2010年2月27日
投稿者:Makoto Jo 
【はじめに】
先月、取引先のサイトがウイルス(Malware)の被害に遭った。突然現れるWarningのメッセージは結構インパクトがあり、当然のことながら緊急対処を迫られる。 因みにこのメッセージはブラウザーによって表示されたりされなかったりするのだが、今回はウイルス被害者の方々の参考になるように修理方法や対処方法などを解説してみたい。
| マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なソフトウェアの総称である。マルウェアには、様々な脅威が含まれる。マルウェアの例としては、コード、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス (BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なhttp://ja.wikipedia.org/wiki/マルウェア[1]、ミスリーディングアプリケーションなどがある[2][3][4][5]。日本では、「悪意のある不正ソフトウェア」または「不正プログラム」とも呼ばれる[6]。 出典: フリー百科事典『ウィキペディア(Wikipedia)』http://ja.wikipedia.org/wiki/マルウェア |
1.先ずは全てのファイルをサーバーからダウンロードし取り去る*1。 ダウンロードする際には作業時間を短縮するためにいらないファイルは消してしまおう。
*1 私は public_html を public_html_infected という風にフォルダーごとアクセスできないようにした。そして、新しくpublic_htmlフォルダーを作り Under Maintenanceのページを置くことにした。そうすることによってGoogle側への報告が早く又確実なものになるからである。先ずはWarningメッセージを取り去ることが第一、サイトの修復はその後で良い。
public_html_infected をフォルダーごとダウンロードはじめよう。ダウンロードしている間に次の作業に移る。
2.Warningメッセージを取り去る為にはGoogleにコードリビューをお願いしなければならない。それにはGoogle Webmaster tools にアカウントを作る必要がある。 又、Verification用のファイル又はコードをサーバーにUPする必要がある。ウイルスが検出されなければ上記の赤い画面は表示されなくなる。 これでホッと一息つける。
https://www.google.com/webmasters/tools
https://www.google.com/webmasters/tools/reconsideration
こんな感じのメッセージを送った。
I have removed all files from my server except fresh “Under Maintenance” index.html page. please review my site.
3.さてダウンロードしたサイトのコードを調べる。 私の場合はDreamweaverのFind and Replace機能を使って怪しいコードを検索した。
4.以下がいわゆる ウイルス (malware malicious code) といわれるものだが、サイトをダウンロードしDreamweaverでスキャンしたら150ものファイルが感染している・・・。 そうです。ウイルスというものは困ったことに自己増殖するんですね。
5.基本的には怪しいコードの一部を使っての検索、そしてその全文の一括削除を繰り返す。疑い深く何度も繰り返し発見しては削除を繰り返すのがポイントだ。大体5~10回ぐらいこのパターンを繰り返し、怪しいコードの部分検索をかなり絞り込んで行っても何も出てこなければ完了と言える。
怪しいコードの部分検索というのは例えばこういった文字列の検索である。
slcUr
3ilp
UtU
s1ePt
PAzt
1t1rG
iPb1u
1tGez
/[zGPq1]/
/[VO*qH]/
index.phpファイルは特にやられやすいので、丹念に調べる目視でも確認する必要がある。ウイルスは大体コードの一番頭か後ろについてくる。
6.全てのファイルが綺麗になったらそのファイルをFTPでアップロードする。動作確認をして完了だが、再び感染しないように防御策を講じる必要がある。具体的にはファイルやホルダーのパーミッションをしっかりと設定する。フォルダーなら755、ファイルなら644のパーミッション設定が標準だが、人によって見解の相違があるようだ。 しかし、間違ってもindex.phpやconfig.phpといったファイルを777のパーミッション設定にしてはいけない。フォルダーのディレクトリーも閲覧できないようにしたり、.htaccess でアクセス制限を加える方法もある。
又、ウイルスはトロイの木馬のようなウイルスがPCに感染し、そこからFTP等のアクセス情報を盗むケースも報告されているので、PCのウイルススキャンは必須である。私が使っているのはAVG Anti-Virus と Malwarebytes。 こちらのサイトからダウンロード可能だ。
http://download.cnet.com/windows/security-software/?tag=rb_content;contentNav
特定のファイルをスキャンしたい場合はこちらのサイトを使うのもいい。
Jotti’s malware scan
http://virusscan.jotti.org/en
【最後に】
Websiteのウイルス及びセキュリティー対策は今や必須のものとなっている。大規模なサイトでセキュリティー対策予算が付くならば、迷わず専門家に相談することをお奨めする。問題が起こってからの対処では予防に必要な費用の何倍もかかるだけでなく、ビジネスを行っているサイト(基本的に全ての商用サイトがそうであるが)であれば会社の信用に傷が付きかねない。サービスも数日に渡って停止する可能性も高いし、そこから生じるストレスも相当なものになる。
そういった予防のための予算が付かない場合でも1日時間をとって最低でも次のことはしておこう。
- サーバー内に不必要なファイルがあれば削除し、サーバー内を整理整頓しておく。
- ファイルとデータベースのバックアップは必ずとっておく。
- フォルダーとファイルのパーミッションは必要箇所以外777にしない。
- 問題が起こった時パニックにならないように、リカバリーマニュアルを作っておく。
Websiteのセキュリティー対策をしたい、ウイルス被害に遭っているので何とかしてもらいたい方は是非弊社までご連絡下さい。
Tags: ウイルス
