サイト管理人は 1.感染の有無を確認→[[とりあえず感染してるか確認する手順(2000,XP)]] →[[とりあえず感染してるか確認する手順(Vista)]] 2.ウェブにアップした自サイトのソースにおかしな記述がないか確認する ※感染している場合の症状 ・.htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる ・「images」ディレクトリ内に「images.php」というファイルが生成される [[感染サイトのソースコード例(画像)>http://www31.atwiki.jp/doujin_vinfo?cmd=upload&act=open&pageid=16&file=www.dotup.org33103.jpg]] サイトを修正してOSをクリーンインストールしても、感染中に抜かれたFTPパスを使って海外から再びサイトを改ざんされたとの報告あり。 感染した場合はOSのクリーンインストールだけでなく、FTPパスの変更も必要。 &color(red){★感染していたら →} [[感染してしまった時の対処方法]] 感染した自分のPCからマルウェアが勝手に改ざんファイルをアップするという話もあったので、PC内のバックアップHTMLファイルも要注意。 ※絶対に感染したPCで感染したサイトのクリーンアップを行わないこと。 ※感染しているかもしれないローカルなPCのクリーンアップが先。 ★つまり順番としては【サイト削除→PCクリーンインストール→FTPパス変更】 ・感染していないことを確認したサイト管理人は、取り返しのつく今のうちに、バックアップを取っておくこと。 【サイトを確認する際の注意点】 ・レンタルサーバーを使っている時に自動挿入される広告やアクセス解析の記述と間違えないように(きちんと読めば簡単に広告やアク解だとすぐ分かる) ★サイトが感染してるのかわからない人は http://wepawet.cs.ucsb.edu/ にアクセスするといいかも、とのことです。 ここで「URL」と書かれている右のフォームに感染が疑われるURLを入力。 「Resource type」のチェックボックスは「JavaScript/PDF」にチェックを入れ、「Submit for analysis」をクリック。 すると解析結果が出るので、Ctrl+Fをタイプしてページ内を「gumblar.cn」「martuz.cn」で検索。 (何も見つからなければ少なくとも現在は感染していない。 見つかればそのサイトは感染している。 )