ホームページ改ざんのCHECK方法

サイトに意味不明の文字列が入った見知らぬスクリプトが埋め込まれていないか確認する。 ​http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2144​ サイト改ざん確認法 ​http://money.zarathustra-wins.net/2010/02/%E3%82%AC%E3%83%B3%E3%83%...

http://www.seculead.jp/contents/2010/01/gumblar.html#5-2 リンク先コピペ 5-2：Web制作関係者のみ Web制作関係者の場合、絶対にGumblarに感染してはいけませんでした。。 ・各ソフトは常に最新版にしていた。 ・セキュリティソフトも入れていた。 ・FTPにも最大限気を付けていた。 ・・・しかし、それでも感染してしまうことはあります。 小林製薬だって、JR東日本だって、あのYahoo!だってGumblarには感染しました。もちろん良くはありませんが、誰にだってそういう事はあります。 気を取り直して感染後の対応を行いましょう。 さて、Gumblarに感染したということは、自らが管理しているサイトがGumblarを抱える不正なWebサイトになってしまっています。 そこで、次の手順を行ってください。 (1) 感染したWEBサイトを一時的に閉鎖する。 (2) 5-1の方法に従ってPCからGumblarを駆除する。 (3) FTPサービスへアクセスできるアカウントの変更とアクセス制御を行う。 (4) 改ざんされたコンテンツの確認と回復（不正なJavaScriptとIFrameの削除） (5) Webサイトを閲覧したユーザにお詫びと注意を示す（誠心誠意を込めて） 特に(5)が重要です。 Gumblarに感染したあなたのサイトを閲覧した方も、既にGumblarに感染しているかもしれません。その時は速やかに当ページを教えてあげてください（予防と駆除に役立ちます）。 さて、ここまでGumblarの実態・症状・予防・確認法・駆除・対応に関して説明してきました。 実際書いてみて、私自身Gumblarの恐ろしさを再認識することになりました。 Gumblarは感染すると非常に大変なウイルスです。 まだ感染していないのであれば、「予防」に全力を注いでくださいね。

ソースを調べることが一番速いです。 ちなみに改ざんされるのは、一部のページですか？全部のページが同一ですか？ 一部のページであれば、サイトの仕様ではなく悪質な改ざんということになります。 Gumblarというのは、今や特定のウイルスを指すのではなく感染手法の名称として使われています。 感染するウイルスの種類は数千種あると思いますが、代表例は以下のニュースを参照ください。 「シマンテックが分析結果のニュース記事」 http://internet.watch.impress.co.jp/docs/news/20100309_353620.html これらの関連記事の中で、『　なお、いわゆるGumblarの活動について○○氏は、「Trojan.Bredolabに感染したPCを増やすことが目的」と指摘。攻撃者はアフィリエイトプログラムを使い、感染PCを増やすごとに「エージェント」から報酬を得ているため、「感染PCを増やすことが利益に直結している」という。』という一文が有りました。（引用に当たり個人名は伏字にしました） つまり、犯人は改ざんを仕掛けるサイトを選びません。 知人のサイトが改ざんされた事をきっかけに３０件程に過ぎませんが昨年の３月より１１月まで、FTPを使ったサイト改ざん（＝Gumblar）を調べていました。改ざん被害は法人・私人や行政とかページデザインを選びませんでした。また、自動運転で改ざんする為のアンカーと見られるコメントタグの挿入が有ったりもしました。３月と１１月にはScriptタグが暗号化されていませんでした。１０月１１月にはサイトのページを改ざんせず中継スクリプトを置くだけという手法も見られました。中継スクリプトではアクセス時間やMac／Ms／LinuxなどのOSやIE／Firefoxなどのブラウザでといった要素でルート分けしてそれぞれ別のサイトに飛ばされます。Scriptは発見初期では検出できるアンチウイルスソフトがありません。２週間程経てば１０社くらいが検出可能になります。一度この現実を目の当たりにすれば、アンチウイルスソフトに任せる気持ちは失せて、防御の為にOSやアプリケーションをせっせとアップデートして脆弱性の解消に努めようという気持ちになりますよ。昨年末以後私の周囲(ネットを通じての知人も含めて)では改ざんされる事が無くなりました。 こちらhttp://jvndb.jvn.jp/apis/myjvn/#VCCHECKを紹介した効果かもしれません。 怪しいと思われるスクリプト部分もしくはページソース全体を任意の名前のファイルにしウイルストータルhttp://www.virustotal.com/jp/にアップロードして解析してみてください。２週間後に再検査しても何も出なければ有害な改ざんスクリプトではないかも知れません。 また、アグセhttp://www.aguse.jp/という無料のサービスがあり、今年アップデートされて[外部と接続するオブジェクト]という項目が加わり難読化されたスクリプトでも接続先を表示し「調べる」ことができるようになりました。ただ、調査（ページの画像キャプチャなど）に使用するブラウザがFirefoxということなので、IEとは違う結果になる事があります。ちなみに「カスペルスキーによるマルウェア検出」機能がありますが、私が使ってみた限りではここで検出される事は１度しかありませんでした。パソコン上のカスペルスキーが検出していてもaguseでは検出できない事があります。

