JR東日本のホームページが改ざんされたのは記憶に新しいですが。
ホームページを改ざんされたかどうか、HTMLファイルとjsファイルをひとつひとつチェックしていくだけのスクリプトです。といってもすべての改ざんに有効なわけではなく、現在猛威をふるっているJR東日本のサイトを改ざんしたものと同じタイプの改ざんをチェックします。
JR東日本で改ざんされたタイプの特性は以下のとおり。
○ index.htmlを改ざんする。
○ 拡張子がjsのファイルを改ざんする。
○ /*GNU GPL*/というそれっぽいコメントが入っている。
現段階で私がわかる範囲ではこんな感じです。 で、このコードが何をやってるかっつーとAdobe Readerの脆弱性を突いてSecurity Toolsだかというアプリケーション(マルウェア)をインストールしようとします。最新版のAdobe ReaderやFlash Playerを使っていればインストールはされません。
で、上記の改ざんされたであろうファイルをピックアップするスクリプトを書いた、というほどのもんじゃないんですけどね。もしよかったら使ってみてください。
ホームページ改ざんをチェックするスクリプト
http://labs.synck.jp/documents/12627173551773231606.zip
ホームページを改ざんさせないために。
○ かならずアップデートはこまめにかける
○ FTP情報などはこまめに更新する
○ PDFをクリックしたわけでもないのにAdobe Readerが立ち上がろうとしたらすぐシャットダウン!
○ セーフモードで起動してウィルス、マルウェアチェックを!