最近、あちこちで猛威を振るっている Gumblar(Gumbler) ウィルス。このサイトも感染していないかチェックしてみました。シェルコマンドで怪しいソースコードが紛れ混んでいないか調べるだけの手抜き版ですが、とりあえず今のところは大丈夫そうです。
Gumbler ウィルスのブートストラップ(起動処理)は JavaScript で書かれていています。この手のウィルスのソースコードは unescape などで難読化されていて、最終的に eval で発火させるパターンが一般的です。Gumblar ウィルスには既にさまざまな亜種が出回っているようですが、動作的にはほぼ同じパターンのようです。
というわけで、簡単なシェルコマンドを使って、管理しているウェブサイトが Gumbler ウィルスに感染していないか簡易的に確認することができます。
grep -r 'unescape' ./* | grep 'eval' grep -r 'replace' ./* | grep 'eval'
上記ではウェブサイトが「今のところ」感染していないことが確認できるだけです。もし貴方の他にも FTP アカウントを持っている人間がいて、その人が Gumbler ウィルスに感染してしまうと、今後、ウィルスが仕込まれる可能性があります。FTP アカウントのパスワードは変更しておくのが賢明です。
また、Gumblar ウィルスは FTP のアカウントとパスワードを盗み出すと言われています。しかし、将来的に Gumblar ウィルスの亜種が発生し、SSH などのパスワードも標的になるかもしれません。そのため、Web サーバへ接触できるアカウントについては、プロトコルを問わず、全てのパスワードを変更しておくのが安全と思われます。