ここから本文です

回答受付中の質問

知恵コレに追加する

自分の運営する複数(すべて)のサイトにウィルスのコード(javascript)が埋め込ま...

kenzyworldsさん

自分の運営する複数(すべて)のサイトにウィルスのコード(javascript)が埋め込まれてしまいました。
avast4を入れてますが、サイトにアクセスすると「トロイの木馬 JS redirector [h3]」などと警告が出ます。

ホームページを自分で制作し、FFFTPでアップロードしています。ある日突然FFFTPでサーバーに接続できなくなりました。
このときはまだサイトが感染しているか確認していません。もちろんファイアーウォール(zonealearmを使用中)が原因ではないと思います。他のパソコンからは正常に接続できました。

なにをどうやってもダメなので(インストールしなおしたり)、OSを入れなおしたら(winXP pro)動きました。が、AVGをインストールしたら再びつながらない・・・(このときなぜかAVGの更新がエラーになってました(関係ない?)。AVGをアンインストールしてavast4homeeditionを入れる。そうしたらつながりました。

それでなにげなく自分のサイトを開いたらavastの警告画面がでました。ここで感染に気付きました。AVGでは警告が出なかったと思います。ソースを表示したらおもいっきり怪しいjavascriptのコードが</head>タグと<body>タグの間に貼られていました。
リダイレクト?を行おうとしているようですが、どこにも飛びません(他のパソコンからも確認済)。

サーバーはロリポップ、とyahooの無料版ジオシティーズで同じ現象を確認したので、サーバーの問題ではなさそうです。
推測ですが、FTPでの通信の際にその情報が漏れた可能性が考えられます。がそんなことがあるのでしょうか
アンチウィルス(その時はAVG)にzonealearmでそこそこガードは固いと思うのですが。
windowsの自動更新は無効にしています。最後にいつしたのかは覚えてません。

一応htmlだけのサイトに関してはローカル側のhtmlファイルをアップロードして上書きしたらOKでしたが、サーチエンジンのサイトと、xoopsを使ったサイトは、そこらじゅうのページに感染してしまって対処に時間がかかりそうです。
サイトの改ざんのニュースはよく聞きますが、まさか自分のサイトが感染するとは・・・

自分なりの今後の対応策としては、FTPのパスワードを変更することと、定期的に自分のパソコンのウィルスチェックをすることぐらいでしょうか。ほかにどなたか原因と解決策がありましたらお教えください。
htmlの知識に関してはそれなりにありますが、プログラムはほぼわかりません・・・
ここに感染中のサイトのURLを張ったらまずいですよね・・・。

補足
サーバーからメールが届きました。

サイトが改ざんされたとのお問い合わせを受け、調査を行ったところ、
お客様のサイトにも同様のFTP接続が確認されたため、ご連絡を差し上げております。

報告があったサイトの改ざんは、お客様のアカウント、パスワードを使い
FTPで接続を行い、ファイルの上書きを行うということが行われています。

改ざん内容は、index.htmlなどのファイルに、<script>など
関係のないタグが挿入されていることが・・
  • アバター

違反報告

この質問に回答する

回答

3件中13件)
並べ替え:回答日時の
新しい順
古い順

 

ydutselbatさん

<原因>

先月から流行しだしたWEBを見ただけで感染するウィルスに感染したようです。
普通のサイトから感染するのでここ数日で一気に増えており、
手のつけようがない状態だと思います。
大手サイトが数日間放置状態で日本中にばら撒かれてます。
大抵のWEBマスターは気づいてないのでこれからまだまだ増えるでしょう。
知らずに感染している人が日本中に沢山居ます。
adobe製品が最新じゃないと感染するとの噂です。

<解決策>

まずサイトは復旧まで休止。
正確な解決策はPCのクリーンインストール
FTP通信以外にはもれてないとは思うのですが
パス系はできるだけ変更だとおもいます。(もちろんクリーンなマシンから)

<知る限りの書き換えられるファイル>
*.js
*.php
*.html
*.tmpl
imagesフォルダの中にimage.phpが挿入されている
をチェックしてください。

あとは更新日時をチェックすると良いかと思います。

  • アバター
  • 違反報告
  • 編集日時:2009/5/13 02:34:21
  • 回答日時:2009/5/13 02:18:55

dm45muxさん

考えられるのは、
1,FTPアカウントを盗まれた
2,ローカルに保存されているバックアップファイルに不正スクリプトを埋め込まれた

いずれの場合もAVGでは未知だったウイルスにより行われた可能性があるため、他のウイルス対策ソフトで全スキャンをした方が良さそうです。

3,xoopsの脆弱性を突かれた

パッチがでていないか確認するのと、不要なサービスが立ち上がっていないか確認されてはいかがでしょうか

  • アバター
  • 違反報告
  • ケータイからの投稿
  • 回答日時:2009/5/11 20:16:39

komutai_tkさん

現在、GENOウイルスというコンピュータウイルスが猛威を振るっています。
このウイルスは、WEBサイトにJavaScriptを埋め込むことで感染を行い、
詳しい挙動は分かっていませんが、
FTPのIDやパスワード利用してWEBサイトの改竄を行います
亜種も多く、ウイルス対策ソフトでも、対応が間に合わないケースが多いようです。

このウイルスは、Adobe ReaderやFlash Playerなどの脆弱性を利用して感染します。
パスワードの変更とウイルスチェックはもちろんのこと、
Windowsを含む、各種ソフトを最新の状態にすることも重要です。

Windowsの自動更新とウイルス対策ソフトの効果を比べれば
Windowsの自動更新を有効にする方が、何倍もウイルス対策の効果があります。
よほどの不都合がなければ、無効にはしないで下さい。
基本的にウイルス対策ソフトは、新種のウイルスには対応できません。

  • アバター
  • 違反報告
  • 編集日時:2009/5/11 15:19:59
  • 回答日時:2009/5/11 15:16:25

この質問に回答する

話題のキーワード

[カテゴリ:ウイルス対策、セキュリティ対策]