정확하게 어떤 자료인지 알려주셨더라면 더 좋았을텐데요...;;

보안이라고 검색해도 워낙 많이 나와서요..

저는 dq 게시판(드림퀘스트님)을 사용하는데요
파일 업로드시 파일명 변경이 안되네요.....혹시 아시는지요 쿨~~님

바이러스 파일들을 잡아내고 나니 홈피속도가 날아다닙니다 ㅎㅎ

제로보드설치경로/images/admin_info.gif , 나 admin_addidinfo 라는 파일명을 가진 파일을 확인하고 삭제
제로보드설치경로/_haed.php 파일을 검사 . _head.php old 파일을 확인후 삭제 .  _head.php파일을 덮어씌워서 원상복구 하셔야합니다.
국가사이버안전센터에서 업로드를 통한 프로그램 수정권고가 이미 내려진바 있으며 해당부분 패치방법은
제로보드사이트(http://zeroboard.com)에서 제로보드4->사용자팁에서 '보안'으로 검색하면 나옴

저는 사이트 관리자인데 위 방법대로 해도 매일 해킹당합니다. 타겟 당하고 있고 피해가 커질까봐 닫았습니다.

혹시 위 방법대로 했는데 괜찮은 분 계신가요? 저는 그럼에도 계속 해킹 당합니다.

수정권고에 따라서 해봤습니다. 혹시하고 이전에 있었던 보안패치도 해봤지만 안됩니다.

아무래도 새로 패치하셔야 될것 같네요. 단독서버에서 아파치설정으로 막을수 있겠지만 웹호스팅에서는 막을수 없을거라 생각됩니다 이번에는 해커가 한발 앞서갔네요.

저 같은 경우도 새로 PL8을 다시 깔고 위 2개의 보안 패치를 했는데도,
매일 _head.php가 바뀌면서 해킹을 당하는데..
정말 막을 방법 없을까요? 에휴...............

방금 호스팅업체 운영자님과 얘기 나눴는데 놀라운 사실 알아냈습니다.

해커가 최신버젼 lip.php 파일을 낮은 버젼으로 바꿔치기 한다음에

해킹한 모양입니다. 아무리 보안패치해도 소용없는것 같습니다.

운영자님께서 일단 php 파일들을 모두 읽기권한으로 바꿔주셨습니다.

당하신분들은 호스팅업체한테 요청하세요.

게시판에 gif,jpg 업로드를 하루만 막아보세요 그리고 게시판과 상관없이 들어가있는 업로드필드가있는지 확인해보세요

(쪽지에 첨부파일보내기 라든지 폼메일에 첨부파일 보내기라든지...) 해당패치는 업로드필드 1,2번에 대한 패치입니다.

★ 회원가입폼에서 회원사진이나 회원 아이콘을 올릴수있게 한경우도 포함이됩니다. 되도록 이부분은 없애시기 바랍니다 ★

온갖 방법을 써도 해결이 안됩니다. 계속 뚫리네요.
물론 위에 올려주신 1,2 방법 모두 적용했구요..
업로드는 꼭 있어야 할 것 같구요..

서버 차원에서 해결할 방법은 없나요?
개인 서버를 이용하고 있기 때문에 그렇게라도 막을 수 있다면 꼭 막고 싶습니다.
제로보드4 소스에 수정을 엄청나게 해댔기 때문에(5년간 운영) 다른 보드로 갈아탈 형편이 안되네요.

정말 뭔가 해결 방법을 찾아야 할 것 같습니다.
저도 nbamania님과 같이 이런저런 방법을 모두 써도 결국 뚫리더라구요..

