| 로그인 | 마이페이지 | 회사소개 | 고객센터 | 사이트맵 | 리셀러제휴 | 솔루션
코리아호스팅

       ns1.koreahosting.org
       211.39.130.6
       ns2.koreahosting.org
       211.39.130.7

  근무시간외에 문의사항은
  아래의1:1 상담문의
  이용하시기 바랍니다.
 
 
작성일 : 2010-05-11 조회 : 11210
[보안 공지] 제로보드 취약성 관련 공지
최근 제로보드4 취약점을 이용한 트래픽유출 사고가 빈번이 일어나고 있습니다.
이에 대해 대응책 및 점검방법을 안내해드리고자 합니다.

□ 증상

o init, std, perl 프로세스가 nobody권한으로 cpu자원 사용(부하발생)
o 아웃바운드 트래픽 발생

□ 점검방법

o pstree(프로세스 조회)

# pstree -p
|- init (27911) --- std (2154)
...
| |-httpd(7989)-+-sh(8193) ===> perl 프로세스에 의해 변조된 httpd 데몬 자식트리에 sh 프로세스
| | `-{httpd}(8016)
...
|-perl(3606) ===> perl 프로세스는 여러개를 동반하여 실행함.
|-perl(3607)
|-perl(3608)


o lsof(프로세스에 의해 실행되고 있는 파일 조회)

# losf -p 27911
# losf -p 2154
/home/xxx/public_html/bbs/data/.pid/init
/home/xxx/public_html/bbs/data/.pid/std


o 웹 게시판 디렉토리내 파일 및 디렉토리 점검
# ls -alR /home/xxx/public_html/bbs/data/


o top(해당 프로세스가 CPU 자원을 상당부분 차지하고 있는지 조회)
# top
3606 nobody 25 0 7480 2884 1176 R 100 5790h 0.1 347411:44 perl

o netstat(프로세스 연결상태 조회)
# netstat -an
perl 3606 nobody 64u IPv4 937846311 TCP

xxx.xxx.xxx.xxx:49803(서버측임의포트) -> xxx.xxx.xxx.xxx:ircd (SYN_SENT)

o 공용 디렉토리내 파일 및 디렉토리 점검
# ls -alR /tmp/
# ls -alR /var/tmp/
# ls -alR /dev/shm/

o php.ini 에서 fopen 취약사항 점검(Off 로 되어 있어야함)
allow_url_fopen = Off


□ 조치방법
o init,std,perl 프로세스 중지 및 파일 삭제


□ 대응책
o 한국인터넷진흥원에서 제공하는 웹보안 프로그램을 설치하여 운영할 것을 권고
- 공개 웹방화벽[1]
WebKnight : ATRONIX社에서 개발한 IIS 웹서버용 공개 웹방화벽으로 SQL Injection 공격 등 IIS 웹서버의
주요 공격 차단 가능

Mod_Security : Ivan Ristic이 개발한 Apache 웹서버용 공개 웹방화벽으로 PHP Injection 공격 등
Apache 웹서버의 주요 공격 차단 가능

- CASTLE: 주요 취약점을 공격하는 침입시도 및 공격코드들을 차단하는 프로그램[2]

- WHISTL: 공격자가 웹 서버를 해킹 한 후 생성한 웹쉘 파일을 서버관리자들이 쉽게 탐지 할 수 있도록
패턴과 인터페이스를 제공하는 프로그램[3]



□ 기타 문의사항

o 제로보드4는 더 이상 사용할 수 없는 건가요?

- 아닙니다. 사용하실 수 있습니다. 그러나 제작사에서 더 이상 공식적인 보안 패치를 제공하지 않기때문에[4]
신규 취약점으로 인한 피해를 입으실 수 있으므로 이용자 주의사항을 숙지하시길 바랍니다.

o 제로보드4의 공식 커뮤니티는 계속 운영되나요?

- 네 운영됩니다. 제로보드4 공식 커뮤니티 사이트[5]는 제로보드 4의 취약점정보 및 기타 정보 공유를 목적으로
계속 운영이 됩니다.

o 그누보드4 공식패치는 어디서 받나요?

- 그누보드 공식홈페이지[6]를 통해 배포되고 있습니다. 패치방법은 사이트내 안내사항을 참조하세요.