このエントリーをはてなブックマークに追加 ツイート

どうも、ウイルスです。 ホームページが改ざんされた場合の復旧方法

Last Update : 2010/08/xx

PR 【最高10,000ポイント】 Yahoo!ポイントが無料で 5,000人 に当たる〜♪ 【毎日抽選実施中】

自分のホームページがウイルス散布の攻撃サイト判定!? (X_X)

Gumblar.x Vulnerability Attack Code 自分のホームページが改ざんされ、訪問した人のパソコンをウイルス感染させてしまう事件が増えてます。(ウイルス散布サイト化)

ウイルス感染しパスワード窃盗、Webアプリケーションの脆弱性悪用
 2009年以降に特に多いのが、ホームページの更新に使っているWindowsパソコンがウイルスに感染し、アカウント情報(パスワードやユーザーID)が盗まれる事例です。

  1. アカウント情報が漏れたことによる改ざん
    (ウイルスが FTP接続を盗聴 or FTPソフトの設定データを奪取)
  2. Webアプリケーションの脆弱性を悪用した改ざん <今までのトレンド>

 ニュースで特に話題になったのが「ガンブラー」(Gumblar)です。日本国内の企業・公的機関のサイトのほか、個人が趣味で運営してるようなサイトも含め、有名・無名に関係なく世界中の色んなサイトが改ざん被害を受けてます。

対策してないWindowsユーザーは・・・
 こちらのウイルス対策をちゃんとやってないと、埋め込まれた不正なコードにより悪意のあるページへと強制的に誘導され、ウイルスが発動してしまう恐れがあります。つまり、ページを単にブラウザ(Internet Explorer、Firefox、Chrome、Operaなど)で開いただけでパソコンがウイルスに感染してしまうことになります。今まで通用した『怪しいサイトやエッチなサイトに行かなければ安全』という神話がまさに崩れました。

ウイルス感染の影響がある環境
Windows 影響あり
Mac 影響なし
Linux 影響なし
携帯電話 影響なし
ゲーム機 影響なし
人間 影響なし

 ウイルスを散布してしまう被害の他にも、外部リンクを稼ぐための不正なSEO(検索エンジン最適化)目的で”隠しリンク”がページ内に大量に書き込まれたり、見ず知らずのHTMLファイルがアップロードされ攻撃者が用意した不正なサイト(偽ウイルススキャンページ、ポルノサイト、インチキ薬局サイト、フィッシング詐欺サイトなど)に訪問者を誘導させる踏み台になってしまったり、・・・ホームページが乗っ取られてしまいます。

.

 

[PR] Yahoo!ショッピング

.

ウイルス散布状態から復旧する方法

 同様の内容については下のようなページも存在します。

◆ ウェブサイトと Google の関係 マルウェア (Googleウェブマスターツール ヘルプ)
http://www.google.com/support/webmasters/bin/topic.py?hl=jp&topic=25531
◆ ホームページからの感染を防ぐために ホームページ開設者の対処方法 (サイバークリーンセンター)
https://www.ccc.go.jp/detail/web/#2
◆ ウェブサイト改ざんに関する注意喚起 (独立行政法人 情報処理推進機構)
http://www.ipa.go.jp/security/topics/20091224.html
◆ WordPress FAQ/ハッキング・クラッキング被害
http://wpdocs.sourceforge.jp/FAQ/

 管理がまったく及ばない外部コードが改ざんされたことによるまきぞい被害も起こってます(ノートン警察ブログパーツXREA広告MicroAd広告)。以下は、自分の管理下のサーバーで問題が起こった時の対処方法になります。

1. ホームページの閉鎖とパスワード変更
 まず、自分のホームページからウイルス感染被害者をこれ以上出さないようにするため超速で閉鎖します。閉鎖方法は、ホームページを公開してるサーバーからHTMLファイル、JavaScriptファイルなどを物理的に削除してください。(サーバーの設定が可能ならステータスコードを「404 Not Found」ではなく「503 Service Unavailable」を返すようにする)

 ファイルの削除はFTPクライアントソフトで行ないますが、ブラウザから利用できるファイルマネージャーが用意されてるならそれを利用してください。画像ファイル、動画ファイル、音楽ファイルは残しておいても問題ないですが、キッチリやりたい場合はすべてクリーンにします。

 というのも、改ざんされるサーバー上のファイルは、トップページのHTMLファイルだけ、JavaScriptファイルだけ、各階層のインデックスに相当するHTMLファイルだけ、HTMLファイルやJavaScriptファイルなどの全ファイル、とパターンがいろいろとあります。加えて、不審なファイルがアップロードされたり、.htaccessファイルの不正な書き換え・アップロードもあります。(個別に調べるにはコチラGoogleウェブマスターツール

 手元にオリジナルのファイルがない場合は、別枠でダウンロードしてください。ダウンロードするファイルには、悪意のある不正なコードが含まれてる可能性が高いので、ゼッタイにオリジナルのファイルに上書きしないようにしてください。当然ながら、このファイルをそのまんまブラウザで開くのはご法度です(拡張子を変更しておく)。

