• ベストアンサー

自分のHPがガンブラーに感染した疑い

友人のHPが、ガンブラーに感染している恐れがあるということで、検索サイトの管理者から連絡がありました。 友人のPCはセキュリティは最新のものになっていますが、HPがどのように改ざんされているのかわかりません。 感染しているものとして、対処方法を教えていただきたく思います。ちなみに、PCにはあまり詳しくありません・・・。 (駆除の仕方や、感染しているかチェックができるサイトなど)

質問者が選んだベストアンサー

  • ベストアンサー
  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.2

HPの改ざんには、ここによく現れるセールスマンの方々の意に反しますが、セキュリティソフトは役に立たないというのが、私が昨年改ざんのレスキューをやって得た経験です。 チェック方法は、該当URLのHTMLソースを点検するのが一番で、これはブラウザを使用しなくてもメモ帳などのエディタのファイルを開くウインドでファイル名の変わりにURLを入力して開けばソースを取得できます。 また、googleの巡回を受けた後であれば、google検索にて、検索入力欄にURL または site: に続けて該当のドメイン(http;//以降 /の前まで)を入力して検索すると「このサイトはコンピュータに損害を与える可能性があります」と警告が出ますので解ります。あるいは http://safebrowsing.clients.google.com/safebrowsing/diagnostic?&hl=ja&site=google.com の末尾のgoogle.comを調べたいドメインに変更して直接アクセスすれば、過去90日のサイト状況を調べられます。 また、http://www.aguse.jp/ にて調べたいURLを入力すると、調査結果が表示され、特に「外部と接続するオブジェクト」に知らないScriptが有ればそれが改ざんです。ページをカスペルスキーで検査してくれますが「マルウェアは検出されませんでした」となっていても改ざんに対しては有効な表示ではありませんので安心しないでください。 対策は、安易にページを削除するのではなく、サイト訪問者を安全なエラー表示ページにリダイレクトするようにしてください。レンタルのサーバーならレンタル元に依頼されるのが良いでしょう。.htaccessでもできますが最近は.htaccessも改ざん対象になっていてファイルが見つからない404エラーなどで悪質サイトにリダイレクトされるようにされてしまいます。 FTPアカウントのパスワードを変更し、ハードディスクを替えOSを新しくインストールしたPCでサイトのファイルを正常なものにリフレッシュしてください。その後再開します。 ハードディスクを替えるのは、ガンブラー手法でMBRを改ざんするマルウェアに感染し、これはフォーマットやパーテーション切り直ししても消せないからです。最近知人が、この方面では優秀なカスペルスキーを使って対策していたにも係わらずやられてしまいました。 それでも改ざんされ続ける場合は、サイトの管理会社を疑ってください。サイトの管理会社で管理用パスワードが盗まれている可能性も皆無ではありません。 PCのほうは、1ヶ月くらいネットにつながないでおいて、ネットに繋いだ最初にセキュリティソフトを更新して全スキャンすればマルウェアが発見できるかもしれません。意地悪な見方をすればセキュリティソフトの評価で過去6ヶ月でマルウェアの検出率が95%なら最新マルウェアは9日間は検出できないのだという解釈もできます。ホームページ改ざんは、常に最新のマルウェアによってなされている為に検出しづらいのです。 PCの対策は、 Windowsのアップデート、各種アプリケーションのアップデートです。 参考URL http://jvndb.jvn.jp/apis/myjvn/ http://jvn.jp/report/index.html  

kubokorori
質問者

お礼

回答ありがとうございました。 お礼が遅くなってしまってすいません。 友人に知らせてあげようと思います。

その他の回答 (2)

回答No.3

最近のガンブラーは進化をしているらしいので以下のページが役に立つかはわかりませんが、とりあえず。。5章に対策が書いてあります。 http://www.seculead.jp/contents/2010/01/gumblar.html

kubokorori
質問者

お礼

回答ありがとうございます。 大変参考になりました。 友人に伝えてみます。

  • keibun
  • ベストアンサー率25% (16/63)
回答No.1

自分でそのソースを見るしかないと思います。 HTMLファイルや外部.js(JavaScript)ファイルに、「/*GNU GPL*/ try 」などの文字列コードがサイトの全ページに渡って書きこまれていればガンブラーに感染した可能性が高いです。 あと感染の有無を確認するときは自分のパソコンのセキュリティを最新&最高の状態にしておいてください。(もし感染したらヤバい&意味ないので) 下にセキュリティ初心者のためのサイトを入れておきますね。 駆除は簡単でとりあえず怪しい部分をHTMLエディターなどで消すだけです。あと変な外部jsファイルがあったらそれも消しておいてください。

参考URL:
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm
kubokorori
質問者

お礼

回答ありがとうございました。 お礼が遅くなってすいません。 大変参考になりました。

関連するQ&A

専門家に質問してみよう