和田憲幸のブログ

札幌市白石区在住、個人事業のWebエンジニア 和田憲幸(45歳)のブログです。

ホームページ改ざんのチェックと対策

JR東日本のホームページが改ざんされたのは記憶に新しいですが対岸の火事では無いようです。

2010-01-06 04:38:42
入力時間 / 11:34

ということでメールフォームの設置依頼をいただいたお客様のホームページが見事に改ざんされておりました。ひとまずすべてのPCをウィルス、スパイウェア、マルウェアチェック…。時間がかかるぜぇ…。とりあえずあたしのパソコンには感染が認められなかったのでほっと胸をなで下ろすも対岸の火事では無いんですね。

皆さん!!ちゃんとアップデートしてますか!現在猛威をふるっているGumblarウィルスはページを表示しただけで感染するスゴいやつです。豚インフルエンザも目じゃない!Adobe ReaderやFlash Playerの古いバージョンを使っていると感染します!ヤバいです!ちゃんとアップデートしてますか!?

またFTP情報もきちんと変更してますか!定期的に変更しないとあかんですよ!

ということで今回のJR東日本を襲ったGumblarウィルスの特徴を。
○ index.htmlを改ざんする。
○ 拡張子がjsのファイルを改ざんする。
○ /*GNU GPL*/というそれっぽいコメントが入っている。
というのが特徴です。で、怖いのでホームページを改ざんされたかチェックするCGIを書いてみました。いや、書いたという程のもんではないんですが。/*GNU GPL*/というコメントが入っているhtml又はjsファイルをピックアップするだけのスクリプトです。Webサーバの公開ルートにアップしてパーミッションを755にするとチェックできます。
ホームページが改ざんされたかチェックするスクリプト
※すべての改ざんをチェックするわけじゃありません!/*GNU GPL*/という文字をチェックするだけです!

とりあえず私が管理してるサイトやお客さんのサイトは大丈夫そうだったので一安心。マジで怖いですねぇ…。ウィルスやマルウェアなんてほんと対岸の火事でしたが、いざ身近でこういう事が起こると事の重大さをまざまざと思い知らされます。

とりあえず今日まずやることはAdobe ReaderとFlash Playerのアップデート!
Adobe Reader
Adobe Flash Player

つかこうやって考えると元凶Adobeじゃん…。この野郎!二度とCreativeSuite買わねぇ!
つーことでマジメな内容でしたがマジでアップデートとセキュリティ対策はしっかりやってね!

TAG

P.470

通りすがりさん
スクリプトの配布、ありがとうございます。さっそく自ら管理している3つ程のサイトをチェックしましたが、無傷でした。2010-01-06 10:55:30
和田
>通りすがりさま
決して万能ではないので気休め程度とお考えください!2010-01-07 07:26:45