ウェブサイト復旧いたしました。ありがとうございます。

Hada.orgのウェブサイトにトロイの木馬のコードを入れられてしまいまして、少しのあいだ「攻撃サイト」の扱いになってしまっていました。

すべて、クリアになりました。ありがとうございます。

とりあえず、経緯をまとめておきます。

Pair.comのホスティンングを使っています。

２週間ほど前に、myPhpAdmin(だったかな？) PHPベースで、MySQLの管理ツールがおかしいと、連絡がありました。なにかのプログラムがメールを２万通ほど送っていたようです。これが感染源でした。とりあえず、消しました。

それで、感染プログラムのほうは、public_html以下のすべてのhtmlとphpのファイルの最後に、透明のiframeタグを入れて、reycross.netにあるのPHPを呼び出すようになっていました。コード変更としては１行だけです。

MovableTypeでブログを作っているのですが、アクセスをよくするために全部スタティックのHTMLに書き出しています。そのおかげで、HTMLのファイルの数がえらく多かったわけです。

ウイルスの駆逐方法としては、ホスティングのサイトで、public_htmlフォルダをzipでバックアップしてくれるのがありましたので、それを使いました。ファイルサイズはzipの状態で900GBほどで、ファイル数は22000個ほどありました。

ローカルにダウンロードして、ファイルを展開すると、MacAfee がコードを見つけて全部書き換えてくれました。

きれいになったファイルを、全部サーバーにアップロードしなおしして完了です。

ただ、FFFTPを使っていたのですが、不安定で失敗ばかりしていました。Pair.comのサポートに聞いたところ、以下のがよさそうということで、使ったら、大丈夫でした。結構、いいFTPクライアントです。
http://filezilla-project.org/

zipしてアップロードして、unzipする方法もよかったのですが、そうして、なかったファイルがどうもファイルの所有者がnobodyになったようで、また、ちょっとややこしくなったり。Windowsのローカルの改行コードのまま、サーバーで展開されておかしくなったりもあったようです。

時間はかかりますが、バラバラのファイルで、FTPでアップロードする方がいいように思いました。

Pair.comは、いまどきというぐらいサービス料金が高いですが、サポートはいいです。

他には、FullControl.netというところでWindows 2003/2008のサーバーも借りています。こっちは、リモートデスクトップで使えるので、楽です。

ということで、お騒がせしました。

ありがとうございます。

-Naoki

P.S.

MacAfeeでの置換だけでは不十分でした。結局、全ファイルの置換を確実にする必要がありました。

今回は、Devasというツールを使いました。

ありがとうございます。

-Naoki