[G4] 그누보드4, 영카트4 웜 취약점 보고 > 기술자료

• 목록

그누보드의 외부 PHP 소스 실행 취약점을 이용한 웜이 발견됨에 따라 그누보드를 사용하는 모든 사이트는 아래의 내용대로 필수 패치하셔야 외부의 공격으로 부터 조금 더 안전해 질 수 있습니다.


대상 : 그누보드4의 common.php 를 사용하는 모든 사이트  ( 4.22.03 이하버전 ,   4.22.04 에서 패치됨 )

/common.php 의 소스코드 중

// 스킨경로
$board_skin_path = ''; // <!-- 이 코드 한줄이 반드시 들어가야 합니다.
if (isset($board['bo_skin']))
    $board_skin_path = "{$g4['path']}/skin/board/{$board['bo_skin']}"; // 게시판 스킨 경로


이 패치를 하지 않아 예상되는 피해는 다음과 같습니다.

1. 유명 검색 엔진 조회를 통하여 그누보드가 사용되는 사이트 주소를 파악한다.
2. 특정 파일을 이용하여 공격코드를 전송한다.
3. 공격이 성공하면 해당 서버에 웜이 설치되고, 백도어가 생성된다.
4. 이 백도어를 이용하여 원격에서 서버를 통제할 수 있는 권한을 갖게된다. (파일업로드, 삭제등)



가. 이미 침투된 흔적을 찾는 방법

1.
data 폴더밑으로 1.php, td.php, footer.php, open.php 등 index.php 가 아닌 php 파일이 있는지 찾습니다.
data 폴더로 이동하여 아래와 같은 명령을 내리면 기본으로 생성되는 index.php 외에 다른 php 파일이 나오면 안됩니다.

cd data
find . -name '*.php'

data 폴더밑에서 나오는 php 파일은 실행되는 파일이 아니므로 검색되어 나온 php 파일 모두를 삭제하셔도 무방합니다. index.php 를 모두 삭제하셔도 좋습니다.


2.
grep 명령으로 이미 업로드된 웜을 찾는 방법

grep -rs 'eval($_REQUEST' *
과
grep -rs 'eval(gzinflate(base64_decode(' *

루트(/) 경로에서 이 명령을 실행하여 이미 업로드 된 웜 php 파일이 있는지 찾아서 삭제합니다.



나. 감염이 예상되는 사이트

http://검색사이트/search?complete=1&hl=ko&lr=&q=board.php%3F&start=190&sa=N

위와 검색어를 사용하여 그누보드를 사용하는 사이트를 무작위 추출하여 접근하므로 검색엔진에서 검색되는 사이트는 좀 더 정밀하게 위의 파일들을 찾아보시기 바랍니다.

이 내용은 그누보드를 사용하시는 주위분들에게도 반드시 알려주시어 큰 피해를 입지 않도록 도움주시기 바랍니다.

이 웜에 대한 내용은 곱슬최씨님(miwit.com)께서 알려주셨습니다. 이 자리를 빌어 감사의 말씀을 드립니다. - 끝 -



관련자료
https://sir.kr/bbs/board.php?bo_table=co_notice&wr_id=1029