹이 있는지
확인하여 새로 생성된 그룹에 삽입된 소스를 삭제
4. ftp 암호가 누출되었을 가능성이 있으므로 [마이닷홈], 등록된 호스팅
리스트의 [상세보기]로 이동하여 ftp 암호 변경
* 디비 암호도 변경할 경우에는 bbs폴더의 config.php파일의 디비암호도
변경하여야 합니다.
* 위 내용으로 조치가 되지 않을 경우에는 악성코드 배포자가 배포 방식을
변경한 경우일 것입니다. [1:1게시판상담]에 내용을 올려주시면 다시
조치 방안을 찾도록 하겠습니다.
_______________________________________________________________________________
위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로
제로보드 취약성이 해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의
경우에는 2009.09.29자로 제로보드4 공식 배포가 중지되었기 때문에 해결이 되지 않습니다.
현재 닷홈에서 제로보드4 게시판 사용자들의 편의를 위해 html/폴더에 기본설정 당시
업로드해드리는 bbs/폴더는 제로보드의 마지막 패치가 적용된 pl10 버전입니다만,
더 이상 패치가 되지 않기 때문에 안전하다고 말씀드릴 수 없습니다.
위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나
지속적으로 보안 패치가 가능한 게시판으로의 변경을 고려하시기 바랍니다.
한편 xe로 업그레이드를 고려하시는 경우에는 [마이닷홈], 등록된 호스팅 리스트의
[상세보기]로 이동하여 사용하시는 계정의 mysql 버전을 확인하셔야 합니다.
mysql의 버전이 4.0일 경우에는 xe 설치가 되지 않습니다. 이럴 경우에는
mysql 버전이 상위인 서버로 계정의 자료이전을 해야 하며, 이는 유료 부가서비스로
위 [상세보기]로 이동하여 [부가서비스]의 [자료이전] 신청을 하셔야 하니 이점
양해하시기 바랍니다.
감사합니다.
12월 18일 금일 제로보드 취약성으로 인한 파일 변조가
발생하고 있습니다.
현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에
발생하고 있습니다. 제로보드의 버전은 bbs 폴더의 lib.php 파일에서
확인하실 수 있습니다.
닷홈에 계정을 신청하신 후에 생성된 html/폴더안에 있는 제로보드 설치파일인
bbs/폴더는 pl10 버전입니다만, 2009년 이전에 신청하신 경우에는 그렇지 않을 수
있습니다.
_______________________________________________________________________________
원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조
증상 : 1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성
2. 계정내 확장자가 html, php 파일들에 frame src=악성코드 배포지 URL 삽입
* 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
* 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
* 파일 소스를 확인하시기 어려울 경우에는 [고객센터]의 [1:1게시판상담]
작업요청하시기 바랍니다.
3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는
header_url 에 위 2번과 동일한 악성코드 배포지 URL 생성.
조치 : 1. 1번 증상의 경우 해당 파일 삭제
2. 2번 증상의 경우 파일의 소스를 확인하여 삽입된 iframe 삭제
3. 3번 증상의 경우 제로보드 관리자로 로그인하여 생성된 그룹이 있는지
확인하여 새로 생성된 그룹에 삽입된 소스를 삭제
4. ftp 암호가 누출되었을 가능성이 있으므로 [마이닷홈], 등록된 호스팅
리스트의 [상세보기]로 이동하여 ftp 암호 변경
* 디비 암호도 변경할 경우에는 bbs폴더의 config.php파일의 디비암호도
변경하여야 합니다.
* 위 내용으로 조치가 되지 않을 경우에는 악성코드 배포자가 배포 방식을
변경한 경우일 것입니다. [1:1게시판상담]에 내용을 올려주시면 다시
조치 방안을 찾도록 하겠습니다.
_______________________________________________________________________________
위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로
제로보드 취약성이 해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의
경우에는 2009.09.29자로 제로보드4 공식 배포가 중지되었기 때문에 해결이 되지 않습니다.
현재 닷홈에서 제로보드4 게시판 사용자들의 편의를 위해 html/폴더에 기본설정 당시
업로드해드리는 bbs/폴더는 제로보드의 마지막 패치가 적용된 pl10 버전입니다만,
더 이상 패치가 되지 않기 때문에 안전하다고 말씀드릴 수 없습니다.
위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나
지속적으로 보안 패치가 가능한 게시판으로의 변경을 고려하시기 바랍니다.
한편 xe로 업그레이드를 고려하시는 경우에는 [마이닷홈], 등록된 호스팅 리스트의
[상세보기]로 이동하여 사용하시는 계정의 mysql 버전을 확인하셔야 합니다.
mysql의 버전이 4.0일 경우에는 xe 설치가 되지 않습니다. 이럴 경우에는
mysql 버전이 상위인 서버로 계정의 자료이전을 해야 하며, 이는 유료 부가서비스로
위 [상세보기]로 이동하여 [부가서비스]의 [자료이전] 신청을 하셔야 하니 이점
양해하시기 바랍니다.
감사합니다.
