おやじdemo_CentOSを使う

ニュース記事で読まれた方、いらっしゃるかと思います。
旅行会社のはとバスのホームページが改ざんされて、アクセスするとウイルスに感染するような仕掛けが施されていたということです。

記事はこちら⇒ http://itpro.nikkeibp.co.jp/article/NEWS/20140226/539688/?top_nhl

2014年2月18日21時48分から同年2月24日10時50分までの間にアクセスした人は直ぐにウイルスチェックをして欲しいと思います。

問題なのは、改ざんされてから発見されるまでに5.6日かかってますよね。

毎日、logを調べていないんですかね。
Linux系のサーバーであれば、改ざんされているかどうかchkrootkitで調べれば直ぐに分かると思うのですが、普通に見ているだけでは改ざんってなかなか分からないように処理しています。

多分（私の予想ですが・・・）、改ざん前にbackdoorを仕掛けられていますね。
本来であればその時点で気が付かなくてはならないと思います。
logなんかも都合の悪い部分を消していったりするようなので、こうなるともう元に戻すのも大変です。

はとバスさんに限らずHPで広告・宣伝している会社は、そのHPが少しの間停止するだけでも営業面ではダメージが多いので、HP管理者の方は大変かと思いますが、事が大きくなる前に処置をすべきかと思います。ましては、海外からのお客さんが見るために、海外の怪しいIPを止める訳にもいかず、対応が難しいです。

そして、こういう行為をする連中は必ず、どこか乗っ取ったサーバーやPCからアクセスをしてくるので、IPを止めても切が無い状態です。今回のウイルス感染で、乗っ取られ易いサーバーが増えてしまっているという事も考えられます。

深く考えると、はとバスの会社を狙ったのでは無く、感染させて乗っ取るパソコンを増やすための行為、目的は違うところにある可能性もあります。乗っ取った予備軍のパソコンで他の国に攻撃を仕掛けるとか、ネットバンクを狙うとかの犯罪行為です。

そんな脅威も可能性としてはあるので、定期的なウイルスチェックをしてください。

自宅でサーバーを運用されている人も多いかと思いますが、本当に最近は攻撃が多いので、怪しいと思ったIPは直ぐに止める（遮断する）、国ごと遮断する、余計なポートは閉じる（ルータを閉める）、htaccessを見直すという事をやって欲しいと思います。

こんなに色々なところで攻撃や乗っ取り、改ざんが増えているという事は、これから何かネット上で起きる何かがあるのか？と考えていまいます。

攻撃は夜中から明け方が多いので、その間はサーバーを停止させる、メールサーバーを止めるなども一つの手かも知れません。真夜中はcronで自動にupdateやウイルスチェック,chkrootkitなど動作させている人も少なくないと思いますが、サーバーに負荷がかかっている状態で攻撃されるのが一番危険です。cronの自動化も時間帯を見直すとか（昼間にする、手動に切り替える）など対策を考えてください。

再三、しつこいようですが、自宅サーバー初心者の方は、SSHはローカルだけの許可にしてください。
rootでログインはダメ・ゼッタイ。