ホーム > インターネット | コンピュータ > マルウェアのGumblarにやられて確認した最低限やっておくべきこといくつか

マルウェアのGumblarにやられて確認した最低限やっておくべきこといくつか

自分じゃないですが、お客さんのサイトがいつの間にかGumblarに感染していました。

被害が多発する「Gumblarウイルス」への対策を実施しよう

発覚の発端は、ある日突然サーバから403エラーメッセージが表示され、サイトのトップページにWebブラウザによるアクセスができなくなっていたことです。この時点では何が起こったのかよくわからず、とりあえずFTPで(このお客さんはロリポップを利用されていたので、その管理画面から)該当ファイル(index.html)を確認。

なぜかファイルのパーミッションがすべて0になっており、これが原因だったようです。とりあえず755に設定を変更し、目下の問題である403エラー(サイトのトップページにWebアクセスできない)は解消。

しかし、なぜそんなことになったのかが分からず気持ちが悪かったので色々と掘って行きました。

すると、どうやらGumblarに感染して被害を受けたようだとわかってきました。最近あまりニュースとかでも聞かないですが、まだまだ世界中で猛威をふるっている模様。自分の知人でもそれっぽい被害にあった人がいましたが、今回のように特定できるところまでは確認していなかったのでビックリ度が違います。日本国内ではホスティングサービスのロリポップやヘテムルなんかでもずいぶん被害があったようです。

ガンブラー(Gumblar)への対策をお願いいたします – ロリポップ!レンタルサーバー

レンタルサーバー「heteml」 – Gumblar(ガンブラー)への対策をお願いいたします

話は戻って、その被害にあったお客さんのサイトですが、トップページのindex.htmlに以下の記述が追加されていました。(お客さん側でやったことでもないし、こちらで埋め込んだものでもありません)

自分はMac OS Xなのでウイルス監視のアプリケーションは反応せず、気づかかなかったのですが(GumblarはWindowsをターゲットにしたものだそうで)同僚のWindowsマシンで同サイトを閲覧したところavast(ウイルス監視の)が反応してブロック。

とりあえず前述の怪しいiframeによる外部サイトの読み込み部分を削除でこのブロックは解消できたのですが、Gumblarらしいとわかったので、これだけでは怖くてこのまま放置しておけません。

現時点でのWebサイトのデータをローカルに全てダウンロードして、これをWindowsに転送。圧縮して転送したんですが、展開するとすぐにウイルスバスターが反応。怪しげなファイル(.phpファイル)を削除してくれました。

これで駆除も無事できたということで、サーバ上の既存のファイルをすべて削除し、処理を済ませたほうのデータをアップロードして、とりあえずこのトラブルは解消となったのですが、やはりこのへんの対策、日頃からの注意とういのは必須だなとあらためて実感しました。(Webデータの送受信もFTPはやめてFTPSへ変更)

あと、いまだに解明はできてないですが、ことの起こりの「index.html」のパーミッションがなぜか000になっていたのかは、ホスティング側の処理(自動での?)なのかなと。変な動きを(よろしくないと判断される)していたから、それを察知されてWebブラウザではアクセスできないパーミッションに変更されていたんじゃないかと解釈してます。このへんまったく詳しくないのであれですが、ざざっと調べたところ、たとえばスパムの踏み台とかになってたりするとそういう処置をされることもあるそうなんで。ホスティング、サーバの設定次第なんでしょうけど。

最後になりますが、最低限以下については気をつけて行なっておくことが必要ですね。

・FTPは使わない(SCP/SFTP/FTPS/FTPESなど暗号化を用いる)
・Webブラウザ、FLASH、Acrobatなどを最新にアップデートする
・ウイルスパターンファイルを最新に保つ

とくに2つ目、3つ目はGumblarに関係なく、です。(1つ目はGumblarに感染するとFTP情報を抜かれるということなので、そのための対策ですが)

この記事なんかがわかりやすくて参考になりました。ありがとうございます。

Gumblar免疫力チェック

あとは、Gumblarに関係なく、以下の記事にある内容も。とくに前述のように「Java/JRE、Adobe Reader、Adobe Flash Player」のアップデートは必須です。

【更新しとかないと】 PCに導入されてるソフトが最新版かチェックせよ! 【一発ウイルス感染】

今回のGumblar以外にも、仕事場でここ最近、2名、以下のタイプの「パソコン人質、身代金脅迫型」のウイルスにやられました。

Data Recoveryウイルス偽パソコン診断ソフト感染原因は?【駆除削除方法】

こういうのって自分は大丈夫となめてかかりがちですが、明日は我が身。ちょっとした注意と対策で防げる(100%は無理ですが)ので、とくに日ごろからインターネット、PCを使用している人は気をつけましょう、と強く思った昨日でありました。


ホーム > インターネット | コンピュータ > マルウェアのGumblarにやられて確認した最低限やっておくべきこといくつか

検索

ページの上部に戻る