ウィルスに感染したときに使用したコマンド


サーバでコマンドの実行方法

ここで、私がサーバにログインして、 実行したコマンド (使用したコマンド) をご紹介する。

ただ、このページでお伝えする内容は、素人の方にはちょっと難しい。 システムエンジニアなど、サーバに詳しい人でなければ、実行するべきではないかもしれない。 私も、下記のコマンドは、サラリーマン時代の同期 (システムエンジニア) に教えてもらった。

このページでお伝えする内容は、少し難しいので、 「このような調査方法と確認方法がある」 という参考情報として、記載をしておこうと思う。


まず、サーバにログインするためには、「Tera Term」 のソフトを使う必要がある。 「Tera Term」 のソフトをパソコンにインストールして、 「ホスト名」 を入力し、その次に、 「ユーザー名」 と 「パスワード」 を入力すれば、サーバにログインすることができる。

▼「Tera Term」 を起動して、 「ホスト名」 を入力するときの画像 (画像が開きます)


▼「Tera Term」 で、 「ユーザー名」 と 「パスワード」 を入力するときの画像 (画像が開きます)



そして、サーバにログインしたら、まず、 「 pwd 」 と 「 ls -l 」 の2つのコマンドを実行する。

% pwd
/home/hogehoge

% ls -l
total 33506
drwx------ 5 toretama8 users 512 May 14 2012 MailBox
drwxr-xr-x 2 toretama8 users 512 May 5 2010 backup
drwx------ 2 toretama8 users 512 Feb 18 2010 db
drwxr-xr-x 5 toretama8 users 512 Mar 12 2010 local
drwxr-xr-x 3 toretama8 users 2560 Jun 22 00:08 log
drwxr-xr-x 7 toretama8 users 512 Jun 4 07:41 www

pwd 」 コマンドは、現在自分がいる位置を確認するコマンドで、「 ls -l 」 は、その自分がいるところに、どのようなファイルやフォルダがあるのかを確認するコマンドだ。

そして、この2つのコマンドを使って、 ホームページのデータが入っているフォルダ を、まず探すようにする。 ちなみに、レンタルサーバに、 「さくらレンタルサーバ」 を使用している場合は、 「 www 」というフォルダが、ホームページのデータが入っているフォルダだ。

なお、ホームページのデータが入っているフォルダの場所に移動するときは、「 cd 」 というコマンドを使用する。 たとえば、 /home/hogehoge というフォルダの下に、ホームページのデータが入っているフォルダ( www )がある場合は、「 cd /home/hogehoge 」と実行する。


次に、ホームページのデータが入っているフォルダを見つけたら、下記のコマンドを実行する。

% find www -mmin -600 -ls
25648172 12 -rw-r--r-- 1 toretama users 5946 Jun 2 06:41 www/life-english/map.html
25648174 28 -rw-r--r-- 1 toretama users 13581 Jun 2 06:41 www/life-english/page2.html
25648175 28 -rw-r--r-- 1 toretama users 12636 Jun 2 06:41 www/life-english/page3.html
25648176 20 -rw-r--r-- 1 toretama users 10073 Jun 2 06:41 www/life-english/page4.html
25648180 20 -rw-r--r-- 1 toretama users 9750 Jun 2 06:41 www/life-english/side.html

このコマンドは、 600分以内 (つまり10時間以内) に変更されたファイルの一覧を、ホームページのデータが入っているフォルダ( www ) の中から探すコマンドだ。 これによって、 ウィルスによって改ざんされたと思われるファイル (直近で変更されたファイル) の一覧 が分かる。


あとは、確認作業として、下記のコマンドで、 悪意のあるソースコード を見つけるのも良い。

% grep -rl "<script type="text/javascript" language="javascript" >" www
% grep -rl "sp="split";" www
% grep -rl "for(i=2-2;-i+1307!=0;i+=1)" www
% grep -rl "harav" www
% grep -rl "cnt.php" www
% grep -rl "try{document;}catch(wb)" www
% grep -rl "0c0896" www

これらのコマンドは、 「 www 」 というフォルダの中にあるすべてのファイルから、悪意のあるソースコードの文字列を探すコマンドだ。

たとえば、私が感染したウィルスが入れた 「悪意のあるソースコード」 には、 「0c0896」 という文字列があった。 そこで、たとえば一番下の、 「 grep -rl "0c0896" www 」 というコマンドを実行すると、下記のように表示される。

% grep -rl "0c0896" www
www/server/list.html
www/server/edit.html
www/mova/index.html
www/mova/php/tmpl/error.tpl

コマンドを実行し、上記のようにファイルが表示された場合は、 このファイルの中に、「0c0896」 という文字列がある 、ということだ。 あとは、そのファイルをパソコンにダウンロードして、テキストエディタで開き、悪意のあるソースコードを削除すればよい。

サーバ上で、このようなコマンドを実行することは、少し難しいが、参考情報として、記載しておくことにする。 なお、サーバ上でコマンドを実行したことによって、いかなる損害が出ても、私は責任を持てないので、ご了承いただきたい。(自己責任でお願いします)




 
コンテンツ
 
セキュリティソフト比較
 
ウィルス感染の被害と対応 セキュリティソフト比較
 
 
役立つソフトウェア
 
ウィルス感染の被害と対応 役立つソフトウェア
 
 
当サイトの運営者
 
ウィルス感染の被害と対応 作成者のプロフィール
 
 
お問い合わせ
 
ウィルス感染の被害と対応 お問い合わせはこちら
 
本サイトの情報は、フィクションではありません。すべて 「実話」 です。
 
 
Copyright © ガンブラーウィルス感染!体験記 ~ 地獄を見た数日間 ~ All rights reserved.