2013.06.21セキュリティ関係

不正なソフトウェアを検出。ホームページ改竄から復旧までの流れ

ウェブサイトの不正なソフトウェアを事前に検出しました。

突然、知り合いのホームページが、「ウェブサイトの不正なソフトウェアを事前に検出しました」と表示されるようになりました。

このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります。

ウェブサイトの不正なソフトウェアを事前に検出しました。
Google Chrome が ※※※.com へのアクセスをブロックしました。
これまでこのウェブサイトに問題なくアクセスしていた場合でも、現在アクセスすると、お使いのパソコンが不正なソフトウェアに感染する恐れがあります。
不正なソフトウェアとは、なりすまし犯罪、金銭的な損失、ファイルの完全削除といった問題を起こす悪意のあるソフトウェアのことです。

管理者の方は、詳細を確認しましょう。

Googleの診断を確認して、感染状況をチェックします。

詳細設定　→　このウェブサイトの問題に関する詳細

FTPソフトで、ファイルの更新日を確認しましょう

FTPソフトで、リモート側のファイル更新日を確認すると、今回改竄されたページのみ、
身に覚えのない更新が行われています。完全にクロです。

ホームページの改ざんは下記のファイルで行われます。

HTMLファイル(.html)
JSPファイル(.jsp)
PHPファイル(.php)
JavaScriptファイル(.js)
JSONファイル(.json)
テンプレートファイル(.tpl)
分散設定ファイル(.htaccess)

ＰＣがウィルスに感染してからホームうページが改竄されるまでの流れ

多くは共通して「0c0896」等の文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェアに感染させます

パソコンがウィルスに感染
ウィルスがFTPやSSHアカウント情報を窃取して、第三者に送信
第三社がFTPやSSHアカウント情報をつかって、プログラムによって、
ホームページのソースに悪意のあるプログラムを埋め込む
ホームページを見た人が、悪意のあるページにリダイレクトで移動させられ、ウィルスに感染。

ホームページが改竄。アクセスがブロックされてから、復旧までの流れ

この問題に対応するＰＣがウィルスに感染していないか確認。（完全ウィルススキャンをしてください。）
ウィルスに感染していたら、駆除。ウィルスに感染していないことがわかったらこのＰＣで対処を続けます。
FTP情報が第三者に漏れていたことが考えられるため、FTPパスワードを変更します。
現在アップロードされているファイルをすべて削除して、感染する前のファイルをアップロード

ＦＴＰ情報を抜かれているとしたら、現在アップロードされているファイルは、すべて疑わしいファイルとなります。

そこで、もしも感染する前のオリジナルのファイルがあれば、
現在、アップロードされているファイルは全て削除して、感染していないオリジナルファイルを全てアップロードしたほうが安全です。
最後にウェブマスターツールにログインして、再審査を受けます