サイト管理人は
2.ウェブにアップした自サイトのソースにおかしな記述がないか確認する
★全てのページをチェックする必要があります
index以外全て改ざんされていた、全体の約7~8%くらいしかされていなかったなど、
人によって状況は違うので全てチェックしてください
※感染している場合の症状
- .htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる
- 「images」ディレクトリ内に「images.php」というファイルが生成される
【サイトを確認する際の注意点】
- レンタルサーバーを使っている時に自動挿入される広告やアクセス解析の記述と間違えないように(きちんと読めば簡単に広告やアク解だとすぐ分かる)
サイトを修正してOSを初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)しても、感染中に抜かれたFTPパスを使って海外から再びサイトを改ざんされたとの報告あり。感染した場合はOSの初期化だけでなく、FTPパスの変更も必要。
感染した自分のPCからマルウェアが勝手に改ざんファイルをアップするという話もあったので、PC内のバックアップHTMLファイルも要注意。
※絶対に感染したPCで感染したサイトのクリーンアップを行わないこと。
※感染しているかもしれないローカルなPCのクリーンアップが先。
★つまり順番としては【サイト削除→PC初期化→FTPパス変更】
3.感染していないことを確認したサイト管理人は、取り返しのつく今のうちに
サイトデータのバックアップを取っておくこと。
→
感染前の対策
ここで「URL」と書かれている右のフォームに感染が疑われるURLを入力。
「Resource type」のチェックボックスは「JavaScript/PDF」にチェックを入れ、「Submit for analysis」をクリック。
すると解析結果が出るので、Ctrl+Fをタイプしてページ内を「gumblar.cn」「martuz.cn」で検索。
(何も見つからなければ少なくとも現在は感染していない。
見つかればそのサイトは感染している。 )
最終更新:2009年06月03日 13:17
