ガンブラー(gumblar)によるWEBページ改竄ファイル簡易チェックCGI

所謂gumblarや8080ウィルスによる被害が表立ってきてしばらく経ちます。
自分のPCがgumblarに感染しているかどうかについてはウィルスソフトも対策され始めましたが、
自分のサイトが改竄されているかどうかについてのツールはほとんどありません。

ですのでgumblarによるWEBサイトの改竄に対してWEBサイトのオーナー側用のツール（プログラム）を作成してみました。
このツールは自分のWEBページがgumblarによって改竄されていないか簡単にチェックする事ができます。
特に１度改竄されてしまった場合、その他、どのファイルが改竄された疑いがあるかのチェックには有用だと思います。



※注意点※
・「window．onload」が含まれるファイルを感染疑いとして検出するので誤検出は多いです。
・gumbchk.cgiのファイル以下の階層にあるファイルをチェックします。
　あまり大量にファイルがあるとサーバーに負荷がかかりますのでご注意下さい。
・Perlの勉強も兼ねて作ったものですので、不具合等が発生しても責任は持てません…。
　使用についての問題は全て自己責任で宜しくお願いします。

サンプル

動作サンプル

「window．onload」が含まれるファイルを感染疑いとして検出するので
Wordpressのjsファイルも感染疑いとして検出されています。(もちろん無害で感染していません。)

ダウンロード

gumbchk.zip (3.42 KB)

動作環境

特別なモジュールも使用していない為、
Perlが動くサーバーであればほとんどのサーバーで動くと思います。

導入方法

gumbchk.zip を解凍して出来たgumbchk.cgiをテキストエディタで開き
#!/usr/bin/perl
をサーバーのPerlのパスへ変更します。
ほとんどのサーバーでは変更の必要はないと思います。

gumbchk.cgiをサーバーにアップロードし、
パーミッションを755等、サーバー側で実行できるパーミッション(属性)に変更します。
(FFFTPであれば アップロードしたgumbchk.cgiを右クリックメニューの「属性変更」から現在の属性を755へ。)
後はアップロードした場所へブラウザからアクセスするだけです。

仕様

gumbchk.cgiは自身以下のファイル階層にあるファイルをチェックします。
gumblar関連によるWEBページの改竄が行われると、.htmlや.jsといった拡張子のファイルの語尾に
以下のようなある程度決まった文章が追記されます。



gumbchk.cgiではこの点に注目し.htmlや.jsといったファイルの中で
下線部の単語が存在すると「感染疑い」として検出します。

ただしこの「window．onload」というタグは標準の使い方としても使用されているタグである為、
正常に使用しているものも検出されてしまいますので、ある程度は個人で判断して下さい。

カスタマイズ

74行目あたりの
my $keyword = ‘window\\.onload’;

の部分のwindow\\.onload部分を変更する事で
検索する内容を変更できます。