ns.incuber.net
218.145.65.143
ns1.incuber.net
116.126.143.226
ns2.incuber.net
218.145.65.144
ns3.incuber.net
116.126.143.225
기업은행
055-052143-02-016
예금주 : 최은아
공지사항
홈 > 고객센터 > 공지사항

조회수 2098
제목 제로보드4(zeroboard4)에 대한 이용 안내 입니다.
작성일자 2013-12-05
안녕하세요. .


 제로보드4 취약점을 통한 악성코드 변조(해킹)가 발생되었으며, 제로보드4를 사용하시는
고객께서는 안전한 호스팅 서비스를 아래 내용을 확인해 주시기 바랍니다.


1. 인큐버 호스팅 > [나의서비스관리] > [웹방화벽(Mod security)] ON 설정

이번 발생한 문제와 같이 변수 치환 공격을 막기 위해서 웹방화벽(Mod security)은 항상 '사용'으로
상태를 유지해 주십시오.


2. 제로보드4 업로드 디렉토리에 php 실행 차단


php_value engine off 를 .htaccess 로 생성하여 제로보드4가 설치된 디렉토리 내 icon 과 data 에
저장합니다. (주의 : 파일 이름은 글자 그대로 .htaccess 이며, 확장자가 없습니다.)

php_value engine off <- 입력 내용

아래는 제로보드4가 bbs에 설치된 경우 .htaccess 를 저장할 위치입니다. 설정이 어려우시다면
고객센터로 문의해 주십시오. 직접 설정해 드리겠습니다.

bbs/icon
bbs/data

※ register_globals 은 register_globals OFF 로 사용하실 것을 권장 합니다.


3. 최신 버전으로 업데이트

제로보드4의 공식 업데이트 버전(최종)은 pl9 이며, 비공식 패치는 pl11 입니다.

공식 업데이트는 중단되었으나, 불가피하게 제로보드4를 사용하셔야 한다면 최신 버전으로
업데이트해 주십시오.

(버전 정보는 제로보드4 어드민 또는 설치된 디렉토리의 license.txt 에서 확인이 가능합니다.)

☞ 제로보드4 사이트 참조


4. CSRF/XSS 취약점에 대비하여 운영자 권한일 때에는 불필요한 쪽지나, 게시물을 읽지 않습니다.

혹은 운영자 권한을 상승시키는 php 인 bbs/admin_setup.php, admin_exec_group.php, admin_exec_member.php
파일은 CSRT 방지를 위해 필요할 때만 활성화하여 사용합니다.

(예 : admin_setup.php => admin_setup.php_1 과 같이 파일명 변경으로 비활성화)

또한 어드민 접속 시 운영자 권한을 가진 아이디나 못보던 그룹이 생성되어 있지 않은지 확인하고, 있다면 삭제합니다.


5. XpressEngine 으로 제로보드4를 이전하거나, 다른 프로그램을 사용합니다.


지난 2009년 9월 25일 제로보드4(zeroboard4)의 배포 중지 공지 후 소스의 취약점으로 인한 해킹 시도가
지속적으로 발생해 왔으며, 현재까지 문제를 안고 있습니다.

이에 제로보드4를 사용하는 고객께서는 XE를 사용하시거나, 지속적인 패치가 가능한 프로그램으로
변경하실 것을 권고합니다.

☞ 2009.09.29 제로보드4 공식 배포 중지 안내

보다 나은 서비스를 위해 노력하는 인큐버가 되겠습니다.

감사합니다.

파일첨부

 
주소 : 서울시 강남구 신사동 508-3번지 삼현빌딩 4층      전화 : 1544-9706      팩스 : 02.6442.0136      대표이사 : 김종수
법인 : 110111-4056738      사업자등록번호 : 220-87-78137      법인명 : 주식회사 인큐버      사이트명 : 인큐버(incuber)
개인정보책임자 : 서희철      메일 : korea@incuber.kr      상담시간 : 08:00 ~ 18:00(월~금) 토요일 : 09:00~ 15:00
본 사이트에 게시된 이메일 주소를 무단으로 수집하는 것을 금지하며, 이를 위반시 정보통신망법에 의해 처벌받게 됩니다.
Copyrightⓒ INCUBER. ALL RIGHTS RESERVED. SINCE 1999