09/04/15 04:55:23
FTPでのアクセス、こっちもやられた。
レンタルサーバ。.htmlと.phpあたりを自動的に
書き換えるっぽい。
更新のタイムスタンプを見ると、感染したPCは
起動していない時間帯なので、感染したPCが
botで書き換えたのではなく、別のPCから
のアクセスだろうか。
普段はFFFTPを使っていて、パスワードは保存
してあったので、そのあたりを読み取られた?
感染してから書き換えられるまでにFTPでアクセスは
していないので、HDDをスキャンされたか、ブラウザ
の履歴とパスワードを見られたか(こっちも保存
してあった)。
感染から書き換えまでに2日間ほど。リカバリした
後、書き換えに気がついた。おかげさまで再度
自分で感染するところだった…。だが、書き換えられた
日時はリカバリする前。
QuadでSSDだとガリガリアクセスしてデータ
もってかれても全然気がつかないよ…。