• 締切済み

サーバーウィルス

お世話になっております。 実はLINUXサーバー内でウィルスらしきものが発見されました。 見たこともないPHPファイルが複数できており、既存のPHPファイルにも改竄が発見されました。 内容は「w57544298n.php」などの乱数文字列のPHPファイルで ------------------------------------ <?php $auth_pass=""; $color="#df5"; $default_action="FilesMan"; $default_use_ajax=true; $default_charset="Windows-1251"; preg_replace~~~ 圧縮された文字列 ------------------------------------ グーグルなどで検索したところ、どうやらワードプレスの脆弱性をついたウィルスらしいのですが、 私のサーバーにはワードプレスは入っていません。 ただ、心当たりがあるのは、私が管理しているサーバーに、別の会社(デザイン会社)が作ったJSなどをアップロードしており、そこはワードプレスを使っています。 また、私の管理しているサイトも、デザイン会社が管理しているワードプレスのサイトとAJAXなどで やり取りしています。 このウィルスの感染経路を特定したいのですが、FTPログやAPACHEのアクセスログを見ていますが みつかりません。 JSファイルなどから感染するような事はあるのでしょうか? 因みにサーバーは CentOS 5.4です アドバイスを頂けると幸いです

みんなの回答

  • localica
  • ベストアンサー率52% (202/385)
回答No.1

JSインジェクションは閲覧者に悪意あるプログラムをペイロードさせるのに良くつかわれる手法ですが、サーバーサイドの改ざんには向きません。 サーバーサイドを改ざんするには不正アクセスの他に、SQLインジェクションやPHPの脆弱性が使用される可能性の方が高いと思います。 データーベース入力や掲示板、ファイルのアップロードなどが実装されていませんか? ご懸念のワードプレスは、脆弱性の他に、素姓の知れないテンプレートやプラグインから感染することもあります。以前、改ざんされたjqueryを見たこともあります。 使用しているソースはきちんと目を通して、フリーを謳ったダウンロードのソースはちゃんと調べる方が良いと思います。 >私の管理しているサイトも、デザイン会社が管理しているワードプレスのサイトとAJAXなどで やり取りしています クロスドメインの可能性もありますね。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ハードウェア・サーバー

関連するQ&A

  • ウイルス

     ウイルスバスターの最終ウイルス発見のファイル名を消したいのですが、どうすればよいのでしょうか? ちなみにログ表示の方は消去できるみたいなのですが、最終発見のファイル名が消えません。何か方法があるなら教えて頂きたいです。  ちなみにうちの会社のパソコンでH系の動画をダウンロードしようとして、ウイルスの入ったファイルを発見してしまいました。会社のサーバーを通してLANで繋いでいるパソコンなんで、サーバーにも残るのでしょうか?

  • ウイルスに感染してしまいました 駆除できません

    Windows2000で、ウイルスバスター コーポレートエディション5.02 を使用しています。 リアルタイム検索というので、ウイルスが2つ発見されました。 ログ表示を見ると、ウイルスの名前は「JS_NOCLOSE.E」というもので、処理は「駆除できません」でした。(2つとも同じ) 場所を探してみたのですが、表示されているフォルダもファイルもありません。 隠しフォルダなどもすべて表示にするにしても見当たりませんでしたので、スタートメニューからファイルの検索を行い別の場所にその感染しているファイルを見つけました。 それを削除したのですが、それだけいいのか心配です。 念のため、トレンドマイクロのオンライン上の最新のウイルススキャンをかけてみましたが、ウイルスは発見されませんでした。 ほっておいても大丈夫なのでしょうか。 よろしくお願いします。

  • 会社ではどのようにウイルスからサーバを守ればいいでしょうか

    一般に会社ではどのようにしてサーバをウイルスから守っているのでしょうか? サーバに「ウイルス」ソフトを入れているのでしょうか?(なるべく負荷の関係からそのようなことはしたくありませんが) あるいは、自社ネットワークからインターネットに出るルータ部分にファイヤーオール機器(ウイルス除去する)ものを入れているのでしょうか? ただ、それをしても、FDから感染されてしまいますので、各PCにもウイルス駆除ソフトを入れてるのでしょうか? とにかく、ファイルサーバだけは絶対に守りたいです。

  • サーバーでウイルスが見つかったとき、まず対処としてどうすれば良いのでし

    サーバーでウイルスが見つかったとき、まず対処としてどうすれば良いのでしょうか? 管理会社が土日が休みのため管理会社と連絡がつきません。 ファイルの特定の仕方、削除も含め対処方法を教えてください。

  • 2000serverなんですが、ウィルスが・・・

    OSが2000serverなので、server protectを入れたので安心!とおもいきや、こないだsasserに感染して以来ウィルスにどんどん感染してるような気がします。 自動で削除するのかと思ったら、全然削除してなくて手動スキャンすると12件とかウィルスが検出されたりします。 危ないページとかにはまったく行ってないし、ほとんど電源つけてるだけの状態なんですが何か原因が考えられたら教えていただけると助かります。 いまいちserver protectの使い方が分かってないんだと思いますが、右下にノートンやウィルスバスターの洋に自動で居ないような気がします。 これが原因でしょうか? 代わりにパターンファイルとかいうのがいつも居ます。

  • ウィルスメールのサーバーのコピー

    アウトルックエクスプレスでYAHOO!のメールを管理してます。最近よくウィルスメールが来るようになりました。アンチウィルスソフトが対応してくれてます。 疑問に思ったのですが、サーバーにメールのコピーを残すように設定していると、 ウィルスメールが開封済みの状態でそこにあるわけですよね? 感染する時はサーバーでメールを開封しようが、感染すると聞いたことがありますが、 開封済みのメールがあるサーバーの受信箱を開いても大丈夫なのでしょうか? あと、ウィルスメール(添付ファイル有り)と同じ時間に、自分のアドレスから英文のタイトルのメールが(添付ファイルなし)来るのですが、 あれは不達メールのお知らせと同じようなもので、ウィルスメールですよってお知らせなんでしょうか?恐ろしくて見ないですぐに捨ててます。 タイトルははっきり覚えてないのですが、見ても平気なものですか? 1つだけでもいいのでよろしくお願いします。

  • このウイルスはどこから来てるの!?

