さくらのほうは、Googleでエラーが出たというだけで他に被害を発見することもなく削除したのですが、もう一方のレンタルサーバー「80code.com」はそうはいきませんでした。
数日前までは何の問題もなく稼働していたのに、今朝はおそろしい結果が待ち構えていました。
ページを開くときにエラーメッセージが出たので不審に思い調べてみました。
1.ファイルが書き換えらている(Javaスクリプトを使うMetaコードが入っている(元のファイルにはないもの)
2.トップフォルダに、怪しいphpファイル(configという名前)が入っている。入れた覚えもないindex.htmlが挿入されている。おかげでトップはぐちゃぐちゃでした。
実はこのエラーページは、玄関からは入れないようになっているのです。教室のデータなのでPWをかけてあります。
80CODEのほうもFTPパスワードを変更しましたが、グーグルのスキャンに引っかからなかったのがとても怖い気がします。
自分のPCのほうは、いくつかのウィルスチェックプログラムを使ってチェックしたので、たぶん大丈夫だとは思いますが、ネットが怖いです。
よそさまのホームページを扱っている方は、十分気をつけてくださいね。
千絵さん関連の「別のサイト」で同時に異常が起きたということは。
想像ですが、千絵さんのパソコンでウィルスチェックしたら引っかかったと書いてましたよね。なんらかの個人情報(サイトの管理情報など)がスパイウェアで持ち出された可能性が出てきそうです。
ウィルスとかスパイウェアはネット経由で持ち込まれるだけではありません。家庭内LANのこともあれば、流行のUSBメモリー経由のこともあります。CDで知り合いとデータ交換などするときに「便利なツール」などをついでにやりとりしたときに感染することもあります。
ネット経由でなさそうなら、身近のパソコンも念のために全スキャンしたほうが良さそうです。疑ったら失礼なので、あくまでも念のためということで。
>80CODEのほうもFTPパスワードを変更しましたが、グーグルのスキャンに引っかからなかったのがとても怖い気がします。
グーグルのは「検索ロボット」ですから、まったく公開されておらず、どこからもリンクを張っていない、あるいはトップページに入れないサイトはクロールしてきません。逆に言うと、ネット経由でだれかがそれらのサイトに悪さを仕掛けることもないということになります。存在を知られていないURLやディレクトリを知る術はないからです。笑い話に近いかもしれませんが、検索ロボットよけの「robots.txt」、そこにクロールして欲しくないディレクトリを書くと「そのディレクトリがある」と白状したことになってしまいます。公開ページのどこからかリンクしているなら、ロボットよけ記述は有効でしょうが、まったく非公開ならなにも書かない方が秘密が保てます。
自分のパソコンにスパイウェアが入ってしまったら、それらの秘密は一気に広まってしまう可能性が高いです。
ちょろっと見てきました。もしかして「無料のレンタルサイト」ですか?
サイトにもよりますが、長い間動きがないとサイト側で勝手に改変して注意事項を入れたりするところがありますが、それではないですか?
トップページの index.html、ヘッダを見ると
Last-Modified: Sun, 11 Mar 2007 08:29:52 GMT
となってましたから、20007/5/11 にはその php が挿入されていたような気がします。
自宅のパソコンは昨日までに全スキャンを済ませましたが、異常はありませんでした。削除済みのメール4点が、こちらは開かずに削除したメールファイルでした。
ウィルスソフトに引っかかったのは、サイト上でさくらのレンタルサーバー「www.mccoy.jp」を開いたときです。「トロイの木馬の疑い」とでました。
削除してしまった後には、このメッセージは出ておりません。
robots.txt は入れませんでした。
>「無料のレンタルサイト」ですか?
有料です。半年ごとに更新しています。
phpは、「index.php」になっていたのですが、「config.php」と名前が変わっていました。(削除した)
phpの解析ソフト「BBCLONE」を使っているので、解析が必要なページの拡張子は、phpにしてあります。
ソースの下のphpコードは、BBCLONEの設定です。
それより驚いたのが次の部分です。
META NAME="generator" CONTENT="NakanoBBS nomura.cgi"
元のファイルには、この記述はありません。
content以下は、IBMのHomepage Builder になっております。なんで NakanoBBS になっているのでしょうか?
このようなところを自分で触りませんので、相当不思議です。
どっちにせよ、これを書いたらすぐに元のファイルを転送します。
META NAME="generator" CONTENT="NakanoBBS nomura.cgi"
それは怪しい物ではありません(^_^;)
NakaoBBS がつけてるものです。NakanoBBS を起動したときにその階層に index.htm が無いと自動的に index.htm を作ります。当時としてはかなりセキュリティに重きを置いた作りになってます。index.htm がないと怖いですからね。
もしその階層に NkananoBBS がないとしたら、よそにある(出来た)それを内容的にちょうどいいからとコピーしたんではないですか? 日付的にはソースに書いてあるとおりの日時です。
ただ、ファイルは index.htm です。違うファイル名もしくは違う拡張子になっていたら、それは NakanoBBS が自ら作った物ではありません。すでにあるものを基に「何かが」改編したものです。
↓これじゃないですかね。
http://www.itmedia.co.jp/enterprise/articles/0910/23/news039.html
おお!
症状はよく似てますね。
私の場合は
・改ざんされてしまった
・ファイルを挿入されてしまった
というのが主な症状です。
読んだら益々怖くなりました。
パスワードをマメに変えること、ウィルススキャンをすることぐらいしか思いつきません。
80code.com のトップにあるのは index.htm です。
ただし、このサイトには NakanoBBSは設置してありません。
対策はあとほかに
「アドビフラッシュ(プラグインなど)」
「PDF(アクロバットリーダーなど)」
>今年春~夏にかけて猛威を振るったGumblar
そのときにこの脆弱性が見つかってますのでアップデートが必須です。
今回に限らず、ブラウザに取り込まれる形で動作するプラグインとかアドオンとか称する部品群はこまめにアップデートしないと危険です。FireFox はアップデート管理もしてくれますので少しだけ安心です。
今回のサイト改ざんに引っかかるには、まず事前にそれらの脆弱性をつかれて自分が感染した、ということになります。その後、FTPパスワードが盗まれ、改ざんとなります。ウィルスではなく、トロイの木馬ですね。
「Trojan-Downloader.JS.Gumblar.xは、従来のGumblarと同様にFTPパスワードなど盗み出して外部の攻撃者に情報を転送するが、新たにセキュリティ対策ソフトを妨害する機能も実装されているという。」
とのことですから、もしかしたらまだ駆除されずに残ってる可能性もゼロではないです。見つからないようになってるわけですから。
>80code.com のトップにあるのは index.htm です。
>ただし、このサイトには NakanoBBSは設置してありません。
NakanoBBS のある階層に作られたそれを内容的にそのまま使うのにちょうど良いからコピーしてそこに置いたのではないですか? まだ NakanoBBS をいじっているころ、つまり私が積極的に活動しているときにそういう教え方をしてました。記憶にある限り複数の方がそうしてるはずです。
>NakanoBBS のある階層に作られたそれを内容的にそのまま使うのにちょうど良いからコピーしてそこに置いたのではないですか?
もしかすると、そうかも知れません。
年月が経つので、記憶が定かではありません。
トロイの木馬だと思います。
まだ残っているとしたら恐ろしいですね。