「サイト管理人向け」の編集履歴(バックアップ)一覧に戻る
サイト管理人向け - (2009/05/16 (土) 22:24:56) の編集履歴(バックアップ)
サイト管理人は
※感染している場合の症状
- .htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる
- 「images」ディレクトリ内に「images.php」というファイルが生成される
サイトを修正してOSをクリーンインストールしても、感染中に抜かれたFTPパスを使って海外から再びサイトを改ざんされたとの報告あり。
感染した場合はOSのクリーンインストールだけでなく、FTPパスの変更も必要。
感染した自分のPCからマルウェアが勝手に改ざんファイルをアップするという話もあったので、PC内のバックアップHTMLファイルも要注意。
※絶対に感染したPCで感染したサイトのクリーンアップを行わないこと。
※感染しているかもしれないローカルなPCのクリーンアップが先。
★つまり順番としては【サイト削除→PCクリーンインストール→FTPパス変更】
- 感染していないことを確認したサイト管理人は、取り返しのつく今のうちに、バックアップを取っておくこと。
【サイトを確認する際の注意点】
- レンタルサーバーを使っている時に自動挿入される広告やアクセス解析の記述と間違えないように(きちんと読めば簡単に広告やアク解だとすぐ分かる)
ここで「URL」と書かれている右のフォームに感染が疑われるURLを入力。
「Resource type」のチェックボックスは「JavaScript/PDF」にチェックを入れ、「Submit for analysis」をクリック。
すると解析結果が出るので、Ctrl+Fをタイプしてページ内を「gumblar.cn」「martuz.cn」で検索。
(何も見つからなければ少なくとも現在は感染していない。
見つかればそのサイトは感染している。 )
