【重要】Gumblar.x感染に関して

今月、Gublar.xによるものと思われるPCの不具合により、FTPパスワードを盗まれ、海外から当サイトの記事への改ざんが行われてしまいました。

以下が不正にアクセスされた時間帯です。
最初に改ざんが起こったのは、10月12日の19時ごろですが、アクセス解析の管理画面が実行エラーになり、すぐに改ざんに気づきました。
ただし、この時はパスワードが盗まれているとは知らず、FTPソフトからダウンロードして、バックアップと照らし合わせて元の状態に戻しました。

不正アクセスの痕跡
IPアドレス 種類 ログイン時間 ログアウト時間
208.43.209.186 FTP 2009/10/20 17:35:35 2009/10/20 17:56:16
208.43.209.186 FTP 2009/10/20 17:28:26 2009/10/20 17:42:21
208.43.209.186 FTP 2009/10/20 17:05:08 2009/10/20 17:34:57
66.7.201.206 FTP 2009/10/16 17:54:35 2009/10/16 18:05:39
74.54.218.66 FTP 2009/10/14 09:14:45 2009/10/14 09:17:42
74.53.143.50 FTP 2009/10/12 18:47:27 2009/10/12 19:49:47

休止中のお知らせにも書きましたが、この期間に当ブログ、または当ドメイン以下のどこかのページを見たという方は、ご自分のPCが感染していないかどうか、最新のウィルス定義をダウンロードしてチェックをしてくださいませ。

その後、用心のために2回パスワードを変更(14日と16日)しましたが、見事に直後にまた改ざんされ、サイトを一時休止する事にしました。
20日の3回のアクセスは、まさにその攻撃中に私もアクセス中で、急いでサイト休止のための措置を行っている最中の改ざんでした。

色々と調べた結果、Gumblarの亜種がまた台頭しているとわかり、私も12日の直前に感染サイトを閲覧したのであろうという結論に達しました。
webコンテンツを管理していたPCは古いものだったので、クリーンインストールが難しい為、ネットからは切り離し、廃棄することにしました。

現在は完全ウィルスチェックを行った新しいPCから管理を行っていますが、20日にサイトを休止して以来、FTPによる他者からの改ざんは一切行われていません。
また、FTPクライアントソフトからの接続にはSFTPプロトコルを使用し、ソフトへのパスワード保存も行っていません。

webサイト閲覧に関しては、FirefoxとNoScriptというアドオンを使い、再感染を防いでいます。
もちろん、それで万全とはいえませんのでウィルスチェックのソフトにもしっかり監視してもらっています。

というわけで、恐る恐るですが、本日よりサイトの再開に踏み切りました。

なお、私が利用しているさくらインターネットのレンタルサーバーはSFTP接続ができますが、サービスによってはSFTPができないところもあるようですので、Gumblar.xのようなマルウェアに対して万全を期するならば、サーバー移転も考慮した方がよいと感じました。

このエントリーを含むはてなブックマークはてなブックマーク - 【重要】Gumblar.x感染に関して @niftyクリップに追加 FC2ブックマークへ追加 Googleブックマークに追加 Bookmark this on Delicious Digg This BuzzurlにブックマークBuzzurlにブックマーク Share on Tumblr FriendFeedで共有 このエントリをつぶやくこのWebページのtweets