自営の会社のＨＰが、「攻撃サイトとして報告されています！」

自営の会社のＨＰが、「攻撃サイトとして報告されています！」

「この Web ページ (www.kclean.jp) は攻撃サイトであると報告されており、セキュリティ設定に従いブロックされました。」となり、Firefoxのとき表示されません。Intenet Exploreでもファイアウォールの警告文が出ました。


以前、http://oshiete.goo.ne.jp/qa/5971899.htmlこのような質問して、リカバリしました。そして、ＳＤに移しておいたＨＰのファイルをつかったのですが・・・。１ヶ月かけてつくったＨＰなので、また１からつくりなおすのも大変だし・・・。誰か助けてください。

1、そのＨＰにアクセスしてきた人に、へんなウイルスをばら撒いているのでしょうか？
2、ＨＰのファイルのどこがだめなのか、調べる方法ありますか？
3、また駆除方法や対策などお願いします。

No.4 ベストアンサー 回答者： noname#147176 回答日時： 2010/07/10 08:22

No.1、No3です。

緊急です
*********************************************************
いま、あなたのサイトをチェックしたところ、別の外部
へ接続されているリンクが昨日よりさらに増えていました。↓
ttp://media.non1.net/download/java.php
(こちらは、scriptで書かれて、タイのバンコックに接続されてます)
↑ここのサイトは、現時点ではマルウェアに感染していませんが
直近でマルウェアに感染していた痕跡が残っています。
↑この結果として、あなたのサイトは、昨日とはちがって、今現在は
マルウェアのブラックリストに登録されています。

つまり、あなたのサイトは今現在も、狙われ続けていると
容易に想像出来ますが。(つまり、犯人側へあなたのサイトの
管理パスワードが渡ったままになってる感じ?)
**********************************************************


ガンブラーの説明が、簡潔にわかりやすく書かれています。
http://www.just-kaspersky.jp/products/info/alert …
(特定のメーカーのPRがきついのは、御容赦を)

〉〉この後また偽セキュリティが出てくるのでしょうか？
いえ、私が言いたかったのは、
そうではなくて、(1ヶ月前の)前回の質問で、
『Defense Centerニセセキュリティソフトのようです。』
と言っておられますから、この時すでに、ガンブラー感染の
終末を迎えていたと思います。その数ヶ月前には、すでに
感染していて、ひそかに、サイト管理用のパスワードを
はじめ、他のパスワードなども、抜かれている可能性が
多分にあります。
たぶんあなたのPCの利用価値が無くなった結果として、
偽セキュリティのインストールで、爆弾を落とされた
のだと思います。(→その結果として、感染に気づけた)
今は、たぶんリカバリーされ、当然セキュリティ対策も、
しっかりされて、そのときとは状況が変わっていると
思っていたんですが。

〉〉＞大阪のペーパーボーイさん、ってなに？

あら、ご存じなかったんで?。
あなたのサイトのドメインの、公開されている登録情報ですよ。
その上位の接続先は、『さくらインターネット株式会社』と
なってます。
もっとも、あなたとしては、ひょっとして?
『IBM Studio Homepage Builder 』のラインからの登録で、
ぴんと来てらっしゃらないのかも?。

〉〉全く新しいＨＰを作り直せば問題解決するのでしょうか？
基本的には、今のページリンクを完全になくして、新しいものを
作ってしまえば、取りあえずクリーンになるでしょうけど、
取りあえず原因究明はしておかないと、
また、同じになっちゃう・・・・・。

この回答への補足

何度もありがとうございます。

>マルウェアのブラックリストに登録されています→げーー、そうなんですか？ショック！！

＞今のページリンクを完全になくして→サーバーにあるデータをすべて削除しました。そして、バックアップしていたデーターで入れなおしてみました。

このパソコン1台で管理していますので、パソコンもウイルスチェックしてみました。大丈夫のようです。それからＦＴＰのパスワードも変えました。この後ＩＰアドレス使ったアクセス制限も取り入れる予定です。

