ウィルス感染後の対処
もし、ウィルスに感染して、サイトのデータを改ざんされたら、下記の流れで対処をした方が良い。
1. パソコンにいるウィルスをセキュリティソフトを使って除去する。
2. サーバのログインパスワード (FTPパスワード) を変更する。
3. サーバ上で改ざんされたファイルを、バックアップファイルから元に戻す。
|
まず大切なのは、パソコンにいるウィルスを除去すること だ。
悪の根源を消さなければ、復旧作業中に、また悪さ (サイトの改ざん) をするかもしれない。
そして、セキュリティソフトを入れていなければ、すぐにセキュリティソフトをインストールした方が良いし、
もし、私のように、使用しているセキュリティソフトがウィルスを検知していなかったら、別のセキュリティソフトを試してみた方が良い。
もちろん、時間的に厳しい場合は、ウィルスに感染しているパソコンは使用しないで、
ウィルスに感染していない、別のパソコンを使用する方法も、1つの方法だ。
そして、すぐに、サーバのログインパスワード (FTPパスワード) を変更すること。
もし、ログインパスワードを変更しないで、復旧作業を行ったら、復旧作業中に、またサーバ上のデータが改ざんされる かもしれない。
そうなったら、復旧作業をまた、最初からやり直さなければいけない。これは最悪だ。
実際に、私の場合も、ログインパスワードを変更していなかったサーバで、5日後に、サイトのデータがまた改ざんされた。
つまり、サーバのログインパスワードを変更しないと、何度も改ざんされる のだ。
必ず、サーバのログインパスワードは、すぐに変更しよう。
そして、復旧作業は、バックアップファイルをサーバにアップロードして、ウィルスに感染したファイルを、上書きしてしまうこと。
つまり、バックアップファイルから、サイトのデータを、元のデータに戻すということだ。
そして、バックアップファイルをサーバ上にアップロードして、すべてのファイルを上書きしたら、
念のため、サーバ上にあるファイルを、一度、 「ウィルスバスター」 がインストールされたパソコンにダウンロードすることをオススメする。
「ウィルスバスター」 は、非常に優秀なセキュリティソフトで、もし、ウィルスに感染したファイルがあった場合は、
そのファイルを教えてくれて、しかも、悪意のあるソースを自動的に削除してくれるから だ。
あとは、その悪意のあるソースが削除されたファイルを、またサーバにアップロードすれば、
「サーバ上に、ウィルスに感染したファイルはない」 と考えて、ほぼ間違いないだろう。
そして、さらに、確認をするのであれば、サーバにログインして、
埋め込まれていたソースの文字列を検索する と、さらに良い。
なお、私の場合は、下記のコマンドをサーバ上で実行した。
% grep -rl "<script type="text/javascript" language="javascript" >" www
% grep -rl "sp="split";" www
% grep -rl "for(i=2-2;-i+1307!=0;i+=1)" www
% grep -rl "harav" www
% grep -rl "cnt.php" www
% grep -rl "try{document;}catch(wb)" www
% grep -rl "0c0896" www
|
上記のコマンドは、「www」 というフォルダの中にあるすべてのファイルから、悪意のあるソースコードの文字列を探すコマンド だ。
たとえば、私が感染したウィルスが入れた 「悪意のあるソースコード」 には、 「0c0896」 という文字列があった。
そこで、たとえば一番下の、 「 grep -rl "0c0896" www 」 というコマンドは、 「www」 のフォルダの下にあるすべてのファイルに、 「0c0896」 という文字列が入っているファイルを表示させる、という意味だ。
これによって、 悪意のあるソースコードが入っているファイルを見つけること ができる。
あとは、そのファイルをテキストエディタで開き、悪意のあるソースコードを削除すればよい。
ここまで確認作業をすれば、完璧だと思う。
|
