ありがとうござます。
バックアップも取っていなく、基本中の基本を怠った事に反省するばかりです。
ダウンロードもあまりの時間のかかり具合にくじけてしまったのですが、再トライするか、作り直すか、、、考えます。
また機会ございましたらよろしくお願いいたします!
改ざんされてしまった(可能性がある)場合の修復
2013年6月6日 at 13:00
数日前から不正に改ざんされた可能性があるといった表示になり、本来の画面が表示されなくなりました。
最後に編集したのは5/22で、全ページを5/22に戻したいのですが、ログイン画面にも入れずどうすれば良いか全く分かりません。
どなたか良い方法ご存知でしたらご教授下さい。
よろしくお願いいたします。
レンタルサーバー:Yahoo! ライトコース、FreeBSD 4.7-RELEASE
ブラウザ:Google
Re: 改ざんされてしまった(可能性がある)場合の修復
2013年6月6日 at 14:37
ファイルの改ざんだけであれば、データベースは無事だと思います。
■1. データベースのバックアップを行なってください。
Yahoo!のレンタルサーバーは使ったことが無いのですが、phpMyAdminなどデータベースの管理ツールはインストールされていますか?データベースツールがあれば、それを使ってデータベースのバックアップ(エクスポート)を行なってください。
■2. お使いのパソコンのセキュリティソフトの定義データベースを更新して、パソコン全体をスキャンしてください。
■3. FTPをお使いであれば、FTPのパスワードを変更してください。また、FTP以外の接続方法(SFTP、FTPS)が可能であれば、FTPを使わずにサーバーに接続してください。
■4. 改ざんされたconcrete5のPHPを上書きして元に戻します。
まず現在使われているconcrete5のバージョンを調べます。
4-a. concrete5のバージョンアップを行なっている場合
サーバー所の config/site.php を開いて、下記のような記載があるかどうか確認してください。
記載がある場合は、concrete5のバージョンアップを過去に行なっています。記載がない場合は4-bに進んでください。
サーバー上の updates/ フォルダに concrete5.6.1.2.ja/ などのフォルダ並んでいるはずです。site.phpに記載のバージョン番号と同じフォルダがあれば、そのフォルダが現在使われているconcrete5です。当サイトから同じバージョンのconcrete5をダウンロードし、内容を上書きして、改ざんされる前に戻しましょう。それ以外のフォルダが updates/ に入っていたら、削除して構いません。また、 concrete/ フォルダも不要になりますので削除して構いません。
4-b. concrete5のバージョンアップをおこなっていない場合
concrete/config/version.php の内容にconcrete5のバージョンが書いてあります。当サイトから同じバージョンのconcrete5をダウンロードし、内容を上書きして、改ざんされる前に戻しましょう。config/ や files/ などを上書きすると設定やアップロードしたファイルが消えますので、上書きするのは concrete/ だけにしましょう。
■5. オーバーライドやパッケージを確認しましょう
concrete/ 以外のフォルダにファイルを置いてオーバーライドを行なっている場合、それぞれのファイルの内容を目視確認して、見慣れないコードが追加されていないかなど確認しましょう。自作のテーマファイルも同様です。
また、packages/ フォルダの中のアドオンやテーマも、concrete5.org から再ダウンロードして元に戻しましょう。
以上の作業で表示されるようになりましたか?files/ の中や、concrete5に関係ないところも、不審なファイルがアップロードされていないか確認しましょう。サイトが表示されるようになったら、Googleウェブマスターツールから再審査請求しましょう。
Googleが疑わしいサイトとして認識しているかどうかは、下記リンク先のアドレスの site= の部分を自分のサイトのURLに変えることで確認できます。
http://www.google.com/safebrowsing/diagnostic?hl=ja&site=http://concrete5-japan.org/
PHPを元に戻してもサイトの表示が元に戻らない場合は、データベースに問題があるかもしれません。バックアップが無かったら、どうしようもないですね…。ただ、おそらくはPHPファイルの一部にiframeが埋め込まれるなどが行われていたと思われます。とりいそぎ、現在分かる範囲の情報でお伝えできるのは以上です。
