「サイト管理人向け」の編集履歴(バックアップ)一覧に戻る
サイト管理人向け - (2009/06/03 (水) 13:17:51) のソース
サイト管理人は
&bold(){1.}感染の有無を確認→[[とりあえず感染してるか確認する手順(2000,XP)]]
→[[とりあえず感染してるか確認する手順(Vista)]]
&bold(){2.}ウェブにアップした自サイトのソースにおかしな記述がないか確認する
&bold(){★全てのページをチェックする必要があります}
index以外全て改ざんされていた、全体の約7~8%くらいしかされていなかったなど、
人によって状況は違うので全てチェックしてください
※感染している場合の症状
・.htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる
&color(red){※5月下旬より、新型としてhtmlファイルのbodyタグ 以 降 に}
&color(red){javascriptが埋め込まれる、別ウイルスの存在も確認されています。}
参考:http://itpro.nikkeibp.co.jp/article/NEWS/20090601/331097/
・「images」ディレクトリ内に「images.php」というファイルが生成される
[[感染サイトのソースコード例(画像)>http://www31.atwiki.jp/doujin_vinfo?cmd=upload&act=open&pageid=16&file=www.dotup.org33103.jpg]]
【サイトを確認する際の注意点】
・レンタルサーバーを使っている時に自動挿入される広告やアクセス解析の記述と間違えないように(きちんと読めば簡単に広告やアク解だとすぐ分かる)
サイトを修正してOSを初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)しても、感染中に抜かれたFTPパスを使って海外から再びサイトを改ざんされたとの報告あり。感染した場合はOSの初期化だけでなく、FTPパスの変更も必要。
&color(red){★感染していたら →} [[感染してしまった時の対処方法]]
感染した自分のPCからマルウェアが勝手に改ざんファイルをアップするという話もあったので、PC内のバックアップHTMLファイルも要注意。
※絶対に感染したPCで感染したサイトのクリーンアップを行わないこと。
※感染しているかもしれないローカルなPCのクリーンアップが先。
★つまり順番としては【サイト削除→PC初期化→FTPパス変更】
&bold(){3.}感染していないことを確認したサイト管理人は、取り返しのつく今のうちに
サイトデータのバックアップを取っておくこと。
→[[感染前の対策]]
★サイトが感染してるのかわからない人は
http://wepawet.cs.ucsb.edu/
にアクセスするといいかも、とのことです。
ここで「URL」と書かれている右のフォームに感染が疑われるURLを入力。
「Resource type」のチェックボックスは「JavaScript/PDF」にチェックを入れ、「Submit for analysis」をクリック。
すると解析結果が出るので、Ctrl+Fをタイプしてページ内を「gumblar.cn」「martuz.cn」で検索。
(何も見つからなければ少なくとも現在は感染していない。
見つかればそのサイトは感染している。 )
