• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:自営の会社のHPが、「攻撃サイトとして報告されています!」)

自営の会社のHPが、「攻撃サイトとして報告されています!」

このQ&Aのポイント
  • 自営の会社のHPが、攻撃サイトとして報告され、セキュリティ設定に従いブロックされています。FirefoxやInternet Explorerでも警告文が表示されます。
  • 以前の質問でリカバリしたHPのファイルを使用しましたが、アクセスした人にウイルスをばら撒いている可能性があります。ファイルの問題箇所を調べる方法や駆除方法を教えてください。
  • 1ヶ月かけて作成したHPを再度作り直すのは大変なため、アクセス者にウイルスをばら撒いている可能性の調査方法や対策方法を教えてください。

質問者が選んだベストアンサー

  • ベストアンサー
noname#147176
noname#147176
回答No.4

No.1、No3です。 緊急です ********************************************************* いま、あなたのサイトをチェックしたところ、別の外部 へ接続されているリンクが昨日よりさらに増えていました。↓ ttp://media.non1.net/download/java.php (こちらは、scriptで書かれて、タイのバンコックに接続されてます) ↑ここのサイトは、現時点ではマルウェアに感染していませんが 直近でマルウェアに感染していた痕跡が残っています。 ↑この結果として、あなたのサイトは、昨日とはちがって、今現在は マルウェアのブラックリストに登録されています。 つまり、あなたのサイトは今現在も、狙われ続けていると 容易に想像出来ますが。(つまり、犯人側へあなたのサイトの 管理パスワードが渡ったままになってる感じ?) ********************************************************** ガンブラーの説明が、簡潔にわかりやすく書かれています。 http://www.just-kaspersky.jp/products/info/alert_gumblar.html (特定のメーカーのPRがきついのは、御容赦を) 〉〉この後また偽セキュリティが出てくるのでしょうか? いえ、私が言いたかったのは、 そうではなくて、(1ヶ月前の)前回の質問で、 『Defense Centerニセセキュリティソフトのようです。』 と言っておられますから、この時すでに、ガンブラー感染の 終末を迎えていたと思います。その数ヶ月前には、すでに 感染していて、ひそかに、サイト管理用のパスワードを はじめ、他のパスワードなども、抜かれている可能性が 多分にあります。 たぶんあなたのPCの利用価値が無くなった結果として、 偽セキュリティのインストールで、爆弾を落とされた のだと思います。(→その結果として、感染に気づけた) 今は、たぶんリカバリーされ、当然セキュリティ対策も、 しっかりされて、そのときとは状況が変わっていると 思っていたんですが。 〉〉>大阪のペーパーボーイさん、ってなに? あら、ご存じなかったんで?。 あなたのサイトのドメインの、公開されている登録情報ですよ。 その上位の接続先は、『さくらインターネット株式会社』と なってます。 もっとも、あなたとしては、ひょっとして? 『IBM Studio Homepage Builder 』のラインからの登録で、 ぴんと来てらっしゃらないのかも?。 〉〉全く新しいHPを作り直せば問題解決するのでしょうか? 基本的には、今のページリンクを完全になくして、新しいものを 作ってしまえば、取りあえずクリーンになるでしょうけど、 取りあえず原因究明はしておかないと、 また、同じになっちゃう・・・・・。

mmmyyymmm
質問者

補足

何度もありがとうございます。 >マルウェアのブラックリストに登録されています→げーー、そうなんですか?ショック!! >今のページリンクを完全になくして→サーバーにあるデータをすべて削除しました。そして、バックアップしていたデーターで入れなおしてみました。 このパソコン1台で管理していますので、パソコンもウイルスチェックしてみました。大丈夫のようです。それからFTPのパスワードも変えました。この後IPアドレス使ったアクセス制限も取り入れる予定です。 上記の作業をする前に自宅のほかのパソコンからも、自分の会社のHPを見てしまいました。そっちもウイルスチェックが必要ですね。 どうですか?もう変なスクリプトは見当たらないですか?