上記の作業をする前に自宅のほかのパソコンからも、自分の会社のＨＰを見てしまいました。そっちもウイルスチェックが必要ですね。

どうですか？もう変なスクリプトは見当たらないですか？

補足日時：2010/07/12 01:27

No.7 回答者： noname#147176 回答日時： 2010/07/13 08:06

No.1、No.3、No.4、No6です。

『サーバー証明書』
も、正常に表示されるようになりましたね。

あなたの加入しているpaperboy&co(chicappa.jp)さん
あてに発行されたものになってます。

最初は、どこかへリダイレクトされていたんですが。
(httpsがhttpへリダイレクトされていて、証明書の発行先も
意味不明であったように記憶しています)

※当方で申し上げることが出来ることは、もう何もありません。
あとは、ご自分で検討なさって下さい。

この回答へのお礼

本当にありがとうございました。ＷＥＢ管理初めて6年、初めての体験でした。今回はセキュリティの大切さと、自分のＨＰのチェックしなければいけないことを実感しました。

お礼日時：2010/07/13 08:21

No.6 回答者： noname#147176 回答日時： 2010/07/12 10:05

No.1、No.3、No.4です。

〉〉もう変なスクリプトは見当たらないですか？
と、思います。↓
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.kc …

『外部と接続するオブジェクト(全10個) 』がすべて、あなた側で、
意図したものですよね?。

修復する前は、スパム送信や、マルウェアのブラックリストに
あがっているところへ、飛ばされてましたから。今は、ありません。

それと、一番下の『ブラックリストの判定結果』にも、
でなくなりましたし。

〉〉自宅のほかのパソコンからも、自分の会社のＨＰを見てしまいました。
〉〉そっちもウイルスチェックが必要ですね。
そうですね。

念のため、ですが。(繰り返しです)
(1)ＯＳは最新の状態になっていますか。
(2)adobe 関連のものは、最新になってますか。
adobe reader(最新はVer9.3.2) とか adobe flash player
(最新はVer10) とか。また、office関連も、狙われやすい
そうです。

あと、ついでに、ガンブラーなどは、大手サイトでも、
昨日は良くても今日はどうなっているかわかりません。
他人のPC(サーバー)であらかじめ確認テストする方法がありますので、
http://gw.aguse.jp/
(自身のPCの安全を担保しながら、サイトの感染状況など
確認出来ます)
もちろん自分のサイトの確認にも使えます。

それと、セキュリティ対策は何を使ってらっしゃるかは、
わかりませんが、私は、取りあえずガンブラーに対しては、
カスペルスキーが、一番強力であるように思います。
(ただし使いづらいそうです)
念のため、無料で自PCのチェック&駆除が出来るサービスが
ありますので、掲示しておきます。↓
http://lhsp.s206.xrea.com/misc/onlinescan.html
(もし利用するとしたら、niftyがカスペルスキーエンジンを
使用していて、しかも、駆除も出来ます)

それと、最後に、今も同じリンクですよね。
グーグルで『www.kclean.jp』で検索したところ、今現在も、
http://www.google.co.jp/search?q=www.kclean.jp&s …
のとおり、↑
『このサイトはコンピュータに損害を与える可能性があります』
と出てきます。
ここをクリックして、見ていくとグーグルのヘルプが出てきます。
最後までず～と見ていくと、グーグルへブラックリストの解除
を申告する方法などが出てくると思いますので。

また、質問中、ブラウザ内で出てくる表示については、その表示内
から、表示の間違いを申告する方法が無いでしょうか?。

※以上、今後のことも含めて、お役に立てれば、幸いです。

No.5 回答者： qwerjpo 回答日時： 2010/07/10 09:44

どこがおかしいかは自分の手元にあるやつとサーバー上にあるやつをソースで比較すればすぐわかると思います。

「<s src=ttp://media.non1.net/download/java.php ></s>」
(「script」を「s」に「http」は「ttp」に変えています。）
と、「<!-- ad -->」から始まって「<!-- /ad -->」で終わるやつです。

この回答へのお礼

ありがとうございます。


サーバー上で、書き換えられたスクリプトを発見しました。また、今回はガンブラーのこ、セキュリティのこと、自分のパソコンだけじゃないこと、いろいろ考えさせられました。

