ADMIN TITLE LIST
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


--/--/--(--) --:--
スポンサー広告
えー、IT業界歴がそれなりに長くなってきた自分としては、非っ常~に不本意というか、悔しくて仕方ないのですが、ヤラれました、久々に。
#何気に、ウィルス感染は3度目ぐらいかも。。。ダメダメじゃん、自分。。。(>_<)

今回、いろんな情報を入手させていただいたUnderForge of Lackさんのところで紹介されてた記事ぐらいしかニュースになってないようなので、リンク貼っときます。

多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」

私はこのニュースで取り上げられているリンクは一度も踏んだことがないので、Ope情報収集の過程で踏んだ、海外のどっかのサイトにヤラれた可能性が高いと思ってます。

このウィルスの怖いところは、「Adobe Reader」と「Adobe Flash Player」が最新の状態になってないブラウザでサイトを閲覧すると、ほぼ絶対感染&復旧するにはPCのリカバリしかない、というところです。
#Macはどうか知らないけど、Windowsの場合、IEでもFFでも感染します。

4/10頃から、なーんかFirefoxがしょっちゅうクラッシュするなぁ、、、とは思ってたんですが、アドオンのせいかなんかだろうと思って、特に気にしてなかったんですよ。(←致命的だったポイントその1。)

で、何度かPC再起動したりしてたんですが、それがさらにウィルスの状況を深刻化させていたようです。

しまいには、今、自分が構築中のサイトにFTP接続してファイルの上げ下げとかやっちゃったんですね。(←致命的だったポイントその2。)

会社の同僚に「FTP使ってた」と言った瞬間、「ばっかじゃないの?!」と怒られました、、、ええ、ええ、馬鹿ですよ、私は。。。(号泣)

要は、FTPって、暗号化されてない通信なので、ネットに情報がだだ漏れになっちゃうんですね。

後でわかったことですが、自分がFTP接続をクローズした数時間後に、サーバに置いてあった数十のPHPファイルが見事、書き換えられてました。。。(怖)
#ぱっと見、それとわからないような巧妙な手口で(replaceとかいろいろ駆使して)ラトビアのサーバにリダイレクトされるscriptが埋め込まれてました。。。

で、ようやく自分が感染してることに気づいたのは、自分で自分のサイトにアクセスして、WordpressのPHPがうまく動かなかったので調べたら、変なIPアドレスを発見したから、だったのでした。。。(←遅いよ!)

しかし、avast!(ウィルス対策ソフト)で検索しても、ウィルスと断定されるようなファイルは見つからず(一応、マルウェアとかそんな感じで怪しいのは引っ掛かったけど)、2ちゃんとか、いろいろ検索しまくって、a-squaredっていうマルウェア検知ソフトでようやくトロイの木馬の疑いあり、と表示されるぐらい。

Windowsのレジストリは当然書き換わってて、ウィルスが書き換えるらしいヘルプファイルを削除しても、ネットワークケーブルを挿すたびに何度も消したはずのレジストリが蘇る。(怖!)

セーフモードにしてComboFixっていうレジストリクリーンソフトをかけたら、ようやくC:\Windows直下に怪しいexeファイルが見つかった。
しかも、このComboFixがexeファイルを検知後、完全削除する前に一旦、検疫フォルダにリネームして移動させてたんだけど、その動きまで読み取ってレジストリ書き換えてた(怖!)から、相っ当、ズル賢いよ、このウィルス!!!

このexeファイルを完全削除してからはブラウザも落ちなくなったし、scrobbleした楽曲データのアップロードに失敗してたNapster Scrobblerもちゃんと動きだしたし、実はずっと失敗してたavast!の自動アップデートもちゃんと動くようになったんだけど、もう、なんか、気持ち悪くて仕方ない。
丸1日以上かかって全HDDのウィルス&マルウェアをディープスキャンして、何も引っ掛からなくなったけど。。。

ので、今日、データのバックアップとって、PCのリカバリしました。
ほんっと、ちょー時間かかったけど、自業自得だからな。。。

これでクライアントは片付いたけど、問題はサーバの方。

勝手に上書きされたファイルはタイムスタンプが変わってたので一目瞭然で、全部上書きして、ウィルスチェックかけて、リカバリする前のPCで、再感染しないかどうかのチェックもしたけど、いつまた乗っ取られるんじゃないかと思うと気が気じゃない。

とりあえずFTP使うのはやめて、SFTP使うことにしたけど、それは基本中の基本として、あとは自分で自分のサイトの脆弱性をチェックするしかないな。。。
復活したサイトがまた数日以内に乗っ取られたりしてるみたいだし。。。(怖!)

・・・ぶっちゃけ、ここまでネットの怖さを身につまされたのは、今回が初めてかもしれない。
しばらくはJavaScript切った状態でネットサーフィンしないと不安で仕方ないもん。。。

ここ最近、仕事でもシステムトラブル続きだったし、なんか、脇が甘い自分にITの神様が「もっといろいろ気をつけて行動せなアカンよ!」って忠告してくれてるのかしら。。。

せめてもの救いは、サイトがまだBasic認証かかってて、広く公開されてなかったこと。
もし自分のサイトのせいで、いろんな人に感染させた、なんてことになったら、まじ死刑ですよ、私。。。
あああ、もう、ほんと、想像するだけで怖い。(>_<)

まだまだ修行が足りませんわ。。。

皆さんも、いつどこで感染するかわからないので、「Adobe Reader」と「Adobe Flash Player」のアップデート、忘れずにやっといてくださいね。
関連記事

2009/04/19(Sun) 03:40
Diary of a Madwoman | trackBack(0) | Comments(3)



ついったーでウイルスに感染したって書いてましたけど、こんな悪質なウイルスいるんですね>_<
あんまりパソコンに詳しくない自分にしてみたら戦慄の一言ですわ。
お大事にです。
【2009/04/20 01:01】 URL | abuser #-[ 編集]

オツカレーv-17
ワタシもShieldがなに話してんだかサッパリ…
とりあえず、なんでも最新の状態を保ちます。

おまい、かっこいいぞv-22
【2009/04/20 02:47】 URL | JEDI #UjV6wXp.[ 編集]

相変わらずレス遅くてスミマセン(汗)

>abuserさん
そうなんですよ。。。
abuserさんも、くれぐれも気をつけてください。
とりあえずPCリカバリしてからは調子いいです。
IPブロックツール入れたり、セキュリティ絶賛強化中です。


>JEDI
あーっと、そんな難しいこと言ってないんだけど、そう聞こえるかぁ。
そうね、何でも最新の状態にしとくのは間違ってない。
ウィルスチェックもマメにやってね。

かっこいいだなんて、照れるな(^^)
【2009/04/22 00:17】 URL | Shield #-[ 編集]















管理者にだけ表示を許可する



| HOME |

Design by mi104c.
Copyright © 2017 My Life As A Metaller, All rights reserved.

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。