ВНИМАВАЙТЕ с безплатните WP теми

[Fozzy]

Попаднах на една статия и ще ви преразкажа накратко за какво става въпрос. Оказва се, че в много от безплатните теми за wordpress има скрит, криптиран код, който най-често съдържа спам линкове. На пръв поглед той не се забелявзва, но вреди на вас и вашият сайт.

Нека да видим за какво става въпрос. Първо да потърсим безплатни теми:


Има 133 млн. резултата. На първо място излиза сайтът wordpressthemesbase [dot] com, явно яко са бачкали над SEO-то си. Изтеглихме няколко теми от там и още на първата се появи това съобщение:


Това е криптиран код, намиращ се във футъра на темата. Ето как изглежда тя за вас:


А ето как изглежда наистина:


За да видите дали във вашата тема няма нещо скрито-покрито, можете да ползвате този прост wp plugin.

За да декодирате скрит код, може да ползвате някой онлайн туул или в нашият случай, просто заменете eval() с echo().

Още по темата.
Още за сигурността в Wordpress.

 

[BRAIN_PAIN]

От: ВНИМАВАЙТЕ с безплатните WP теми

Мдам в доста теми съм забелязвал такива неща, но не съм ги бутал, защото в условията за ползване изрично е пишело да не се променя кода А какви може да са вредите от това нещо?

 

[Nil Desperandum]

От: ВНИМАВАЙТЕ с безплатните WP теми

Аз се пробвам да ги декодирам, но ми излизат в такива символи: 

??

 

[gangster]

От: ВНИМАВАЙТЕ с безплатните WP теми

То и вируси има в някои! Аз от 2 дена търся някаква свястна тема и все нищо не ми хваща окото, имах на компа няколко теми дърпани преди време та реших да ги погледна да видя стават ли за нещо. Едната като я разархивирах и антивирусната ми извади съобщение: "Имате подарък от Троян!". :wink:

 

[ThinkFast]

От: ВНИМАВАЙТЕ с безплатните WP теми

Заменката на eval с echo не винаги става. Имах един случай на eval с base64encode и с някаква компресия навързани един във друг към 200 пъти.

 

[Nil Desperandum]

От: ВНИМАВАЙТЕ с безплатните WP теми

Заменката на eval с echo не винаги става. Имах един случай на eval с base64encode и с някаква компресия навързани един във друг към 200 пъти.

Моите са точно base64encode и са 4. Два по-големи и два по един ред. Значи не може да се оправи, така ли?

 

[vaskoa]

Може да се оправи при всички случаи. Няма как да го кодират, така че да не може.

А вредата от подобно нещо е най-малкото, че им слагаш линкове от твоя сайт без дори да са питали. А и тия линкове ако са за разни неща дето гугъл не го кефят, може и да ни навреди на сайта.

Такива кодове бях виждал само в Nulled теми, не и в безплатна.

 

[ThinkFast]

От: ВНИМАВАЙТЕ с безплатните WP теми

Моите са точно base64encode и са 4. Два по-големи и два по един ред. Значи не може да се оправи, така ли?

Може ама е голяма играчка. Щото eval() примерно връща стринг със същите функции обаче друг бинарен код за енкодване и евал-ване. Не се сещам как го направих тогава. Мисля че направих едно скриптче нещо от сорта:
1. Хвърля резултата от евал към файл.
2. Проверява дали първите символи във файла не са евал. Ако не са спира се изпълнението
3. чете файла като скипва евал-а отначало
4. ->1.

То ако вътре в този код са само линкове и т.н. директно може да се изтрие, ама при мене имаше и голяма част от html кода и трябваше да го разшифровам.

 

[Nil Desperandum]

От: ВНИМАВАЙТЕ с безплатните WP теми

Проблема не е, че са един или два... А цели 6 линка, dofollow /дори не мога един nofollow да сложа, веднага темата спира да работи/ и към някакви сайтове нямащи нищо общо с Wordpress (Drug Rehab, Cheap Toys, VPS Hosting, etc). И на мен е голяма част от html кода и не мога да ги изтрия. Явно нова тема ще се търси...

 

[vaskoa]

Re: От: ВНИМАВАЙТЕ с безплатните WP теми

Проблема не е, че са един или два... А цели 6 линка, dofollow /дори не мога един nofollow да сложа, веднага темата спира да работи/ и към някакви сайтове нямащи нищо общо с Wordpress (Drug Rehab, Cheap Toys, VPS Hosting, etc). И на мен е голяма част от html кода и не мога да ги изтрия. Явно нова тема ще се търси...

Пусни го да го видим тоя код

 

[ThinkFast]

От: ВНИМАВАЙТЕ с безплатните WP теми

Да пусни го тука кода, може да окажем малко помощ.

