ウイルスに感染しない為に<サイト管理者用>

2010年01月20日 10:20

ウイルス情報を調べていて知ったのですが、
ヤフー占いのページの一部でも、
ウイルスが見つかっていたようですね…おそろしや。
有名で人気の占い師さんのページだったそうです。


いつ、どこで感染するかわからないWebウイルス。
サイト管理者は、自分のサイトが感染源に利用されない為にも、
十分な注意が必要かと思います。

というわけで、今さらながら、ウイルス情報チェック中。

とりあえず、このサイトが分かりやすいから、熟読中です。


まず、すること
1.サイト管理パソコンで、まずする事は、感染の有無のチェック。
  ガンブラーのターゲットは、2000とXPのようですが、
  そんなの、いつ変わるか分からないですもんね。
    

2.自分のサイトのソースを全ページチェック。

  ※感染している場合の症状

  ・.htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に
   覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)
   が埋め込まれる

  ※5月下旬より、新型としてhtmlファイルのbodyタグ 以 降 に
   javascriptが埋め込まれる、別ウイルスの存在も確認されています。
   ウイルス参考画像
  ・「images」ディレクトリ内に「images.php」というファイルが生成される
    

パソコンが幸い感染していなかったら
1.とりあえず、正常な状態でバックアップ

  感染したら、リカバリです…全てが消えてしまいます。
  バックアップさえ取っておけば、そこまでのデータは残るのですから、
  面倒くさがらずにしておいた方が、自分の為ですね。

2.WindowsUpdateを最新にする

  ウイルスは、どんどん進化しているようです。
  パソコンの守りも最新版にしておかなくては…。

3.ファイアウォールを有効にし、以下のIPを遮断する

 gumbler.cn
  94.229.65.160/27(94.229.65.160 - 94.229.65.191)
 zlkon.lv:
  94.247.2.0/23 (94.247.2.0 - 94.247.3.255)
 martuz.cn
  95.129.145.58
  95.129.144.0/23 (95.129.144.0-95.129.145.255)
 Botnet C&C BackDoor Connection
  78.109.29.112

あぁ…どうしよう、わかんない(涙)

とりあえず、コピペ。あとでじっくり読もう…。
  ※ avast!にはファイアウォール機能が備わっていないため、
  IP遮断には別途ファイアウォールを導入する必要があります。
  またファイアウォールによってはIP遮断ができないものもあるので、
  その場合にもIP遮断のできるファイアウォールの導入をおすすめします。
  → フリーのファイアウォール
    ●ZoneAlarm
      http://download.zonealarm.com/bin/free/jp/download/znalm.html
    ●PC Tools Firewall Plus
      http://www.pctools.com/jp/firewall/
    ●Comodo Firewall Pro
      http://personalfirewall.comodo.com/download_firewall.html
      参考:Comodo Firewall Pro @ まとめWiki
      http://www4.atwiki.jp/comodopf/

4.adobe製品(AcrobatReader,FlashPlayer等)を最新のバージョンに更新する
  これは、どこでも強く言われていますね。

  AdobeReaderは、今現在の最新版は[9.3.0]でした。
   アップデートの仕方は、
    AdobeReaderを起動>ヘルプ>アップデートの有無をチェック

  FlashPlayerは各ブラウザごとにアップデートが必要なんだそうです
  
  ところで、恐ろしい事に、「FlashPlayer10」の偽サイトがあるんだそうです。
  本物そっくりだそうで、逆にウイルスに感染させられるかもしれません。

  Adobe公式サイト→ダウンロード→FlashPlayer の手順で進み、
  必ずURLを確認するようにしましょう。

5.Adobe Acrobat Readerの JavaScript 機能OFF

 (1)Adobe Readerを起動>「編集」>「環境設定」

  「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
   OKを押して設定確定後、Adobe Readerを終了。

 (2)必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
  設定は SpeedUp - Fast がおすすめ。
   注意すべきは
   Acroform(拡張子なし)
   Annotations(拡張子なし)
   これら2つのチェックボックスをオン(チェックが入っている)状態に
   しておく必要がある。
   そうしないと Adobe Reader が起動しなかったりする。

   このとき追加作業として
   EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態に
   しておくとより安心かもしれない。

   (2)はまだやっていないなぁ…。


そして…。

感染してしまったら

 ※絶対に感染したPCで感染したサイトのクリーンアップを行わないこと。
 ※感染しているかもしれないローカルなPCのクリーンアップが先。

 ★つまり順番としては【サイト削除→PC初期化→FTPパス変更】


以下、コピペ。

【これ以上感染者を増やさない】ことが重要ですので、
1.サイトの消去・あるいはバーチャルホストの停止
2.感染していないことが確認出来るPCを探す
3.感染していないPCでのFTP等のパスワードの変更
4.感染していないPCでサイトへの告知(拡散防止のため)
5.感染PCのバックアップ
6.感染したPCの初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)
  を実行
7.PCが完全にクリーニングされていることの確認
8.サイト再開への準備

感染していないことが確認できるPCがない場合は、
7.まではFTP等にも触れず、サイト上で事情報告をすることも避けておきましょう。

※1 必要なファイルやID/パスワードは、再インストールの前にバックアップを取っておく
※2 再インストール後もマルウェアの影響が残る可能性があるので、HTMLファイルのバックアップには要注意
(「インターネット一時ファイル」は、感染源のキャッシュがあるので削除をしてください)
※3 一般的なマルウェア、スパイウェアへの感染に対処する場合は、spybotやAdAwareといったアンチスパイウェアソフトを導入することを推奨
スポンサーサイト


コメント

    コメントの投稿

    (コメント編集・削除に必要)
    (管理者にだけ表示を許可する)

    トラックバック

    この記事のトラックバックURL
    http://yukimuku.blog71.fc2.com/tb.php/720-d60b60dd
    この記事へのトラックバック