죽일놈의 악성코드 제로보드 홈페이지들 KO


IT Story/HTML이야기 2010.12.29 03:36




제로보드 기반으로 한 홈페이지를 관리 혹은 운영하시는 분들은 꼭 제로보드 1.4.4.3 버전으로 업데이트 하시길 바랍니다.
관공서나 일반 홈페이지들도 아마 업데이트를 꾸준히 안하셨다면 현재 상당히 낮은 버전일텐데요.
(지금 저희 동아리에서 관리하는 홈페이지들도 대부분이 매우 낮은 버전들이 즐비하더군요)

현재는 제로보드 xe가 계속 업데이트 되는 상황이고,
옛날 제로보드 4 기반으로 하신 분들은 제로보드 4는 더 이상 업데이트 및 패치가 되질 않기 때문에, 엎어버리시고 새로이 제로보드 xe 로 업데이트 하시길 바랍니다.

현재 제로보드가 뚫리고 이 뚫는 중국 해커들 때문에 난리입니다.

12월 18일자로 제로보드 취약성으로 인한 파일 변조가 발생하고 있습니다.
현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에 발생하고 있는데, 관리자 분들은 이에 bbs 폴더의 lib.php 파일에서 확인 하실 수 있다고 합니다.

스크립트 공격으로 증상은

 bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성
 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입"
 제로보드 DB에 zetyx_group_table 생성되고, 이 테이블의 header 또는 header_url 에 위 2번과 동일한 URL 생성
 
이에 대한 조치는,

 첫번째 증상의 경우, 해당 파일 삭제
 두번째 증상의 경우, 파일의 소스에 확인하여 삽입된 iframe 삭제
 세번째 증상의 경우, 제로보드 관리자로 로그인 하여 생성된 그룹이 있는지 확인하여 새로 생성된 그룹에 삽입된 소스를 삭제

하는 방식으로 조치와 증상을 나열했지만, 스크립트 공격으로 DB나 html 파일에 퍼졌다면... 새로 엎어버리고 최신버전으로 업데이트 및 참고로 DB를 그대로 옮길 수도 없기에...(안에 어느 곳에 스크립트가 있는지 모르기에) 게시글도 이전 글을 다시 올려야 한다면 일일이..다 올려야 하는 사태가 날 수도 있다 생각이 됩니다.

해킹당하신 분들은 암호 변경을 하시고, 최신버전으로 업데이트 하시는 것이 더 좋을 듯 합니다.
(긴급패치 및 xe버전 1.4.4.3 버전이 xe홈페이지에 업데이트 되었습니다.)

group_qazwsxedc.jpg 파일의 내용을 보자면 안에 삽입 된 코드에 제로보드 보안을 뚫고 관리자 권한을 얻어 제로보드 내에 새 그룹을 만들고, 그룹이미지를 업로드 했습니다. 위 코드를 사용하여 범인은 원격에서도 무엇이든 원하는 PHP 코드를 실행할 수 있도록 해주는 파일을 만들고 있습니다. 예를 들어 원한다면 계정 내 모든 PHP 소스를 긁어가면 DB패스워드는 물론 DB의 권한까지 얻을 수 있겠죠...

보안의 중요성이 점점 피부로 느껴지는 시기입니다.
다들 피해없으시길 바랍니다.

*이외 참고하실 사이트 http://moonslab.com/1212
저작자 표시 비영리
신고

WRITTEN BY
ShakeJ

1 ,