人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
■サイトが改ざんされているので対処を相談したい■

後述の通り、ありうる限りの手を尽くしましたが、
原因が分からない状況です。

Fetch as Googleやwgetで見ると、改ざんされた状態で表示されています。
また存在しないページが大量に生成され、インデックスされてしまっています。


同様の例がないかも検索しましたが、見当たりませんでした。
なにかお気づきの点等あれば、ご教示願います。


≪目次≫
・現在起こっている事象
・実施済みの対処
・サーバ仕様など詳細
●質問者: rand198
●カテゴリ:ウェブ制作
○ 状態 :終了
└ 回答数 : 2/2件
▽最新の回答へ
質問者から

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 現在起こっている事象
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ユーザーとして閲覧すると正常に表示されるのに、
・Fetch as googleでの確認
・wgetでの確認
をすると、改ざんされた状態で表示されています。


-------------------------------------
表示される内容
-------------------------------------
当サイトのあるページの内容を利用し、改ざんしたページです。

具体的には…
既存コンテンツのHTMLの上部に、
不審なコンテンツ(ローンに関するブログ記事)が載っています。


≪ページの特徴≫
・当サイトから、「過去に」取得したHTMLを利用して作成している模様
↑実在している当該ページの内容を変更しても、その変更は反映されませんでした

・ソース内には不審なiframeやjsなどの記載はないが、
ページ下部に「複数の他サイトへのリンク」が含まれている
↑リンク目的のSEOスパム?

・リダイレクトで表示されてないかも下記手順にてチェックしましたが、
そういった形跡も見られませんでした
(参考URL:http://sakuratan.biz/archives/837)
1.ブラウザのUserAgentを偽装(Googleボット)
2.LiveHTTPHeadersでリクエストヘッダ、レスポンスヘッダを確認


-------------------------------------
表示される状況
-------------------------------------

・UAをGoogleBotなど、具体的な検索エンジンに指定して、
wgetを行った場合のみ、この事象が確認できます。
⇒逆に、指定しない場合は正常に表示されます

・wgetするページが、どのページであっても、
上記の「改ざんしたページ」が表示されます

-------------------------------------
その他気になっていること
-------------------------------------
・「site:ドメイン名」で検索すると、
作成した覚えのないページが大量に検索結果に表示される
(こちらもページ名にloanなどのキーワードが含まれている)

→ユーザーとして普通にクリックすると、404エラーになる
⇒但し、このページを直接wgetすると、
上記事象と同じく「改ざんしたページ」が表示される

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 実施済みの対処
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
≪利用PC≫
・セキュリティソフトでのウィルススキャン
…ウィルス等は検出されませんでした

≪サーバー≫
・サーバー内全ファイルのウィルススキャン
…ウィルス等は検出されませんでした

・サーバー内の全.htaccessの確認
…特におかしい記載はありませんでした

・FTPログの確認
…不審なアクセスはありませんでした

・その他不審なファイルが作成されていないか確認
(改竄例を見て関係しそうなキーワードでも検索。base64など)
…特に見当たりませんでした

≪Wordpress≫
・Wordpressの再インストール
…テーマ等もすべて削除し、インストール
・WordpressのログインID/PWを変更
・データベースの変更、ユーザー名/PWの変更
・テーブル名接頭辞(prefix)の変更


━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ その他ツール等での検証結果
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・WEBマスターツールでの表示
⇒ハッキング等の表示もなく、正常に表示/クロールされています。

・GoogleSafeBrowsingでの表示結果
⇒問題なくアクセスできるとの結果が出ました。

・別サーバーに同様のファイルを置いてwget
⇒上記の「改ざんされたページ」は表示されませんでした。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ サーバ仕様など詳細
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
≪サーバー≫SuiteX v1

≪CMS≫
サイト:sitedev2(pukiwikiの一種です)
ブログ:wordpress

≪セキュリティソフト≫ESET smart security 7

1 ● Sampo
●50ポイント

httpd.confファイルの改ざんをチェックされていないようですね。
また、組み合わせて読み込まれる追加設定ファイル(RedHat系のOSなら/etc/httpd/conf.d/以下)が何か追加されていないでしょうかね。

質問者から

回答有難うございます!

申し訳ありません、記載漏れていたのですが、
SuiteXが共用サーバーの為、httpd.conf等が触れない状態なのです。

他にも何かお気づきの点がありましたら、ぜひご教示願います。

2 ● snow0214
●50ポイント

UAによってサイトを切り替えられていることから、Webサーバの設定を改竄された可能性があります。
httpd.confを書き換えられたか、サイトのルートに.htaccessを仕込まれたのではないでしょうか。
http://www.anothersky.pw/skyward/archives/000094.html

あと、この可能性は低いでしょうが、サーバ会社が使っているロードバランサがハッキングされて、UAによって別サイトに誘導されたということも考えられます。この場合、共有サーバの他のサイトも別サイトへ誘導されている可能性が高いです。

下のサイトの「HTTPヘッダー負荷分散 」参照。
http://fenics.fujitsu.com/products/ipcom/catalog/data/1/5.html

関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