今日の17時ごろs1サーバー内のファイル(ファイル名に"index"が含まれるもの)が別の内容に書き換えられたようです（添付画像参照）。

http://s1.valueserver.jp/も書き換えられているようですので、私のファイルだけでなくサーバー全体に被害が及んでいるのではないでしょうか。

(私のファイルについては何とか復旧しましたが、管理画面のファイルマネージャーなども書き換えられ、使えなくなっています。)

確認は出来ておりませんが、
こちらでも改ざん確認しましたので、
ファイルマネージャーにアクセスできないことからおそらく
HTMLルートディレクトリ以下すべてのindex.*がクラックされている可能性が高いですね。

私のアカウントも index.* が改ざんされていました。
タイムスタンプは本日 16:41 となっていました。

先ほど修正したはずなのですが、22:26 にまた index.html が
別のファイルに書き換えられました。(一部のディレクトリのみ)
もうどうにでもなれって感じです。

追記
/public_html/ および /public_html/*/ の直下に
index.htm index.html index.php(以上 22:26)
id.htm in.php(以上 22:04)
というファイルが置かれてしまっています。
ページの内容および誰がハッキングしたかの表記は先ほどと異なります。

こちらでも二度目の改竄を確認しました。

二度目の改竄？のスクリーンショットをUPしておきます。

上記の症状が発生していることを他者から指摘がありビックリしています

管理画面にはログインできるのですが…

私がs1.valueserver.jpに置いているものも全部やられました。

各ドメインのトップディレクトリに以下の５ファイルが置かれています。

id.htm in.php index.php index.htm index.html

元からあったindex.*は改ざんされています。

WordPressでしたが、上記５ファイルを削除後、wordpress codexからダウンロードしたindex.phpを再設置して元に戻りました。

データベースは改ざんなしの模様です。
他にファイルが変更されているかは未確認です。

取り急ぎ。

とりあえずすべてのディレクトリのindex.*を再アップロードしました

改ざんされた index.html などのソースを見ると、キーロガー的なスクリプトが埋め込まれていました（汗　このサーバー大丈夫でしょうか？

ねこさん

＞キーロガー的なスクリプトが埋め込まれていました

この件についてもう少し詳しく教えていただけませんでしょうか。

ソースは保存することもなく表示しただけで消してしまったのですが、<head>〜</head>の中に　<script>〜keiinput.js（うろ覚え）</script> のような記載がありました

ちょっと心配です

追記
wordpressの場合 wp-admin/index.phpも改ざんされていました。
このファイルも修正しないとwordpressの管理画面に入れません。

他にも改ざんファイルがあるかもしれませんが、確認できておりません。情報があれば共有をお願いします。

＞このサーバー大丈夫でしょうか？

クラックされた原因がわからないと、またやられるでしょうね。
よしださんや、ほしけんさんも２度書きなおされたとおっしゃっていますし。

全ての修正は管理側の対応を待ってからにしないと無意味かも。

ハッキング後のファイルを保存していたので確認したところ、
1回目のハッキングのファイルに確かにスクリプトがあり
<script type="text/javascript" src="http://smilenet4u.googlecode.com/files/TipingText.js"></script>
という記述がありましたが、キーロガーのような悪意のあるコードではないようです。

ざっと見る限り、おそらく文字をタイピング風に1文字ずつ表示させるスクリプトと
見受けられますが、読み込んでるだけで何もしていないので機能していません。

うちに置かれていた改ざんファイルは以下の内容です。

~/index.html ~/index.htm ~/index.php ~/id.htmは内容が同じ
http://dwm.me/download/index.txt

~/inphpの内容
http://dwm.me/download/in.txt

wp-admin/index.phpの内容
http://dwm.me/download/admin_index.txt

参考まで。

ほしけん さん、Tom さん、ありがとうございます

サイトの復旧を急いでいたので、バッと見てすぐ閉じて保存していませんでしたので、確認して頂き感謝です（スクリプト名、全然違いましたね。スイマセン

はてなブックマーク ( http://b.hatena.ne.jp/entry/kumalog.com/2014/01/19201213.php ) で以下のような指摘がありました。
---------------
s1.valueserver.jpの31337ポート（トロイの木馬に感染したときの
Back Officeポート。通称「エリート」ポート）が空いているね。
---------------
確認したところ現在も開いたままなので、まだ色々まずいかも知れません。

# というか明朝までこのまま放置なんでしょうか? 日曜とはいえ、ちょっと信じられないんですが

うわ、ホントだ…

かなりの大事故なのに、放置って…

今見たら、障害情報がアップされてますね

http://mainte.value-server.com/eventview.cgi?host=www.s1.valueserver.jp

www.s1.valueserver.jpにおきまして、障害の発生を確認しております。

○確認した症状：

インデックスページの改ざん

○障害発生日時：

2014/01/20 18:00　〜


○現在の復旧への取り組み状況：

　カーネル、システムの脆弱性が判明しましたので対策を実施中でございます。

とりあえず何かやってるみたいですが…

これは、困りましたね。

管理者の方へ----いつ読むかわかりませんが

場合によってはサーバー移動も考えないといけませんが、今回被害を受けたのはs1だけなんでしょうか。
また、ポートが開いてるのもs1だけなんでしょうか。