aguse.jpを使ってサイト改ざんチェック (ガンブラー・Gumblarなど)


 世界中のホームページが被害を受けてるガンブラー(Gumblar)改ざん。日本も2009年以降に企業サイトから個人サイトまで、サイトの種類関係なくやられまくってますなぁ。「怪しいサイトやエロサイトに行かなければ安全!」なんてのは、もう遠い昔の話です・・・。 


 で、URLウイルスチェックとしてよく知られてる「aguse.jp」を使ってサイト改ざんをチェックする方法を簡単に。検査結果のページには何だかいろいろと情報が表示されて、どこを見ればいいのやら・・・な感じかもしれんですが、まずはこの2項目をチェックしましょ。



  1. 検出されたマルウェア

  2. 外部と接続するオブジェクト

(1) 検出されたマルウェア
 これは指定したページをセキュリティソフト「カスペルスキー」のスキャンエンジンで単に検査します。対応してるのは、下のようなJavaScriptタグです。検出するかどうかは、カスペルスキーの対応次第です。



  • <script>(~意味不明な難読化文字列~)</script>

  • <script language="javascript">(~意味不明な難読化文字列~)</script>

(2) 外部と接続するオブジェクト
 改ざん被害を受けページに挿入される不正なコードってのは、攻撃者が用意した不正なサイトへ強制的に誘導させる処理が含まれてるのが普通です。ここでは、呼ばれている外部サイトのURLアドレス一覧が表示されます。対応してるのは、下のようなタグです。



  • <script>(~意味不明な難読化文字列~)</script>

  • <script language="javascript">(~意味不明な難読化文字列~)</script>

  • <script src = "(~見ず知らずのURLアドレス)"></script>

  • <iframe src = "(~見ず知らずのURLアドレス)"></iframe>

 このURLアドレスの一覧の中で、サイトと無関係そうな日本以外のURLアドレスがあるか調べます。ただ、何も問題ないアクセス解析/アクセスカウンタのコード、ガジェット/ブログパーツのコード、広告コードなどもリストアップされるので、注意しないといけませんな。


Gumblar.x改ざんとDaonol駆除ツール
ウイルス散布状態のホームページを復旧する方法
・ Gumblar対策はこの6つを必ず!