サイトがウィルスに感染したようです
◇-?サイトがウィルスに感染したようです-かりん-05/02-15:31(118)-No.448474 ┣?!Re:サイトがウィルスに感染した...-ひよこ-05/02-15:58(117)-No.448478 ┣?!Re:サイトがウィルスに感染した...-L-05/02-16:18(117)-No.448480 ┣?!Re:サイトがウィルスに感染した...-ひろ-05/02-16:57(116)-No.448486 ┗?【多分解決】Re:サイトがウィルス...-かりん-05/07-08:46(5)-No.449113
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
| 448474 | サイトがウィルスに感染したようです | かりん | 2008/05/02-15:31 |
メーカー名:東芝 OS名:Windows2000 パソコン名:satelliteJ40 トラブル現象:ホームページ全般 使用回線:ADSL -- はじめまして。 私はサイトを持っているのですが、閲覧者から「ウィルスが検出されました」と匿名で投稿がありました。 そこで、トップページなどのソースをチェックしましたがiframeやスクリプトなど怪しいタグは見つからず、 また自分のPCもAVGやオンラインスキャンなど複数のソフトでスキャンしましたが何も出てきませんでした。 それから数日後、別の方から連絡があり調べたところ今度はアップされている側のindexページ(複数フォルダ内)のソースにVBのスクリプトが混じっていました。 ここでいくつか手詰まってしまったのですが 1.ローカルに対象ファイルをDLしてソースを見ようとするとアクセス拒否されるのですがこれもワームの仕業でしょうか? 2.ソフトで「駆除」するとHTMLごと消えてしまいます。駆除する方法は手動で不要なソースを除けばよいのでしょうか。 3.ローカルマシンではウィルスは発見されません(サーバ側のファイルだけにアンチウィルスソフトが反応します)。 ワームはどういう経路で増えているのでしょう? 検出されたワームは「Psyme.QM」です。 検索してみましたが類似のPsyme.CMなどの情報は乏しく参考になりませんでした。 とりあえず、手持ちのソースが混入していないものを再度アップして今はオンライン上でも同上の現象は起こっていませんが、念のためサイトは一時閉鎖の形にしてあります。 類似の事例でも良いので何かありましたらご教示お願いします。 | |||
▲このページのトップに戻る
| 448478 | Re:サイトがウィルスに感染したようです | ひよこ | 2008/05/02-15:58 |
記事番号448474へのコメント ローカルにサイトはバックアップされているんですよね? それでしたら、一度オンラインのサイトを削除して、そのあと手持ちのバックアップを上書きでどうですか? バックアップの方には、問題ないんですよね? 削除できないようなら、借りているレンタルサーバに相談されては? | |||
▲このページのトップに戻る
| 448480 | Re:サイトがウィルスに感染したようです | L | 2008/05/02-16:18 |
記事番号448474へのコメント まずサーバーの業者に被害を報告し、調査を依頼してはどうか。 外部からサーバーのファイルに書き換え行為がなされたのであれば、 何かログから手がかりが得られるかもしれない。自鯖なら自分で調べるしかないが。 また、貴方のPCが既に安全であるかどうか、俺には保証はできない。 が、とりあえずそのまま使用するのであれば、 >とりあえず、手持ちのソースが混入していないものを再度アップして が差し当たりの対症療法としては十分なのではないか。 もちろん、事前にソースを読んで確認するのは大事だが。 >1.ローカルに対象ファイルをDLしてソースを見ようとするとアクセス拒否される これはわからない。何のソフトでどのように閲覧しようとしたか。 あとは、FTPのパスワードを一応変えておいたほうがいいかもしれん。 | |||
▲このページのトップに戻る
| 448486 | Re:サイトがウィルスに感染したようです | ひろ | 2008/05/02-16:57 |
記事番号448474へのコメント こんにちは! >1.ローカルに対象ファイルをDLしてソースを見ようとするとアクセス拒否されるのですがこれもワームの仕業でしょうか? ソースの内容は下記等で確認して下さい。 http://so.7walker.net/guide.php 例 -- 「2008/05/02 16:53」のキャッシュをチェックしています。 -- ※このアドレスは危険URLのひとつです。 注意!ループタグを発見! (1) ブラクラチェックが終了しました。 >2.ソフトで「駆除」するとHTMLごと消えてしまいます。駆除する方法は手動で不要なソースを除けばよいのでしょうか。 そのホームページサービスを利用する上で、挿入されるものでは? と言うかホームページサービス・レンタルサーバーを確認して下さい。 分からないならそのサービス等のURLを記載してください。 例 http://www.kannet.ne.jp/service/rserver-s.html >3.ローカルマシンではウィルスは発見されません(サーバ側のファイルだけにアンチウィルスソフトが反応します)。 >ワームはどういう経路で増えているのでしょう? これも2.の確認からです。 >類似の事例でも良いので何かありましたらご教示お願いします。 例 Kaspersky Internet Security 7.0 The requested URL http://********.com/ is infected with Trojan-Clicker.JS.Agent.h virus http://www.viruslist.com/en/search?VN=Trojan-Clicker.JS.Agent.h 検討して下さい。 | |||
▲このページのトップに戻る
| 449113 | Re:サイトがウィルスに感染したようです | かりん | 2008/05/07-08:46 |
記事番号448474へのコメント サーバ側のファイルをいったん全消去し、 UPしなおす形でクリーンしてからGWの間、様子を見てみました。 その後もウィルス・ワームなどは検出はされません。 ローカルは感染しておらず、サーバ側のファイルが感染していた模様です。 みなさま、回答ありがとうございました。 | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