    こんにちは。 分かる方教えて欲しいのですが、現在会社にWindowsXPのPCが4台あるのですが、すべてのPCにウイルスバスターを導入しています。(もちろん日々最新状態に更新しています)更にウイルスメール自体がPCに届かないようにする為にレンタルサーバーのオプションでウイルスチェック機能も使っているのですが、削除されずに毎日PCにウイルスがやって来ます。(かろうじてその都度ウイルスバスターで駆除はできているのですが)なぜウイルスチェック機能でサーバーでウイルスが削除されないのですか?とレンタルサーバーの管理会社に問い合わせた所、同じサーバー内から出るウイルスは削除できません。という答えが返って来ました。つまり、うちの会社のPCのどれかが感染しているという事らしいのです。しかし!1日1回は全PCをウイルスバスターでウイルスチェックしているのですがウイルスが発見された事がありません。そこでトレンドマイクロに問い合わせた所、ウイルス検索をして発見されなければウイルスには感染していません。という答えが返って来ました。確かに深夜や会社が休みの日など会社のPCが全てダウンしている最中でもウイルスはやって来ます。では、一体このサーバーで削除されないウイルスはどこから来ているのでしょうか???誰か分かる方教えて下さい!ちなにみやって来るウイルスは「ネットスカイP」と「ネットスカイQ」と「マイドームL」の3種類が主です。

  • JS_GUMBLAR.ERKというウイルスについて

    ウイルスバスター2009で「ファイルが隔離されました 脅威名 トロイの木馬」とポップアップ表示されました。 ログを見ると「JS_GUMBLAR.ERK」というウイルスに感染していたようです。 調べてもよく分からないことがあるのでいくつか質問させてください。 ・ウイルスバスターのサイトによるとこのウイルスの発見日は2009年6月10日とあるのですが、 感染する前にブロックなどはできないものなのでしょうか? ・ポップアップ表示では脅威名トロイの木馬と表示されたのですが、 隔離ファイルを見るとトロイの木馬隔離ではなくウイルス隔離の方に隔離されていました。 このウイルスはトロイの木馬ではないのでしょうか?(ZENOウイルス?とも言われているらしいですが違いがよく分かりません) ・一応ファイル削除はしたのですが今後PCが不調になったりする可能性はありますか? ウイルスに感染したのが初めてでおかしな事を言っているかもしれませんが宜しくお願い致します。

  • IEキャッシュが感染している=サーバーが感染している?

    こちらでの質問は、今回で2度目になります。要領を心得ておりませんが、お付き合いの程、よろしくお願い致します。 私は普段、ウィルス対策に「NOD32」を使用しているのですが、本日、シマンテック社のオンラインウィルスチェックを実行致しました。 その結果、IEの一時ファイルにウィルス感染ファイルが発見されました。ウィルス名は「Unix.Penguin 」です。 私はWindowsユーザーなので発症しないようですが、ハードディスクの全てのファイルのうち、IEの一時ファイルの一つにだけ感染があったということは、そのファイルが感染源と考えて良いのでしょうか? その場合、そのファイルが存在する(送信した)サーバーがウィルスに感染していると言うことになるのでしょうか? ご検出の可能性もあるかも知れませんが、以上が、質問内容になります。 尚、このウィルスに関しては、こちらのサイトにて、既に質問が出されていますが、私とは質問の趣旨が異なると考え、新たな質問として投稿致しました。 こちらが、その質問になります。↓ http://okwave.jp/kotaeru.php3?q=1937026 http://okwave.jp/kotaeru.php3?q=1623996 検出されたウィルス「Unix.Penguin」に関してシマンテック社の見解は、このようになっております。↓ http://www.symantec.com/region/jp/sarcj/data/u/unix.penguin.html 今回検出されたウィルスに関して「2ちゃんねる」で誤検出が流行っていたとの書き込みも見ましたが、私のPC内で発見されたキャッシュファイルは、「2ちゃんねる」のものではありませんでした。 また、当サイトの過去ログを参照し、検出されたウィルスは既に削除いたしました。

  • ウイルス被害について

    仕事用のMACでウイルスチェッカーをかけたところ、下記のウイルスの感染が発見されました。色々と不安なことがあるので下記の点についてご教授いただけますでしょうか TROJ_PANDEX.ROY BKDR_AGENT.ALSO BKRD_AGENT.ALSN TROJ_SHEUR.CFA TORJ_RENOS.ASF 1.LANでローカルネットワーク上にいるWinマシンに、MACから感染する事はありますか?Winマシンへのファイルの移動、展開等はしていません。 2.感染ファイルが発見されたMACで、感染していないファイルなど(別階層にある)をサーバにFTPしても、そのサーバになにかしらウィルス感染が及ぶことは在りますか? 3.MACではウイルスは走らないようですが、メールの送信で他に感染が及ぶことはありませんでしょうか? 以上、よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する