どのような文字列が追加されていたのでしょうか？ ホームページスペースを提供している会社が、 アップした時に広告表示などをするためなどに自動的に追加されるようにしている場合があります。 なので、そこまで心配する必要はないです。 もし心配であれば提供している会社に問い合わせてみてはどうでしょうか？ どうしても改ざんされた時に自動的に検出したい(知りたい)場合はそういうサービスを提供している 所があるのでそういうのを利用されてはどうでしょうか？ そのかわり、かなりの金額になると思います。

最近のガンブラーはスクリプトを無効にしても防げません。 http://www.google.co.jp/url?sa=t&source=web&ct=res&cd=1&ved=0CAgQFjAA&url=http%3A%2F%2Fitpro.nikkeibp.co.jp%2Farticle%2FNEWS%2F20100304%2F345314%2F&ei=JfGWS9jVMZLk7AP_kJnGCA&usg=AFQjCNHTwuENbHoDy7kUIMkaJakaPbeqYA&sig2=hj6oN4Xna7YtnBBsE08bEQ 身に覚えのない.htaccessファイルが存在しないかどうか、アップロードされていないかを確認すること。ユーザーとしては、スクリプトを無効にするだけでは攻撃を防げない。意図しないリダイレクトを制限するなどの対策が必要だそうです。 運営してるサイトのログイン履歴みたいなものからチェックするしかないのですね。。 とにかく予防に徹すること。これしかありません。 以下のページに詳しいやり方が載ってます。 http://www.seculead.jp/contents/2010/01/gumblar.html

取り敢えず以下の情報処理推進機構に相談してみて下さい。 http://www.ipa.go.jp/security/topics/20091224.html PCがウイルス感染している場合はリカバリーを推奨します。 参考：サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道 http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=2166 利用しているホームページスペースサーバー自体が感染している可能性もありますので そちらの確認も必要です。

Gumblarってさクラッカー（ハッカーではない）が直接仕掛けるタイプのやつだからさ よほどの有名サイトじゃないとさクラックされないと思うよ、うん とは言ってもやるやつはどんなサイトでもやるから油断はできないけどね でもそんな神経質にならなくてもさ、いいと思うよ 確認方法 アクセスログの確認（参考http://dxd8.com/archives/205/） ぼくのかんがえた確認方法 更新チェッカーを使う、自分の更新してないときに更新されたらクラックを発見できる ただし動的コンテンツを除く（BBS、無料ブログ・サイトの公告枠など) 怪しい文字列を書き込んでくれればある程度は解析したいと思います、はい たぶん仰るとおり公告だとは思いますが 実際のところGumblarの早期発見は業者のように監視していないと難しいので 他の人に感染させないようにまずは自分のセキュリティを高めるのが一番かと思います

まず、あなたのPCはちゃんとウイルス対策されているのでしょうか？ 対策しているのであれば、無料のホームページスペースだと自動的に広告が埋め込まれるようなところがありますけど、その辺はどうなのでしょうか?