xreaでまたウィルス疑惑? grepで自分のサイトをチェック
去年の6月ころに自動挿入広告のサーバがハッキングされてウィルス被害を発生させたホスティングサービスのxreaですが、今回新たにwebサイトの直接改竄という手口でウィルス被害が発生しているらしいです。
xrea公式サポートフォーラム
今のところxrea側の見解は「スクリプト経由で改竄されている可能性が高い」、というはっきりしたものではないため原因は特定できませんが、自分のサイトが改竄されているのではと不安に思っている方は下記の手法で確認をする事ができます。
自分のサイトが改竄されているか確認するには、xreaのサーバにシェルログインしてgrepというコマンドを実行して特定の文字列がファイルに存在していないか検索を行います。
まず、以下のページを参考にご自分のxreaサーバにシェルログインして下さい。
ログインできましたら以下を例にコマンドを実行して悪意あるコードが埋め込まれていないか検索を行ってください。(実際にコマンドを実行する前に「grep」などで検索し、grepコマンドがどういうものか確認した後に自己責任で実行して下さい。)
grep -i -r -l ‘1039045744′ ./
‘ で囲まれた部分は悪意ある部外者によって挿入されるコードの特徴的な部分を記入してください。今回の場合は ‘1039045744′ としています。
‘ で囲まれた文字列に一致する箇所のあるファイルが全て表示されます。もし一つでもファイル名が表示されたら、そのファイルをテキストエディタなどで開いて 中身を確認してください。ファイル数によりますが、処理には数分かかる場合があります。もし処理が途中でxrea側から中断されるような場合には、下記の 様にディレクトリ毎にgrepを実行して下さい。
grep -i -r -l ‘1039045744′ ./public_html/ディレクトリ名
何も表示されなかったらファイルの改竄はされていません。(但し6月に起きたような外部のサーバが改竄されて、それを呼び出すような手法の場合は検知できません。また原因が特定されない限り今後も改竄されないとは限りません。)
あと自衛策として、使用しているCGIやCMSなどの最新バージョンを確認してアップデートする事と、FTPのパスワードやDBパスワードなどの変更をこれを機会に行ってください。(この二つは特に問題が起きなくとも、定期的にすべき事柄です。)
