ここはちょっと見せられない

ぜったいぜったい見せられない

原因調査の旅:一度だけ別の妙なサイトに飛ばされる

原因が判明するまでの記録を残しておこうと思う。

見に行った瞬間に勝手に飛ばされると聞いたので、私がそのサイトに訪れたんだけど、私の手元のブラウザでは言われるようには飛ばなかった。
でも、MacでもWindowsでもいろんなブラウザで飛ばされる人がいるらしくて、どうして私だけ飛ばないのかこの時点ではわからない。


1)捜索1

まずは、飛ばされるというサイトのHTMLソースを確認。
いくつかのjsファイルを確認するが、怪しい物はない。
firebugで読み込まれるファイルリスト確認するも、別段怪しいドメインからなにかの妙なファイルは読み込みこんだり、ということはない。念の為すべてのブラウザ(FF,IE,Opera,Safariなど手持ちすべて)で試した。

2)捜索2

飛び先のURLを教えてもらい、URLからたどれるページをすべてwgetして、飛び先のドメイン名でgrep
飛び先の情報が書かれたようなファイルはない。難読化されていたらわからないしなー・・・。でも、飛ばすようなスクリプトも見当たらない。

3)推測1

サーバーサイドで飛ばされていて、原因はHTMLやJSではない。
現象の出ていないマシンで確認してもわからないので現象のあるマシンでの情報をもらうことにする

4)捜索3

現象の出ているマシンで、FirefoxLive Http Headers を入れてもらう。
Cache、Cookie を消してもらって、現象を再現させたところで、Header 情報を送ってもらった。
敵は「Location:」でURLを飛ばしていた。同時にSet-Cookieしていて、最初の一回しか飛ばさないようだ。

5)捜索4

Set-Cookie: xccgtswgokoe=1;

セットされたCookieの名前でググったところ、.htaccess malware がヒット。

http://redleg-redleg.blogspot.jp/p/examples-of-htaccess-malware.html


6)推測2

.htaccess 改ざんだろうけど、確定じゃない。apache が感染してるかもしれない。どちらかだ。どっちだ?

7)聞き込み

同じ鯖で運営しているサイトはないか聞いて、確認してみる。
apache が感染しているなら他のサイトでも同じ現象が出るだろう。

8)結論

そうではなかった。 じゃあ .htaccess 改ざんでFA。


まだ.htaccess の中身はもらってないけど、きっと古いマルウェアwindows7 とかUbuntu とかがRewriteCondの対象に入ってなかったんじゃないかという予想。



かき上げてみると簡単に見えるかもしれないけど、実際にはログやソースの確認に時間がかかったので2時間くらいゴニョゴニョしていた。


気になって、ちょっと調べてみた。

http://oshiete.goo.ne.jp/qa/3486594.html
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1381716488

あちこちいるみたい。
この中のいくつかはこのマルウェアかもよ。


たぶん、FTPアカウント乗っ取られてる可能性大よ。
FTPブルートフォースアタックか、ガンプラーでPC感染中か。
サイト製作者は気をつけましょう。