お礼日時：2010/07/12 05:29

No.3 回答者： noname#147176 回答日時： 2010/07/09 13:07

No.1です。

No.2さんご指摘の、
『ttp://fancycake.net/.ph/1』と言うリンクは、
そこでも、さらに、リダイレクトされて、最終的には、
『ttp://www.luckywebgo.com/cgi-bin/168』
と言うリンクへ、飛んでいます。
ここのリンクは↑、スパム送信のブラックリストにも
あがっているのですが、今現在は、そのページは、
消えて無くなってます。感染などがばれて、そのサイトの
管理者に消されてしまったのでしょう。

No.2 回答者： qwerjpo 回答日時： 2010/07/09 09:55

Iframeで「ttp://fancycake.net/.ph/1」というサイトにつながるようになってますよ。

bodyタグ直後のスクリプトがが怪しいと思うんだけど。

>１ヶ月かけてつくったＨＰなので、また１からつくりなおすのも大変だし・・・。誰か助けてください。
まずは公開をいったん中止して、スクリプトを消して信頼できる総合セキュリティソフトをいれてftpのパスワードなどを変更してからまた再開して様子を見ては？

この回答への補足

回答ありがとうございます。

＞Iframeで「ttp://fancycake.net/.ph/1」というサイトにつながるようになってますよ。→これがリダイレクトしているってことでしょうか？


なるほど、今の私にもできそうな対策です。

補足日時：2010/07/09 21:36

この回答へのお礼

＞スクリプトを消して→＞bodyタグ直後のスクリプト→どこの部分を消せばいいのかわかりません。どこをどのようにいじくればいいのか教えてくれませんか？

お礼日時：2010/07/09 22:43

No.1 回答者： noname#147176 回答日時： 2010/07/09 09:22

そのサイトは、大阪のペーパーボーイさんを利用されてますね。

現状では、別に感染していないように、お見受けいたしましたが。

ただ一つ、言っていいかどうか当方も、困惑しているところですが、
その同一サーバー上のhttpsでの通信が、httpへ、リダイレクトして
いるのはなぜなんでしょうか。
(あなたのサイトとは直接関係ないかも?)


ただし、
〉〉Intenet Exploreでもファイアウォールの警告文が出ました。
IEの警告は、現在発生していることを、言っているのでは
ないと思います。あくまでも、過去にこんなことが発生して
いたと言っているだけだと思います。
(smart screen filterでしょうか。→この機能は対応が遅くて
随分、後になって反映されます。緊急時にはあまり役に
立たないです)

〉〉Firefoxのとき表示されません。
FirefoxもIEと同様に、過去に発生したことを言っているだけで、
現時点でのことを言っていないように思います。


前回の質問↓も、拝見しました。
http://okwave.jp/qa/q5971899.html
偽セキュリティを入れられたんですね。
去年の前半からガンブラーが猛威をふるっていて、
大手のサイトも軒並みやられています。
ガンブラーに感染すると、その結果として、最後には
偽セキュリティも入れられてしまうそうです。
つまり、ガンブラーの終末が偽セキュリティらしいと
聞いてます。
しかも、あなたも、サイト管理をしていますので、
ほぼ間違いないのかなと。

今一度、あなたを含めそのサイトのすべての管理者のPCを
完全にチェックしてみることをおすすめします。

取りあえず、ご自身のパソコンの処理ですが、
ご自分で、対応が困難な場合は、こちらで相談なさってみて下さい。
http://www.higaitaisaku.com/
ただし、okwaveの方は、締め切って下さい。

そのサイトの件については、登録しているペーパーボーイさんに
相談された方が・・・。



それで、問題なければ、最終的に、MicrosoftやFirefoxなどへ、
現在は修復されている旨の、届けを出せば、元に戻して
もらえるのでは。

この回答へのお礼

回答ありがとうございます。
理解不能の単語がいろいろ出てきて、混乱しています。

サイトの管理は私のノートパソコン1台です。

＞大阪のペーパーボーイさん、ってなに？

＞同一サーバー上のhttpsでの通信が、httpへ、リダイレクトしている？？？意味が？？？全くわかりません。

＞ガンブラーの終末が偽セキュリティらしいと聞いてます。→この後また偽セキュリティが出てくるのでしょうか？


たとえば、全く新しいＨＰを作り直せば問題解決するのでしょうか？

お礼日時：2010/07/09 21:23