imagesのフォルダ内にgifimg.phpを見つけ、背筋がゾッと・・

　10月12日のことになりますが、0時過ぎに私の運営するWebサイトのアップデートを行い、朝、また、アップデートしようとFTPでサーバー側のhtmファイルの時刻を見ると全て12日の午前4時台の時刻に変わっているのを目にしました。そしてimagesのフォルダの中を見ると、gifimg.phpというファイルが同様の時刻で登録されていました。

　「FTPする際のIDとパスワードが盗まれ、改ざんされた！！」

　「ついに私のサイトも」と背中がゾッとなりました。パスワードの更新頻度が低かったのでしょうか・・。
　全てのimagesのフォルダ内に埋め込まれたgifimg.phpを削除し、パスワードを更新し、改ざんされたhtmファイルを全て復旧する作業を行なうことになりました。
　「ぜい弱性がある」という情報からAcrobatは対策されたものにアップデートしていたのですが、まだ、この改ざんの手口がつかめていません。少しでもリスクを減らそうと、FTPのアプリケーションプログラムとしてNextFTPを使い、パスワードは登録して使っていましたが、毎回、入力する方法に変更しました。時間をとってこのWebサイトの改ざんの手口について調べなければならないと思うのですが・・（まだ、日本のGoogleではこれに関する参考となる情報は検索できていません）

現在、私が被害にあったのと同様に多数のWebサイトが改ざんされ、それに気付かれずに運営されている

という恐ろしい事態が進行していることに気付かされました。全てのホスティングサービスを行っている事業者やプロバイダがそのWebサービスを利用しているユーザーに

「緊急事態通報」

を出す必要があるのではないかと思い至らせました。
　この分野の専門家でない私の現在の対策は上記のパスワードに対するものと、運営するWebサイト内のファイルの更新日を定期的にチェックして異常がないかを確認するという、少々、ローテクな方法となっています。


【関連情報】（追記）
新種の「Gumblar」PHPウイルスがはやっています - オノコロ こころ定めて - Yahoo!ブログ
http://blogs.yahoo.co.jp/umayado17/59853513.html

コメント 4

初めまして！
私も運営するサイト４つに、imagesフォルダなどにgifimg.phpが入っていました。

上に書いてあったとおりパスワードなどを、そのつど入力するようにしました。
良い対策等あったら宜しかったら教えてください☆

よろしくお願い致します！
by J氏 (2009-11-13 20:41) 

　残念ながら私の知識では上記のローテクな対応と下記のblogに記載の悪用するソフトウェアのぜい弱性への対応が精いっぱいで、J氏さんと同様、都度、対策情報はないかと調べているところです。

-------------------
新種「Gumblar.x」PHPウイルス 11月4日再始動！ - オノコロ こころ定めて - Yahoo!ブログ
http://blogs.yahoo.co.jp/umayado17/59899684.html

by robotic-person (2009-11-14 00:22) 

robotic-personさんご返信ありがとうございます！
先程、私もサーバパスワードを変更してみました☆

ブログのご紹介ありがとうございます！読んで見ます☆
by J氏 (2009-11-14 00:56) 

利用しているファーストサーバから11月19日付けの下記のメールがありました。紹介された対策の内容、根本的な対策となるものはありませんが、参考となります。

【重要】不正アクセスによるWEB改ざん被害について
http://support.fsv.jp/info/im20090427_01.html

by robotic-person (2009-11-19 21:08)