 サーバーからファイルを削除する作業が完了したら、すぐにホームページの更新に使われるアカウント情報(パスワード)を変更してください。パスワードは改ざん攻撃者に盗まれてる可能性が高いので、変更しないままだと再び改ざんされてしまいます。ブラウザからサーバーの管理画面にアクセスしてパスワードの変更作業を行ないます。

2. パソコンのウイルス駆除
 ホームページの更新に利用してるパソコンがパスワードを盗むウイルスに感染してる可能性が高いので駆除します。導入してるセキュりティソフトを最新状態に更新してフルスキャンします。

 無料なオンラインスキャン簡易ウイルス駆除ツールも利用してウイルスチェックしてください。普通のセキュリティソフト(無料体験版)もあります

 ただ、基本的にパソコンのクリーンインストール(リカバリ、初期化)が推奨されます。一度ウイルスにやられたということは、パソコンそのものが乗っ取られていてもおかしくないので、検出できない未知のウイルスが住み着いてる恐れもあります。たとえば、導入してるウイルス対策ソフトを機能停止に陥らせたり、マイクロソフトやセキュリティ会社のホームページにアクセスできないようにして、ウイルス対策ソフトの定義ファイル更新を不能にさせたりする場合もあります。

 クリーンインストールはパソコンを購入した段階の状態に戻すことです。やり方は、パソコンについてくる取り扱い説明書に書いてあります。クリーンインストールする前に、大事なデータや重要なファイルをCD/DVD/BDの外部記憶装置にバックアップしてください。

3. ウイルス感染原因と対策
 パスワードを盗むウイルスに感染してしまった原因は、最近特に1番目が多いです。必ず対策をしてください。

 ホームページのアカウント情報(パスワード)を盗む手段として、FTPソフトの転送情報を盗聴して奪取するウイルス、ハードディスク内に保存されてるFTPソフトの設定データを引っこ抜くウイルスが確認されてます。場合によっては、更新可能なパソコン(IPアドレス)を制限するような対策も必要です。

  1. FFFTP、ホームページビルダー、Dreamweaverなどの転送情報(FTP接続)の盗聴
    ⇒ 転送データを暗号化してやり取りするFTPS/SFTP/SCP接続の利用
  2. FFFTP、FileZilla、WinSCPなどの設定データの奪取 (詳細、JPCERT/CC
    ⇒ FTPソフトのマスターパスワード機能の利用

4.ホームページの再開
 ホームページのサーバーに手元のクリーンなオリジナルのファイルを再アップロードします。数日間はホームページの様子を観察してください。パスワードを変更済みにもかかわらず、再び改ざんされた場合はウイルスに再感染したか感染しっぱなしということになります。また、Webアプリケーションの脆弱性を突かれて侵入を許してる可能性もあります。

 ホームページの訪問者に改ざん被害を受け、訪問者にウイルスを散布していた状態になっていたことをアナウンスしてください。強制的にウイルス感染するような影響があったのは、基本的に下の対策をちゃんとやってないWindowsパソコンだけです。Googleの検索結果やブラウザに表示される警告の解除についてはこちら

◆ 初心者必見! 究極の感染対策「6つの約束」を実行しよう (So-netセキュリティ通信)
http://www.so-net.ne.jp/security/news/newstopics_201005.html

.

ホームページに埋め込まれる不正なコード

改ざん被害を受けて不正なコードがたくさん挿入されまくってる正規サイト 多くの人がインターネットを閲覧するブラウザに「Internet Explorer」(IE)を利用してますが、サブで「Mozilla Firefox」(+「NoScript」アドオン)か「Google Chrome」を導入しておくことをおすすめします。別にブラウザを乗り換える必要はなくって、保険として導入しておくだけで十分です。

 脆弱性の解消が済んでいるWindowsパソコンであることが前提ですが、ホームページに見ず知らずのコード(HTMLタグ)が挿入されるので、ブラウザで右クリックして「ソースの表示」を選択すると確認できます。単にブラウザで表示された見た目ではなかなか判断できません。

・ 不正なコードの挿入位置の例

  1. BODYタグ<body>の前後
  2. HTMLタグの終端</html>の前後 (ページの最後尾付近)
  3. ファイルの最後尾付近 (外部JavaScriptファイルの場合)

・ 挿入される不正なコードの例 (JavaScriptタグ/インラインフレームタグ)

 ただ、これらは広告、アクセス解析、アクセスカウンタ、ブログパーツ、動画設置などのコードでも普通に使われるので、必ずしも悪意があるとは限りません。

☆ ページが文字化けする!?
 ページ全体の文字化けは、サイト改ざんとはまず関係ありません。原因として一番多いのが、ブラウザが単に文字コード(エンコード)の判定に失敗してるだけです。Yahoo!ヘルプとほほのWWW入門さんを参照してください。

.

オンラインウイルススキャン | オンラインファイルスキャン | 無料ウイルス対策 | Macのウイルス対策 | Linxuのウイルス対策 | 貞子ウイルス

.

Copyright © 2013 Kpan. All rights reserved.