このサイトは第三者によってハッキングされている可能性があります。
2013.11.29
つづき交流ステーションのURLの下にこの「サイトは・・・」が表示されていた。
Googleの検索エンジンで「つづき交流ステーション」を検索すると「このサイトは第三者によってハッキングされている可能性があります。」という表示がされました。
FTPで確認したところ下記のファイルが書き込まれていました。htmlファイル(14個)を削除してGoogle の無料のウェブマスター ツールの指示に従って、対処しました。(11/28 23:00頃)
今朝、再検索してみたところ「ハッキングの可能性」は表示されなくなった。
対処方法
「このサイトは第三者によってハッキングされている可能性があります」と表示される検索結果
https://support.google.com/websearch/answer/190597?hl=ja
現象:
書き込まれた場所
http://www.city-yokohama-tsuzuki.net/の直下にhtmlファイル(14個のファイル)
14ファイル(ファイルの日付は11.20.15:49~16:00になっています)
(ファイルは保存してあります。)
classicbrandsjp6.html
classicbrandsjp7.html
wheeltimes6.html
wheeltimes7.html
audemarspiguet.html
breitling.html
cartier.html
hublot.html
iwc.html
ltaccessory.html
ltbelt.html
ltbirkin.html
ltborido.html
ltevelyn.html
このソースの中はjavaとhtmlで下記サイトに接続して表示させるようになっていました。中味は全て同じ内容が記述してありました。
エルメス エブリン,エルメス ケリー,エルメス バーキン バッグ専門店アウトレット全品無料配送!
http://www.luxurytrendyjp.com/
FTPで確認したところ下記のファイルが書き込まれていました。htmlファイル(14個)を削除してGoogle の無料のウェブマスター ツールの指示に従って、対処しました。(11/28 23:00頃)
今朝、再検索してみたところ「ハッキングの可能性」は表示されなくなった。
対処方法
「このサイトは第三者によってハッキングされている可能性があります」と表示される検索結果
https://support.google.com/websearch/answer/190597?hl=ja
現象:
書き込まれた場所
http://www.city-yokohama-tsuzuki.net/の直下にhtmlファイル(14個のファイル)
14ファイル(ファイルの日付は11.20.15:49~16:00になっています)
(ファイルは保存してあります。)
classicbrandsjp6.html
classicbrandsjp7.html
wheeltimes6.html
wheeltimes7.html
audemarspiguet.html
breitling.html
cartier.html
hublot.html
iwc.html
ltaccessory.html
ltbelt.html
ltbirkin.html
ltborido.html
ltevelyn.html
このソースの中はjavaとhtmlで下記サイトに接続して表示させるようになっていました。中味は全て同じ内容が記述してありました。
エルメス エブリン,エルメス ケリー,エルメス バーキン バッグ専門店アウトレット全品無料配送!
http://www.luxurytrendyjp.com/
htmlをクリックすると下図のような表示がされる
その後 2013.12.04
下記の件、ロリポップで調べて貰いました。第三者によって書き込まれた時間
11月20日15:49~16:00の間にサーバーにFTPを使ってアクセスした経歴無し
(FTPのパスワード等は盗まれていない)
ただし、この時間にhanablogにアクセスした気配あり。このcgiの脆弱性が破
られた可能性があるかもしれないとのことでした。
そこでhanablogのdata/upのフォルダに見かけないファイルがありました。
通常はここには写真などjpg、gif、pngファイル等がアップロード出来る場所
です。一応プログラムにはアップロード出来るファイル種別を検出する機能が
あって、それ以外のファイルは排除するようになっています。しかし.php.html等
のファイルが書き込まれていました。それぞれjavaで記述したコードが書かれて
いました。
記録としてPCに保存して、即サーバーのファイルは削除しておきました。
それ以外のcgiについて調べたところ、同じように見かけないファイルが
ありました。削除しておきました。
掲示板等の画像のアップなど出来る機能を使って悪質なプログラムを
アップすることで、サーバー内に進入したのではないかと思います。
そこで同じcgiを使っているページのパスワードを変更しました。
そして.htaccess(アクセス制限)でIPアドレスの制限をかけておきました。
これはホームページを閲覧出来るIPの範囲を決めて、特に外国(中国、韓国、
ロシア等)からのアクセスを制限して閲覧出来ないようにしました。
(やむを得ない処置です)無実のIPも制限しているかもしれません。
皆さんの中で、下記にアクセスして閲覧出来ない方がいらっしゃったら
教えていただけると幸いです。
つづき交流ステーション
http://www.city-yokohama-tsuzuki.net/
この状態で2,3ヶ月監視して見たいと思います。お騒がせしました。
11月20日15:49~16:00の間にサーバーにFTPを使ってアクセスした経歴無し
(FTPのパスワード等は盗まれていない)
ただし、この時間にhanablogにアクセスした気配あり。このcgiの脆弱性が破
られた可能性があるかもしれないとのことでした。
そこでhanablogのdata/upのフォルダに見かけないファイルがありました。
通常はここには写真などjpg、gif、pngファイル等がアップロード出来る場所
です。一応プログラムにはアップロード出来るファイル種別を検出する機能が
あって、それ以外のファイルは排除するようになっています。しかし.php.html等
のファイルが書き込まれていました。それぞれjavaで記述したコードが書かれて
いました。
記録としてPCに保存して、即サーバーのファイルは削除しておきました。
それ以外のcgiについて調べたところ、同じように見かけないファイルが
ありました。削除しておきました。
掲示板等の画像のアップなど出来る機能を使って悪質なプログラムを
アップすることで、サーバー内に進入したのではないかと思います。
そこで同じcgiを使っているページのパスワードを変更しました。
そして.htaccess(アクセス制限)でIPアドレスの制限をかけておきました。
これはホームページを閲覧出来るIPの範囲を決めて、特に外国(中国、韓国、
ロシア等)からのアクセスを制限して閲覧出来ないようにしました。
(やむを得ない処置です)無実のIPも制限しているかもしれません。
皆さんの中で、下記にアクセスして閲覧出来ない方がいらっしゃったら
教えていただけると幸いです。
つづき交流ステーション
http://www.city-yokohama-tsuzuki.net/
この状態で2,3ヶ月監視して見たいと思います。お騒がせしました。
