少し前の話になるが、ある会社のホームページが改竄された。改竄と言ってもぐちゃぐちゃにされたのではなく、隠しリンクを埋め込まれたという。その隠しリンクは、サーバ上にあるすべてのindex.htmlファイルに埋め込まれていた。調べてみるとこれっぽい。

相次ぐサイト改ざん攻撃、「Genoウイルス」感染PCが関与か - ITmedia エンタープライズ

このような場合、真っ先に疑うべきはサーバにデータをアップロードしているPCである。そのPCがなにかに感染している可能性を真っ先に疑わなくてはならない。すぐさまFTP接続できるPCを検査したところ、マルウエア的なものが一つ見つかった。ただ、それもさほど怪しげなものでは無かったし、それ以外は検出されなかった。検出された物はぱっぱと駆除してとりあえず様子をみることにした。

FTP接続出来るPCの感染が原因であれば、この段階で改竄はなくなるはずだ。だが、改竄はそれ以降も続いた。それも誰もいないはずの時間に改竄されたりするのだ。そこでこのPCを使用禁止にしたところ、しばらくの間は改竄されなくなった。やはり原因はFTP接続できるPCだったのだな、と、ほっとしたのもつかの間、数日後に再び改竄される。FTP接続出来るPCは使用禁止にしていたはずなのだが、誰かが使用した痕跡もあった。もし完全にこのPCが止まっていたのであれば、サイトの改竄はこのPCを通して行われたのでなく直接サーバがハックされて書き換えられたことになるのだが、誰かがこのPCを使用した可能性もあるので原因は闇の中に逆戻りしてしまった。

これでは埒があかないし、いつまでも改竄されっぱなしでは信用問題だ。そこでサーバの管理会社に改竄された時刻前後のFTPサーバのログを調べてもらうよう依頼したのだが、管理会社からはなどという回答が来る始末。いや、そうでなくて、通常アップしている回線以外からサーバにアップロードした形跡があるかどうかを知りたいのだよ。そんなこともわからんのかこの会社は、と、ちょっと頭に血がのぼる。つか、サーバ自体が攻撃されているから事実を隠しているんじゃないのか？と、ふと思った。以前もこんなことあったし。

こんなところですったもんだしていてもどうしようもないので、管理会社にFTPパスワードの更新を依頼した。そしたら有料なんだよとさパスワード変更。どっひゃーであるが、仕方が無い。

パスワード変更後は未だ改竄されていない。ちなみにパスワード変更前と変更後、こっちのPCにはなんら手を加えていない。こっちのPCが改竄の原因であれば、新たなパスワードを入れた後で再び改竄されるはずなんだがなぁ。どうなんだよサーバ管理会社。

と、誰かが言っていたのを聞いた。