지금은 1분마다 멀쩡한 _head.php를 복사하고,
icon폴더의 *.gif 를 지우는 작업을 해서
피해를 최소화하고 있는게 전부랍니다...;;

이 파일이 어떻게 등록이 가능한가.. 에 대해서 심각하게 따져봐야 할 것 같은데요? _head.php 가 바뀐다는 뜻은 누군가가 php 파일을 서버에 FTP방식이 아닌 다른 방식으로 등록을 하고 있다는 뜻인데, 이것이 누군가가 제로보드의 글쓰기 기능을 통해 올리는 것인지 아니면 그 외의 방법으로 올리는 것인지가 궁금합니다. 글쓰기 기능을 통해 올리는 것이라면 write_ok.php 에서 언제든지 고칠 수 있는 것이며 위에서 설명된 PHP파일업로드금지 방법을 통해 해결할 수 있을 것일테지요..아니면 비회원의 글쓰기를 임시로 금지해버리는 것도 방법일테구요.. 아무리 악성코드가 담긴 파일이 들어있다고 하여도 그것을 보여주게 하는 스크립트 내지 실행문이 없다면 소용이 없잖아요? 서버를 직접 건드리는 분이라면 아파치의 httpd.conf 에서 overide all 등의 설정을 주석처리해버리시고, allow_url_fopen은 off. 혹시 파일필드 추가를 통한 무한업로드(파일10개) 를 쓰시는 분이라면 해당 소스부분에
$s_file_name3 = preg_replace("/.(ph|in|htacc|htm|cgi|pl|sh|vb|js|pm|dat|dot|asp)+/i","\0-zeroboard", $s_file_name3);
$s_file_name4 = preg_replace("/.(ph|in|htacc|htm|cgi|pl|sh|vb|js|pm|dat|dot|asp)+/i","\0-zeroboard", $s_file_name4);
.
.
.
등을 삽입해 모두 다 처리를 해야 할 것입니다..

DQ레볼루션의 경우는 이 문제에 대해 이미 제작당시부터 보완을 하고 있으므로 안심해도 되며.
o DQ Style Revolution BBS 1.2 ~ 1.2.p3
 o DQ Style Revolution Gallery 1.5 ~ 1.5.p3
을 사용하시는 분은 http://www.dqstyle.com/bbs/view.php?id=revolution&no=32 을 참고하세요

1. lib.php 파일을 에디터 등으로 연다
2. $REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
3. 이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
   global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.

제로보드4의 경우 매우 오래전에 개발을 하였고 업그레이드가 원활치 않아서 다양한 부분에서 보안 취약점이 존재하고 있습니다.

많은 분들이 참여해서 만들어 주신 스킨등을 이용하기 위해서 제로보드4를 업그레이드할 수도 없어 제로보드XE라는 새로운 버전을 개발하게 되었던 것이구요.

최대한 빨리 제로보드XE의 안정성을 확보하고 데이터 이전을 완벽히 되도록 하여 보안 취약점으로 인한 불편을 최대한 줄여드릴 수 있도록 하겠습니다.



참고로 이런 보안 취약점의 경우 저에게 직접 리포팅이 되지 않는 경우가 있습니다.

개인 메일 주소를 자주 바꾸어서 그런 것 같은데 혹시 보안 취약점을 발견하셨을 경우 제 아이디로 쪽지(메일 발송 포함)로 알려주시면 감사하겠습니다.

1. 제로보드 lib.php 취약점 이용
GET /tvxq/lib.php?REMOTE_ADDR=*/eval($_REQUEST[shell]);/*&HTTP_SESSION_VARS[zb_last_connect_check]=a&HTTP_SERVER_VARS[REMOTE_ADDR]=*/eval($_REQUEST[shell]);/* HTTP/1.0" 200 0 "-" "-"

2. 고객분들에게 패치하라고 하거나 임시로 data 디렉토리 밑에서 php 실행 못하게 함.
data/.htaccess
php_value engine off


3. 백도어 php 찾기
find . -name "__zbSessionTMP" -prune -o -name "*.php" -exec egrep 'gzinflate|shell' -l {} \;

주로
cm_comment_head.php 나. search_zipcode1.php , member_1123882756.php


4. 변조된 php 파일 수정
대개 _head.php 의 맨 마지막 라인 제거

<script language="javascript" type="text/javascript" src="icon/zboard.gif"></script>
<script language="javascript" type="text/javascript" src="images/admin_info.gif"></script>

이글은 카페24측에서 쿨드닷컴(http://www.cooold.com/)을 위해 제공된 문서중 일부를 발췌하였습니다.