|
개요
12월 18일 제로보드 취약성으로 인한 파일 변조가 발생하였습니다.
금일 확인된 사항으로는 제로보드의 버전이 pl8 이하인 경우에 발생되는 것으로 보여지고 있습니다.
설치된 제로보드 4의 버전은 bbs 폴더의 lib.php 파일에서 확인하실 수 있습니다.
해당소프트웨어
제로보드 4 모든 버전
증상
1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성
2. 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입
(예: http://h.nexprice.com/css/x.htm)
* 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
* 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는 header_url 에 위 2번과 동일한 악성코드 배포지 URL 생성.
해결방안
1. 1번 증상의 경우 해당 파일 삭제(삭제 방법 : http://www.nayana.com/bbs/set_view.php?b_name=pds&w_no=273)
2. 2번 증상의 경우 파일의 소스를 확인하여 삽입된 iframe 삭제
3. 3번 증상의 경우 제로보드 관리자로 로그인하여 생성된 그룹이 있는지 확인하여 새로 생성된 그룹에 삽입된 소스를 삭제
참고사이트
[1] http://www.xpressengine.com/zb4_security/19342857
[2] http://www.xpressengine.com/zb4_security/19344844
[3] http://www.xpressengine.com/zb4_security/19346851
위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로
제로보드 취약성이 해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의
경우에는 2009.09.29자로 제로보드4 공식 배포가 중지되었기 때문에 해결이 되지 않습니다.
위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나
지속적으로 보안 패치가 가능한 게시판으로의 변경을 고려하시기 바랍니다. | 
