ということでせっかくデザインリニューアルしてスタートしたにも関わらず、あっという間にFTPを抜き取られてしまったようです。
でも賢い賢いHETEMLサーバーさんは、被害拡大を防ぐために警告を出してくれてたみたいですので、被害は広がってないと思います。
せっかくの体験なのでブログに記録しておきます。
サイトを一時的に閉鎖しよう
改ざんが発覚したら、まず最初に.htaccessなどで転送設定をするか全体にbasic認証をかけるなどして被害を広げないようにしましょう。
FTPパスワードを変える
FTPパスワードを変更しましょう。後でもう一度変えますが、ひとまず一度変えておきます。これは修正作業中にさらに改ざんされるのを防ぐためです。
やられたファイルを修正する、またはサーバー上のファイルを一度削除する
こればかりは手作業ないし目視で確認するしかないです。おそらくHTMLファイルかJSファイル(たまにphpファイル)がやられてると思います。特にJSは可能性が高いのでしっかり調べます。
大体複雑に難読化されたscriptが書かれています。解読したらシンプルなiframeだったりします。
ウイルスがないかチェックしまくる
そもそももれてしまったのはウイルスが原因なのでチェックしておかないと再度同じことを繰り返します。以下のツールないし手持ちのウイルスソフトでチェックします。ソフトによってウイルス定義が違うので複数のソフトでチェックするのが効果的かと。
・ノートンオンラインスキャン
・マカフィーオンラインスキャン
・ウイルスバスターオンラインスキャン
・カスペルスキーオンラインスキャン
利用しているソフトウェアが最新かチェックする
Adobe acrobat readerやFlash、JREなどが最新かチェックします。MyJVN バージョンチェッカというツールがあるのでそれを使います。
いざFTP?いや、SFTPで
FTPソフトを使ってて、しかもそこにパスワードを保管していると最悪です。必ずSFTPができるソフトを使ってしかもパスワードは保存しないようにしましょう。
これでOKでしょうか。いや、ちょっと待て。
作業した後なので、最後に必ずもう一度FTPパスワードを変更しておきましょう。
ウイルススキャンとソフトウェアのアップデートは欠かさずに
情報を盗むウイルスはソフトウェアの脆弱性を付いてくるとの情報がありますので、ソフトウェアを最新版にすることは欠かさないようにしましょう。で、ウイルスは定期的にチェックしましょう。