■1. データベースのバックアップを行なってください。
Yahoo!のレンタルサーバーは使ったことが無いのですが、phpMyAdminなどデータベースの管理ツールはインストールされていますか?データベースツールがあれば、それを使ってデータベースのバックアップ(エクスポート)を行なってください。
■2. お使いのパソコンのセキュリティソフトの定義データベースを更新して、パソコン全体をスキャンしてください。
■3. FTPをお使いであれば、FTPのパスワードを変更してください。また、FTP以外の接続方法(SFTP、FTPS)が可能であれば、FTPを使わずにサーバーに接続してください。
■4. 改ざんされたconcrete5のPHPを上書きして元に戻します。
まず現在使われているconcrete5のバージョンを調べます。
4-a. concrete5のバージョンアップを行なっている場合
サーバー所の config/site.php を開いて、下記のような記載があるかどうか確認してください。
<?php define('DIRNAME_APP_UPDATED', 'concrete5.6.1.2.ja');?>
記載がある場合は、concrete5のバージョンアップを過去に行なっています。記載がない場合は4-bに進んでください。
サーバー上の updates/ フォルダに concrete5.6.1.2.ja/ などのフォルダ並んでいるはずです。site.phpに記載のバージョン番号と同じフォルダがあれば、そのフォルダが現在使われているconcrete5です。当サイトから同じバージョンのconcrete5をダウンロードし、内容を上書きして、改ざんされる前に戻しましょう。それ以外のフォルダが updates/ に入っていたら、削除して構いません。また、 concrete/ フォルダも不要になりますので削除して構いません。
4-b. concrete5のバージョンアップをおこなっていない場合
concrete/config/version.php の内容にconcrete5のバージョンが書いてあります。当サイトから同じバージョンのconcrete5をダウンロードし、内容を上書きして、改ざんされる前に戻しましょう。config/ や files/ などを上書きすると設定やアップロードしたファイルが消えますので、上書きするのは concrete/ だけにしましょう。
■5. オーバーライドやパッケージを確認しましょう
concrete/ 以外のフォルダにファイルを置いてオーバーライドを行なっている場合、それぞれのファイルの内容を目視確認して、見慣れないコードが追加されていないかなど確認しましょう。自作のテーマファイルも同様です。
また、packages/ フォルダの中のアドオンやテーマも、concrete5.org から再ダウンロードして元に戻しましょう。
以上の作業で表示されるようになりましたか?files/ の中や、concrete5に関係ないところも、不審なファイルがアップロードされていないか確認しましょう。サイトが表示されるようになったら、Googleウェブマスターツールから再審査請求しましょう。
Googleが疑わしいサイトとして認識しているかどうかは、下記リンク先のアドレスの site= の部分を自分のサイトのURLに変えることで確認できます。
http://www.google.com/safebrowsing/diagnostic?hl=ja&site=http://concrete5-japan.org/
PHPを元に戻してもサイトの表示が元に戻らない場合は、データベースに問題があるかもしれません。バックアップが無かったら、どうしようもないですね…。ただ、おそらくはPHPファイルの一部にiframeが埋め込まれるなどが行われていたと思われます。とりいそぎ、現在分かる範囲の情報でお伝えできるのは以上です。
acliss
Re: 改ざんされてしまった(可能性がある)場合の修復
僕の場合はjavascriptのコード が 埋め込まれるというものでした。
ページバージョンを以前のものに戻してもウィルスがなくなることはないと思います。
(concrete5 のバージョン管理はwindowsの復元ポイントとは考え方が違いますので)
そのとき僕はconcrete5の元のファイルをもう一度ダウンロードし、改ざんされた可能性のあるファイルと比較するという作業をやってみましたが、改ざんされたファイルが多すぎてあきらめました。
以前にバックアップを取られているようなら、それをアップする以外にウィルス駆除の方法はないんじゃないかと思います。
また、FTP、データベースなどのパスワードも盗まれる可能性があるので変更する必要があると思います。