その他の回答 (6)

noname#147176
noname#147176
回答No.7

No.1、No.3、No.4、No6です。 『サーバー証明書』 も、正常に表示されるようになりましたね。 あなたの加入しているpaperboy&co(chicappa.jp)さん あてに発行されたものになってます。 最初は、どこかへリダイレクトされていたんですが。 (httpsがhttpへリダイレクトされていて、証明書の発行先も 意味不明であったように記憶しています) ※当方で申し上げることが出来ることは、もう何もありません。 あとは、ご自分で検討なさって下さい。

mmmyyymmm
質問者

お礼

本当にありがとうございました。WEB管理初めて6年、初めての体験でした。今回はセキュリティの大切さと、自分のHPのチェックしなければいけないことを実感しました。

noname#147176
noname#147176
回答No.6

No.1、No.3、No.4です。 〉〉もう変なスクリプトは見当たらないですか? と、思います。↓ http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.kclean.jp&x=53&y=21 『外部と接続するオブジェクト(全10個) 』がすべて、あなた側で、 意図したものですよね?。 修復する前は、スパム送信や、マルウェアのブラックリストに あがっているところへ、飛ばされてましたから。今は、ありません。 それと、一番下の『ブラックリストの判定結果』にも、 でなくなりましたし。 〉〉自宅のほかのパソコンからも、自分の会社のHPを見てしまいました。 〉〉そっちもウイルスチェックが必要ですね。 そうですね。 念のため、ですが。(繰り返しです) (1)OSは最新の状態になっていますか。 (2)adobe 関連のものは、最新になってますか。 adobe reader(最新はVer9.3.2) とか adobe flash player (最新はVer10) とか。また、office関連も、狙われやすい そうです。 あと、ついでに、ガンブラーなどは、大手サイトでも、 昨日は良くても今日はどうなっているかわかりません。 他人のPC(サーバー)であらかじめ確認テストする方法がありますので、 http://gw.aguse.jp/ (自身のPCの安全を担保しながら、サイトの感染状況など 確認出来ます) もちろん自分のサイトの確認にも使えます。 それと、セキュリティ対策は何を使ってらっしゃるかは、 わかりませんが、私は、取りあえずガンブラーに対しては、 カスペルスキーが、一番強力であるように思います。 (ただし使いづらいそうです) 念のため、無料で自PCのチェック&駆除が出来るサービスが ありますので、掲示しておきます。↓ http://lhsp.s206.xrea.com/misc/onlinescan.html (もし利用するとしたら、niftyがカスペルスキーエンジンを 使用していて、しかも、駆除も出来ます) それと、最後に、今も同じリンクですよね。 グーグルで『www.kclean.jp』で検索したところ、今現在も、 http://www.google.co.jp/search?q=www.kclean.jp&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&redir_esc=&ei=OGE6TOLLOMHJcZvq9PoO のとおり、↑ 『このサイトはコンピュータに損害を与える可能性があります』 と出てきます。 ここをクリックして、見ていくとグーグルのヘルプが出てきます。 最後までず~と見ていくと、グーグルへブラックリストの解除 を申告する方法などが出てくると思いますので。 また、質問中、ブラウザ内で出てくる表示については、その表示内 から、表示の間違いを申告する方法が無いでしょうか?。 ※以上、今後のことも含めて、お役に立てれば、幸いです。

  • qwerjpo
  • ベストアンサー率44% (39/88)
回答No.5

どこがおかしいかは自分の手元にあるやつとサーバー上にあるやつをソースで比較すればすぐわかると思います。 「<s src=ttp://media.non1.net/download/java.php ></s>」 (「script」を「s」に「http」は「ttp」に変えています。) と、「<!-- ad -->」から始まって「<!-- /ad -->」で終わるやつです。

mmmyyymmm
質問者

お礼

ありがとうございます。 サーバー上で、書き換えられたスクリプトを発見しました。また、今回はガンブラーのこ、セキュリティのこと、自分のパソコンだけじゃないこと、いろいろ考えさせられました。

noname#147176
noname#147176
回答No.3

No.1です。 No.2さんご指摘の、 『ttp://fancycake.net/.ph/1』と言うリンクは、 そこでも、さらに、リダイレクトされて、最終的には、 『ttp://www.luckywebgo.com/cgi-bin/168』 と言うリンクへ、飛んでいます。 ここのリンクは↑、スパム送信のブラックリストにも あがっているのですが、今現在は、そのページは、 消えて無くなってます。感染などがばれて、そのサイトの 管理者に消されてしまったのでしょう。

