09/05/20 22:10:09 3qzzmo5t0
803 名前: 192.168.0.774 [sage] 投稿日: 2009/05/19(火) 13:34:27 ID:zBDewp1I0
それからついでに・・・。
PC3台所有中1台感染
サイトは5サイト管理中3サイト感染
感染PCはネットワークから物理的に遮断している状態
PC2台は推奨されている対策を実施
3サイトの内訳
HTMLのみのサイト
MTのサイト
Modxのサイト
MTとModxは未感染のPCからFTPパスを変更しレンサバのファイルマネージャーより該当コードを削除
HTMのみのサイトは未感染のPCからFTPパスを変更せずにファイルマネージャーから該当コードを削除
するとFTPパスを変更していないサイトは該当コード削除後1時間ほどで改ざんされました。
改ざんの更新日時をみると2分間の間に20ほどのファイルが改ざんされています。
階層は3層目まででした。
そこで、再び改ざんされたサイトもFTPパスを変更した後該当コードを削除したところ
その後の改ざんは確認できません。
ちなみにCMS系の改ざんは吐き出したHTMLやPHPを改ざんされるほか
システム系のPHPも改ざんされていました。