id:daijin-ok
ポイントあり100ptベストアンサーあり
コンピュータインターネット

現在自分の運営しているサイトがウイルスに感染してしましました。

サイト内のプログラムを変更させられている恐れがあります。
よろしければウイルスの駆除方法をおしえていただけませんか?
(はてなにより削除しました)
サイトを開くだけでウイルスの感染がありそうなので
セキュリティーソフトが万全な方の方がよろしいかと思います。
よろしくお願い致します。

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2010/01/20 14:41:23
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:k2jp No.4

回答回数19ベストアンサー獲得回数6

ポイント32pt

Norton と Kaspersky が反応してるので感染はほぼ間違いないですね

Norton Safe Web

http://safeweb.norton.com/report/show?url=iroha77.com

によると以下のファイルで感染を検出

  1. /
  2. /js/jquery.js
  3. /js/clip.js
  4. /index.php

aguse.jp

http://www.aguse.jp/?m=w&mode=1&url=iroha77.com

によると以下のウィルスを検出

  • Trojan-Downloader.JS.Agent.ewo(最初のアクセスではこちらを検出)
  • Trojan.JS.Agent.bba(現在)

gred.jp でもアウト判定でした

http://www.gred.jp/

でスキャンさせた結果、以下のファイルで感染判定

  1. /
  2. /index.php

とりあえずの対処

Norton のスキャン結果を参考に iroha77 の感染ファイルを隔離

表面的に見えない改竄なので、去年暮れから流行っているやつなのでは?

  1. 8080(このポート番号を使うことから付いた名前)
  2. /*GNU GPL*/(ファイル中に残す痕跡)
  3. /*CODE1*/(ファイル中に残す痕跡)
  4. /*LGPL*/(ファイル中に残す痕跡)

などと呼ばれます

上記の改竄の場合、iroha77 への FTP アクセスアカウントが盗まれている可能性大

  1. クリーンなPCで iroha77 への FTP アクセスで使うパスワードを変更
  2. FTP アカウントが保存されたPCをスキャン・隔離・駆除
  3. セキュリティパッチの適用し忘れが原因のハズなので、それらに対処

外れてたらすいません。ご参考まで

その他の回答4件)

id:heke2mee No.1

回答回数162ベストアンサー獲得回数43

ポイント17pt

ウィルスの種類が分からないので違うかもしれませんが

こちらが参考にならないでしょうか


通称「GENOウイルス」・同人サイト向け対策まとめ

http://www31.atwiki.jp/doujin_vinfo/pages/1.html

通称「GENOウイルス」・同人サイト向け対策まとめ[サイト向け]

http://www31.atwiki.jp/doujin_vinfo/pages/16.html

GENOウイルスまとめ

http://www29.atwiki.jp/geno/

id:daijin-ok

Javaスクリプト書き換えられていました。

GENOウイルスかどうかわかりませんが、対処法は上記のサイトが参考になり

不正なプログラムは削除しました。

とりあえずサイトに入ってもウイルスのアラームはならなくなりました。

2010/01/20 03:47:31
id:megumegu519 No.2

回答回数50ベストアンサー獲得回数2

ポイント11pt

上記の方の以外だとここに情報がのっておりました。

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20071220nt10....

id:daijin-ok

Javaスクリプト書き換えられていました。

GENOウイルスかどうかわかりませんが、対処法は上記のサイトが参考になり

不正なプログラムは削除しました。

とりあえずサイトに入ってもウイルスのアラームはならなくなりました。

他に異常にお気づきになられた方は指摘していただければ助かります。

2010/01/20 03:47:34
id:JULY No.3

回答回数966ベストアンサー獲得回数247

ポイント30pt

おそらくは Gumblar、および、それに似たものだと思いますが、だとすれば、サーバ側だけでなく、コンテンツのアップロードに使っていた PC の確認も必要です。

Gumblar、および、それに似たものに関して、その呼び方がマチマチなので、情報収集が難しくなっている面もあります。下記のサイトでは、昨年末からつづいている Web サイトの書き換えは、Gumblar の亜種とは一概に言えないので、8080 という呼び方(~.ru の 8080 番ポートにつなぎに行くため)をしています。

