このページは、2005年8月後半から2010年12月までのアーカイブです。
2005年8月後半から2010年12月までのアーカイブトップへ
現在のトップページへ

初体験、ガンブラー被害とその後始末(長文)

Nagi
   2010.02.23 14:19

先日、以前手掛けた知り合いのブログが見れなくなったと連絡を受けたので確認したところ、見慣れないソースコードが差し込まれていた。

先方で何かブログパーツでも追加して、必要なソースコードを消してしまったのかと思い、プログラムファイルを上書きしてデータベースの更新をしたら無事に表示されたので、一件落着かと思いきや・・・。
翌日の朝。またブログが見れなくなっている。
昨日消したハズの見慣れないソースコードが、またページに入ってる!

(ガンブラーに改変されたa-blogのjsファイル)
gumbler03.gif
(こっちもガンブラーに改変されたjavascript.js)
gumbler01.gif

(a-blogのデザイン用テンプレート。titleタグの上のjavascript.jsのところがブラウザで見ると上の画像の有害スクリプトに置き換わる)
gumbler02.gif

よくよく調べてみるとガンブラーの入れたソースコードだった。
ブラウザで改変されたファイルを開くと、有害サイトへリンクが貼ってあると警告が出てアクセスブロックされた。

(ちなみにa-blogはphpであれこれ読み込んで表示しているせいか、ウィルスでどこかの呼び出しが切れ、トップページは白紙になった。ウィルスの拡散予防には効果的?)

ついこの前、最近話題のガンブラー型ウィルス予防法を日記に書いたあとだったので、たぶんコチラには感染しなかったと思うんだけど、ガンブラーはウィルス検索ソフトに耐性(ウィルスソフトの動きを止めたり、検索されそうになると自動消滅したり)があるそうなので、過信はできない。
今回該当サイトのFTPパスワードを持っていたのはワタシを含めて3人。そしてウィルス検索をしても、誰のPCからもウィルスが検出されなかった。

問題のサイトの更新時間を見ると、日本時間の朝4時とか5時に更新されていたことと、アクセスログを見ても突出したアクセスがない点から、手当たり次第の攻撃ではなく、巡回ソフトのようなもので1日1回とか目立たないように不正アクセスされた可能性がある。

参考までに、実際にどのような攻撃を受けるかは、シマンテックの「セキュリティ脅威最前線」のページ真ん中にある「Gumblar (ガンブラー) とは?Web 攻撃を解説」のところにある「web攻撃解説を見る(PDF)」を確認。というか、ホームページを運営している人は必読。
怪しいサイトを見ないからウィルスなんて大丈夫、という時代ではないのですよ。
もうパンデミック状態。

今回はファイルの改変だけでなく、画像のあるディレクトリに意味不明のPHPファイルができていた。
エンコードされているようなので、テキストエディタで開いても意味不明。
ブラウザで開けば見えるかな?と、開いてみると「404 not found」だけ表示される。
有害サイトへのリンクが貼ってあったけれど、すでにそっちのサイトが閉鎖されていてリンクが切れたという意味か?それともウィルスの偽装?

上記に上げたシマンテックのPDFの説明によると

「この不明瞭化されたコードが Web ブラウザで実行されると、コードは自分自身をデコードし、上記のリダイレクション(www.example.com)を生成します。デコードが終わると、ブラウザは自動的にリンクに従って悪質 Web サイトに接続します。攻撃者はこのような不明瞭化技法を使用して、攻撃を隠匿する場合があります。 この技法が使われると、従来のシグネチャに基づくウイルス対策によってユーザーのコンピュータ上で攻撃を検出し遮断することが、きわめて困難になります。」

というところがまさにドンピシャ。
これを開いたときにウィルスソフトのブロックは出なかったけれど、ファイル開いちゃダメだったかも???大丈夫だよね~;;
怪しいファイルは開いちゃダメだって、そんなの基本でしょ~が;;

とりあえず、自分のPCのウィルスソフトだけでなく、複数のオンラインウィルススキャンサービスを受け、アップデートしてないソフトが無いか調べまくりました。
他の対策は、ここのページが参考になりました。
ホームページからの感染を防ぐためには
普段使ってないブラウザのキャッシュまでクリアしましたよ。

その後、ガンブラー対策を調べるために読売のページを見つけましたが、「感染源はウェブサイト制作会社?」のところ、すっげ~怖いんですけど;;

ウェブ制作者のみなさん、以前手掛けたけれど今は関わっていないサイトのFTP情報とか消してます?
ワタシはFFFTPやDWにそのまんま残ってたんですが、(何年か後に更新を頼まれたりするので)もう速攻で消しました。

他の業者さんが、どのような対策を取っているのかググってみると、「ウェブサイト運営者が行うべき対策」を見つけた。

FFFTPにそんな騒ぎがあったとは・・・。これからFTPどうやるんだよ~;;
とりあえずFFFTPも最新バージョンに上書き。

ウチはチカッパを使っているので、ガンブラー騒動でFTPソフトをFileZilla に乗り換えるようアナウンスがあったけれど

「FileZilla はパスワードをXMLに平文で保存しているため、パスワードは保存しないこと。」

これを見ちゃうと、FileZillaもちょっと考えちゃうなあ。

・・・っていうかDWはどうなの。
高いソフトのくせに、FTPSが使えないとはどういうことだ!
SFTPしか使えませんだとぅ?チカッパはSSHに対応してませんよ。サーバー乗り換えろってのか。

・・・う~ん、それも一案。
自分のサイトはもとより、お客さんに迷惑かかるのはかなり真剣にマズイわよ。

これからパスワードは「紙」で保存しておく・・・といいかも。
付箋でPCのウィンドウに貼っておくとか。PC初心者の笑い話でなく、マジで。

ダメ?

余談:昔のドリはパーミッションの変更がコマンドラインだったからFFFTPを併用していた人が多かったと思うんですが、今のバージョンだとリモートにあるファイルを右クリックすると「権限の変更」が出るんですよ。
これは便利!みなさん知ってました?