  • qwerjpo
  • ベストアンサー率44% (39/88)
回答No.2

Iframeで「ttp://fancycake.net/.ph/1」というサイトにつながるようになってますよ。 bodyタグ直後のスクリプトがが怪しいと思うんだけど。 >1ヶ月かけてつくったHPなので、また1からつくりなおすのも大変だし・・・。誰か助けてください。 まずは公開をいったん中止して、スクリプトを消して信頼できる総合セキュリティソフトをいれてftpのパスワードなどを変更してからまた再開して様子を見ては?

mmmyyymmm
質問者

お礼

>スクリプトを消して→>bodyタグ直後のスクリプト→どこの部分を消せばいいのかわかりません。どこをどのようにいじくればいいのか教えてくれませんか?

mmmyyymmm
質問者

補足

回答ありがとうございます。 >Iframeで「ttp://fancycake.net/.ph/1」というサイトにつながるようになってますよ。→これがリダイレクトしているってことでしょうか? なるほど、今の私にもできそうな対策です。

noname#147176
noname#147176
回答No.1

そのサイトは、大阪のペーパーボーイさんを利用されてますね。 現状では、別に感染していないように、お見受けいたしましたが。 ただ一つ、言っていいかどうか当方も、困惑しているところですが、 その同一サーバー上のhttpsでの通信が、httpへ、リダイレクトして いるのはなぜなんでしょうか。 (あなたのサイトとは直接関係ないかも?) ただし、 〉〉Intenet Exploreでもファイアウォールの警告文が出ました。 IEの警告は、現在発生していることを、言っているのでは ないと思います。あくまでも、過去にこんなことが発生して いたと言っているだけだと思います。 (smart screen filterでしょうか。→この機能は対応が遅くて 随分、後になって反映されます。緊急時にはあまり役に 立たないです) 〉〉Firefoxのとき表示されません。 FirefoxもIEと同様に、過去に発生したことを言っているだけで、 現時点でのことを言っていないように思います。 前回の質問↓も、拝見しました。 http://okwave.jp/qa/q5971899.html 偽セキュリティを入れられたんですね。 去年の前半からガンブラーが猛威をふるっていて、 大手のサイトも軒並みやられています。 ガンブラーに感染すると、その結果として、最後には 偽セキュリティも入れられてしまうそうです。 つまり、ガンブラーの終末が偽セキュリティらしいと 聞いてます。 しかも、あなたも、サイト管理をしていますので、 ほぼ間違いないのかなと。 今一度、あなたを含めそのサイトのすべての管理者のPCを 完全にチェックしてみることをおすすめします。 取りあえず、ご自身のパソコンの処理ですが、 ご自分で、対応が困難な場合は、こちらで相談なさってみて下さい。 http://www.higaitaisaku.com/ ただし、okwaveの方は、締め切って下さい。 そのサイトの件については、登録しているペーパーボーイさんに 相談された方が・・・。 それで、問題なければ、最終的に、MicrosoftやFirefoxなどへ、 現在は修復されている旨の、届けを出せば、元に戻して もらえるのでは。

mmmyyymmm
質問者

お礼

回答ありがとうございます。 理解不能の単語がいろいろ出てきて、混乱しています。 サイトの管理は私のノートパソコン1台です。 >大阪のペーパーボーイさん、ってなに? >同一サーバー上のhttpsでの通信が、httpへ、リダイレクトしている???意味が???全くわかりません。 >ガンブラーの終末が偽セキュリティらしいと聞いてます。→この後また偽セキュリティが出てくるのでしょうか? たとえば、全く新しいHPを作り直せば問題解決するのでしょうか?

関連するQ&A

専門家に質問してみよう