セキュリティ通信|セキュリティ関連ニュース 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」

下記のサイトでもその辺の事が書かれています。

Gumblarとガンブラー (Update): べつになんでもないこと

単にサーバから該当するファイルを削除するだけじゃなく、

  • コンテンツを更新するための ftp アカウントに対するパスワードの変更。
  • コンテンツ更新用の PC が感染していないかの確認。

が重要です。必要な対策は下記を参照して下さい。

http://www.jpcert.or.jp/at/2010/at100001.txt

id:k2jp No.4

回答回数19ベストアンサー獲得回数6ここでベストアンサー

ポイント32pt

Norton と Kaspersky が反応してるので感染はほぼ間違いないですね

Norton Safe Web

http://safeweb.norton.com/report/show?url=iroha77.com

によると以下のファイルで感染を検出

  1. /
  2. /js/jquery.js
  3. /js/clip.js
  4. /index.php

aguse.jp

http://www.aguse.jp/?m=w&mode=1&url=iroha77.com

によると以下のウィルスを検出

  • Trojan-Downloader.JS.Agent.ewo(最初のアクセスではこちらを検出)
  • Trojan.JS.Agent.bba(現在)

gred.jp でもアウト判定でした

http://www.gred.jp/

でスキャンさせた結果、以下のファイルで感染判定

  1. /
  2. /index.php

とりあえずの対処

Norton のスキャン結果を参考に iroha77 の感染ファイルを隔離

表面的に見えない改竄なので、去年暮れから流行っているやつなのでは?

  1. 8080(このポート番号を使うことから付いた名前)
  2. /*GNU GPL*/(ファイル中に残す痕跡)
  3. /*CODE1*/(ファイル中に残す痕跡)
  4. /*LGPL*/(ファイル中に残す痕跡)

などと呼ばれます

上記の改竄の場合、iroha77 への FTP アクセスアカウントが盗まれている可能性大

  1. クリーンなPCで iroha77 への FTP アクセスで使うパスワードを変更
  2. FTP アカウントが保存されたPCをスキャン・隔離・駆除
  3. セキュリティパッチの適用し忘れが原因のハズなので、それらに対処

外れてたらすいません。ご参考まで

id:junmimi5 No.5

回答回数14ベストアンサー獲得回数2

ポイント10pt

こちらの過去ログ、参考になると思います。

http://q.hatena.ne.jp/1125213706

コメント(4件)

  • id:kazui117
    kazui117 2010/01/20 15:37:04
     サイトを開くだけでウイルスの感染がありそうなサイトを質問文に
    書くのは迷惑行為だし通報しても削除されなかったけど。万が一、
    ウイルス削除前にサイトを開いた人が感染したら責任取れるの?普通
    アップロードしたファイルを削除後に質問するのが常識では?もし、
    ガンブラーなら、一時的に駆除出来ても亜種等多いらしいので再感染
    する可能性も高いので他人に迷惑掛けたくないならサイトは閉鎖する
    のが、まともな人の取るべき事と思います。
  • id:kazui117
    kazui117 2010/01/20 16:01:27
    セキュリティーソフトが万全な方の方とか書いてあるけどニュースで
    言ってたけど、ガンブラーなら、どんなセキュリティーソフトを最新
    に更新してても感染する場合もあるらしいので、回答するため開いた
    人は取り返しが、つかないかも。こんな質問を相手にしたら駄目。
  • id:hatenasupport
    hatenasupport 2010/01/21 11:57:06
    ウィルス感染の危険があるとのことですので、URLの削除を行いました。
  • id:kazui117
    kazui117 2010/01/21 13:37:22
     問い合わせ通報して、やっと削除されたけど、質問者は私のコメントに対して、サイトを削除した
    とか謝罪のコメントが無いのは何故?こんな人がサイトの運営者なんて笑っちゃいますねーでも、
    もし、削除前のウイルス感染の危険のあるサイトを開いた「はてな」の利用者や、「はてな」自体が
    ウイルスに感染したら笑い事では済みませんよーまあ、今後も同様の事あれば、ガンブラーに感染し「はてな」が、閉鎖するのも時間の問題かもね。スタッフの対応も遅過ぎだし。救いようないです。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