複数サイトが相乗りしてるサーバでマルウェア汚染になってるECサイトのこと。

昨日、EC-CUBEの事例一覧を見て某通販(EC)サイトにアクセスしたら、PCにインストールしているシマンテックが反応してアクセスが遮断されました。

あれれ?と思い、そのECサイトをaguse.jpで見てみると・・・

やっぱりトロイの木馬系のマルウェアをアクセスしたPCに送り込もうとしているようです。
aguse.jpで表示してくれる同一サーバ上の他のサイトを確認すると、他に4つほど違うドメインが(しかも調べると同じIPアドレス上に)ありました。
しかし、4つということはいわゆる共有ホスティングサーバにしては少なすぎます。
勝手な想像ですがIPアドレスが1つしか与えられていない仮想専用サーバ(VPS)あたりに4サイトが相乗りしているんじゃないでしょうか。制作代理店とか制作会社がVPSを借りて、そこに顧客のサイトがあるとか。

その相乗りしているサイトをaguseで調べても(1つはメンテナンス画面で)残る3サイトは見事に同じマルウェアが仕込まれていました。

ふ~ん。

ちょっと疑問、その1。
領域をドメイン(サイト)ごとに切り分けていれば別のサーバみたいなもんだよね?
それでも仕込まれちゃうもんなの?
ひょっとしてVPSの管理者のパスワードが流出したとかでしょうか?

ちょっと疑問、その2。
このECサイトは(aguse.jpのが表示してくれるキャプチャー画像を見ると)ノートンのSSLシールがありました。じゃあってことでECサイトのURLをhttps://にしてブラウザでアクセスしてみると、今度は警告もなしに正常にアクセスできました。

見づらいですが、下のほうに

マルウェアのスキャン www.XXXXXX.co.jpは2012/08/03(UTC)にマルウェアスキャンを通過しました。

とあります。
https://だとノートンがサイト側に仕込まれているマルウェアをフィルタリングしてるってことですよね?
http://でアクセスすると危険なことに変わりないわけですが、ノートンのSSLってこういったフィルタリングする機能あるの?

疑問、おまけ。
相乗りしている他のサイトはSSLを入れてませんでした。そりゃそうですよね。1つしかないIPアドレスをECサイトが既に使っちゃってるから。それって、他のサイトは(専用も共有SSLもL入れられないことを)同意してるんだよね?
ま、余計な御世話だけど。


コメントを残す

メールアドレスが公開されることはありません。