1.元ボクシングヘビー級チャンピオンでシルーズ(略)ちょっと来い[web制作]
(2009-04-17 22:34:11)


さぁ、小生をボッコボコにしてくれたまえよ!

えーと。最初に小生が管理しているサーバーがどのようにして改竄に遭ったのかは、結局未だ謎のままなのですが、いろいろ対応をしているウチに小生がウイルスの地雷を踏みに行っていた、っていうお話です。ウイルスに直撃したのって、もしかしたらこれが生まれて初めてかも。

小生が感染に気づいたのは、前のエントリで即座にコメントにてご指摘いただいた内容からで、見事にコマンドプロンプトは立ち上がらねぇわ、regeditも起動しねぇわ、おまけに感染すると内容が書き換わるらしい「C:\WINDOWS\system32\sqlsodbc.chm」が書き換えられるのみならず、オモシロな分身までできていやがってですね...。

<画像:GENOウイルス感染の証>
なんだよこのwwwwwwwwwwみたいなの...orz

このGENOウイルスというのは、ホント、洒落にならない威力だとつくづく痛感しました。何せディスクのライティングソフトも起動できないような小細工を働くので、単体でブートCDを作ることも出来ないとか、アレコレ先回りされまくった気分です。

小生が使用しているPCというのが、元々は約1年9ヶ月程前に、小生と入れ替わりで辞めた編集スタッフが使用していた物でして、怪しげなファイルがゴロゴロと入ってはおったのですが特に問題も無かったのでそのまま使い続けておったのです。もう、ちょうど良い機会だし、クリーンインストールすることにしました。

と、いうわけで火曜日から金曜日まで徹夜を絡めてようやく半分復旧と言ったところでしょうか。Windowsのデータ移行ってなんでこんなに面倒くさいんスか。でもまぁ、思いの外動作もキビキビと、速くなったような気がするし、怪我の功名と思うことにします。

さてさて、GENOウイルスですが当初の小生の予想であった、CakePHPだけを狙った物では無かったのですが、どう見てもこれはピンポイントでCakePHPを狙った改竄だろう、と思わせる部分も見せております。例えば「/app/」ディレクトリにある大半の.phpは無視していながら、心臓とも言うべき「/app/config/database.php」などのコンフィグ系のphpは見逃さずにバッチリ改竄している点や、同じく大半の.thtmlファイルが無視されている中で、画面描画の要となる、「/view/layout/default.thtml」などが狙い撃ちされている点が挙げられます。

感染したとされるサイトには、やはりCakePHPを使っているらしいところがいくつか見受けられた他に、ASP.NETを使ったサイトなんかもありまして、フレームワークを判別して対応できる物には個別ピンポイントの改竄を、それ以外ならばindex.htmlや*.php、*.js辺りをルールに従って書き換える器用さを持っているような気がします。天才。だけど死ね。脳に大腸菌沸いて死ね。

この騒ぎのお陰で、約三日分仕事が遅延しておりまして、この週末は家で真面目に仕事をするハメになりました。いろいろ勉強になったしデータの整理もできたから、まぁいいけどさ。

最後になりましたが、コメントにてご指摘をいただきました大兄には深く感謝の意を述べさせていただきます。お陰でスムーズな解決に至りました。本当にありがとうございました。今後とも、よろしくお願いいたします。

1/419

コメント投稿
次の記事へ >
一覧へ戻る

Powered by
MT4i 3.0b3