サイトのファイル改竄について
現在、KAGOYAのホスティングサービスで共用サーバーを借りてサイトを公開しています。FTPアクセス制限をかけてあり、KAGOYAにログインしてアクセスの一時許可をIPアドレスに対して発行してもらわないと、FTPアクセスをできなくしてあります。
最近、このサイトでPHPスクリプトの改竄や完全な置き換えが多発しております。
上記の通りなのでFTP経由は考えられませんし、事実FTPログ(KAGOYAが自動収集)にも痕跡はありませんでした。
この状況でファイルを書き換える事は可能なのでしょうか?また、もし可能だとしたらどう防げば宜しいでしょうか?
宜しくご教示ください。
投稿日時 - 2010-03-13 12:36:18
最近の相談に多いですね。
いささか回答に疲れましたので、私の最近の回答に一通り目を通してください。
その上でどんな事態が考えられるか思い巡らせてください。
http://questionbox.jp.msn.com/qa5739485.html
のNo.6、No.8
http://questionbox.jp.msn.com/qa5744821.html
http://questionbox.jp.msn.com/qa5698651.html
No.1さん紹介のIPAに届けてくださいね。対策のアドバイスも貰えた筈です。
>FTPクライアントは事務所の全マシンに入っており、事務所内の人間であれば、FTPのアクセス制限の一時許可を取得すればFTPアクセス可能な状況です。
これじゃどこかのWEBデザイン会社と変わりませんね。
これで同じ記事の4度目の紹介です。
http://internet.watch.impress.co.jp/docs/news/20100309_353620.html
もしかして改ざん犯人が自分のパソコンで改ざんの為にログインしてるとでも思っているんですか?
ルートキットもあれば、レトロウイルスもある。価値があると知れればすぐにボットにされる。
ルートキットのなかでは、Mebrootに代表されるMBR感染タイプは、フォーマットしても消えません。現在は大容量の時間短縮対策で2度目のフォーマットからは物理フォーマットが行われない為です。普通リカバリすればいいような事を回答しますが、御社ほどFTPを利用される業者さんだったら、新しいハードディスクに替装するか、Wipeツールでハードディスクを新品並みにしてからリカバリしないと一台でもこれに感染していれば復元して作業が徒労になるかもしれません。Mebrootは元元Macのウイルスでしたが昨年夏以降WindowsにもLinuxにもそれぞれ感染するよう進化してます。Windowsの場合回復コンソールでMBRを修復するとWindowsが起動できなくなります。ダメージが大きいのでこの方法でチェックしろとは言いません。最悪のケースを記したまでです。
参考:http://itpro.nikkeibp.co.jp/article/COLUMN/20100118/343296/
何をお使いか知りませんが感染してからじゃ並みのセキュリティソフトじゃ見つかりません。
売らんかなのコマーシャルを真に受け過ぎです。
ごめんなさい。引用させていただいたコメントに「甘すぎる」とカチンと来たものですから、回答もちょっと手荒になってます。
投稿日時 - 2010-03-13 18:06:49
7人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(1件中 1~1件目)
FTPクライアント(貴方のPCですか?)が乗っ取られたということはありませんか?
もしそうなら、サーバログには正規のログインとして認められますし、何ら怪しい痕跡は残りません。
最近、GumblerというウイルスがFTPクライアントに感染してファイル改ざんを行う例が相次いで報告されています。詳しくは下記をご覧ください。
http://www.ipa.go.jp/security/topics/20091224.html
投稿日時 - 2010-03-13 12:39:45
お礼
有り難うございます。
FTPクライアントは事務所の全マシンに入っており、事務所内の人間であれば、FTPのアクセス制限の一時許可を取得すればFTPアクセス可能な状況です。
事務所のマシンは全台最新版のウィルス定義で毎日チェックしていますが、感染は報告されていません。
Gumblerの場合は、他のマシンからのアクセスになるのでIPアドレスに差異が認められるはずですが、この形跡もありません。
ご回答、有り難うございました。
投稿日時 - 2010-03-13 13:02:34
