[G4] 그누보드4, 영카트4 웜 취약점 보고 > 기술자료 | 해피정닷컴

[G4] 그누보드4, 영카트4 웜 취약점 보고 > 기술자료

본문 바로가기

사이트 내 전체검색

[G4] 그누보드4, 영카트4 웜 취약점 보고 > 기술자료

그누보드 [G4] 그누보드4, 영카트4 웜 취약점 보고

페이지 정보


본문

그누보드의 외부 PHP 소스 실행 취약점을 이용한 웜이 발견됨에 따라 그누보드를 사용하는 모든 사이트는 아래의 내용대로 필수 패치하셔야 외부의 공격으로 부터 조금 더 안전해 질 수 있습니다.


대상 : 그누보드4의 common.php 를 사용하는 모든 사이트  ( 4.22.03 이하버전 ,   4.22.04 에서 패치됨 )

/common.php 의 소스코드 중

// 스킨경로
$board_skin_path = ''; // <!-- 이 코드 한줄이 반드시 들어가야 합니다.
if (isset($board['bo_skin']))
    $board_skin_path = "{$g4['path']}/skin/board/{$board['bo_skin']}"; // 게시판 스킨 경로


이 패치를 하지 않아 예상되는 피해는 다음과 같습니다.

1. 유명 검색 엔진 조회를 통하여 그누보드가 사용되는 사이트 주소를 파악한다.
2. 특정 파일을 이용하여 공격코드를 전송한다.
3. 공격이 성공하면 해당 서버에 웜이 설치되고, 백도어가 생성된다.
4. 이 백도어를 이용하여 원격에서 서버를 통제할 수 있는 권한을 갖게된다. (파일업로드, 삭제등)



가. 이미 침투된 흔적을 찾는 방법

1.
data 폴더밑으로 1.php, td.php, footer.php, open.php 등 index.php 가 아닌 php 파일이 있는지 찾습니다.
data 폴더로 이동하여 아래와 같은 명령을 내리면 기본으로 생성되는 index.php 외에 다른 php 파일이 나오면 안됩니다.

cd data
find . -name '*.php'

data 폴더밑에서 나오는 php 파일은 실행되는 파일이 아니므로 검색되어 나온 php 파일 모두를 삭제하셔도 무방합니다. index.php 를 모두 삭제하셔도 좋습니다.


2.
grep 명령으로 이미 업로드된 웜을 찾는 방법

grep -rs 'eval($_REQUEST' *

grep -rs 'eval(gzinflate(base64_decode(' *

루트(/) 경로에서 이 명령을 실행하여 이미 업로드 된 웜 php 파일이 있는지 찾아서 삭제합니다.



나. 감염이 예상되는 사이트

http://검색사이트/search?complete=1&hl=ko&lr=&q=board.php%3F&start=190&sa=N

위와 검색어를 사용하여 그누보드를 사용하는 사이트를 무작위 추출하여 접근하므로 검색엔진에서 검색되는 사이트는 좀 더 정밀하게 위의 파일들을 찾아보시기 바랍니다.

이 내용은 그누보드를 사용하시는 주위분들에게도 반드시 알려주시어 큰 피해를 입지 않도록 도움주시기 바랍니다.

이 웜에 대한 내용은 곱슬최씨님(miwit.com)께서 알려주셨습니다. 이 자리를 빌어 감사의 말씀을 드립니다. - 끝 -



관련자료
https://sir.kr/bbs/board.php?bo_table=co_notice&wr_id=1029

댓글목록

등록된 댓글이 없습니다.


Total 459건 20 페이지
  • RSS
기술자료 목록
79
그누보드   11562  2008-07-16 22:15  
78
그누보드   10772  2008-07-15 21:12  
77
그누보드   10341  2008-07-03 19:20 ~ 2008-07-03 00:00  
76
그누보드   10398  2008-07-03 19:04  
75
그누보드   22447  2008-07-03 18:14  
74
그누보드   23348  2008-06-24 22:11  
73
그누보드   10283  2008-06-21 21:34  
72
그누보드   13364  2008-06-21 19:44  
열람
그누보드   13670  2008-06-11 15:36  
70
그누보드   11380  2008-05-10 15:38  
69
그누보드   20427  2008-04-28 11:24  
68
그누보드   11303  2008-04-28 11:19  
67
그누보드   15056  2008-04-21 18:25  
66
그누보드   23370  2008-04-14 12:56  
65
그누보드   13264  2008-03-07 17:38 ~ 2008-03-17 00:00  
64
그누보드   16154  2008-03-05 21:37 ~ 2021-07-14 18:37  
63
그누보드   12303  2008-02-14 20:33  
62
그누보드   13640  2008-02-14 14:45  
61
그누보드   17888  2008-02-11 21:25 ~ 2008-02-20 00:00  
60
그누보드   11431  2008-02-05 20:12  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.