 

[contra]

От: ВНИМАВАЙТЕ с безплатните WP теми

Едит: няма значение, то тва е споменавано вече.

 

[ktomov]

От: ВНИМАВАЙТЕ с безплатните WP теми

По-голямата част от темите които не се намират в wordpress.org/extend/themes/ са с криптиран футър, за да се запазят линковете към сайта на автора. Аз лично съм против такъв вид работа, но сами сте забелязали как всеки хваща нещо, премахва копирайт информацията и си пише "Дизайнед енд мейдед бай Ню визъж интерконтинентал бългериан груп".
Трябва да признаете, че авторите заслужават някаква награда за труда си, пък било то и един линк, нали?
Ако това не ви харесва - купувате си платена тема в която автора е написал, че е разрешено премахването на връзките.
Не случайно много автори на теми предлагат темата си примерно за 30 долара, а премахването на линковете във футъра върви като "адд он" на стойност 15$.
За това, най-добре е да не се доверявате на съмнителни източници на теми.

 

[Fozzy]

От: ВНИМАВАЙТЕ с безплатните WP теми

ktomov, прав си, но само донякъде. Разбирам автора да си сложи линк, но съвсем друго е да е, както в случая, "Free Antivirus Download". Намерих и още по-фрапиращи случаи от рода на argaiv <----- (да се чете наобратно, ддз може да вреди на форума нещо), free porn и други.

 

[vaskoa]

Re: От: ВНИМАВАЙТЕ с безплатните WP теми

Трябва да признаете, че авторите заслужават някаква награда за труда си, пък било то и един линк, нали?

Не мога да призная такова нещо . Като иска награда да не го пуска в нета. Или да го пусне за 5$. Какви са тия половинчати работи. Хем да се направи нали вижте ме колко съм важен и опън, ама тука ще замаскирам едни неща.

Особено пък ако е напълнил футъра с линкове към сайтове за едни сини хапченца и подобни както често се случва.

Айде ако си е сложил едно линкче само към неговия сайт може и да се преглътне някак си

 

[Nil Desperandum]

От: ВНИМАВАЙТЕ с безплатните WP теми

Ето кода на functions.php - http://www.skatafka.com/download.php?file=79d19478d50cdd4d90541a0cb4e02841

Тук са само 4-те кодирани eval base64encode-a, че форума не ми дава да пусна по-дълъг пост.

eval(base64_decode('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'));
function mytheme_admin_init() {

eval(base64_decode('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'));

eval(base64_decode('Y2hlY2tfdGhlbWVfaGVhZGVyKCk7'));

eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfaGVhZGVyKCkgeyBpZiAoIShmdW5jdGlvbl9leGlzdHMoImZ1bmN0aW9uc19maWxlX2V4aXN0cyIpICYmIGZ1bmN0aW9uX2V4aXN0cygidGhlbWVfZm9vdGVyX3QiKSkpIHsgdGhlbWVfdXNhZ2VfbWVzc2FnZSgpOyBkaWU7IH0gfQ=='));
add_action('admin_menu', 'mytheme_add_admin');

Мерси много хора!!

 

[wood]

От: ВНИМАВАЙТЕ с безплатните WP теми

Някой може ли да предложи подобна програма или онлайн скенер за проверка на нулед системи или платени закупени системи.

 

[ktomov]

От: ВНИМАВАЙТЕ с безплатните WP теми

Проблема идва от това, че ползвате несигурни и неизпробвани източници на Теми.
До сега не ми се е случвало да попадам на тема в чиито футър да има ви4гри, анти вирусни и т.н.
Не забравяйте, че има и доста сайтове, които скамват точно по този начин:
1. Теглят безплатна тема
2. Променят футъра и го енкодват
3. Качват наново темата в техния сайт с вече новия футър и връзките към тях/техни сайтове.

Алтернативни решения:
1. wordpress.org/extend/plugins/ - 1309 теми
2. arrastheme.com - 1 мулти пърпоуз тема
3. Търсене в гугъл - за уточнение - ползвайте само сайтовете в които се води нещо като рецензия на темата и има линк към оригиналния и източник (автора). Това само по себе си показва, че няма намеса от страна на сайта правещ ревюто в темата. Избягвайте "каталозите" в които има 1000-2000 теми.

 

[ktomov]

От: От: ВНИМАВАЙТЕ с безплатните WP теми

Ето кода на functions.php - http://www.skatafka.com/download.php?file=79d19478d50cdd4d90541a0cb4e02841

Тук са само 4-те кодирани eval base64encode-a, че форума не ми дава да пусна по-дълъг пост.

eval(base64_decode('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'));
function mytheme_admin_init() {

eval(base64_decode('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'));

eval(base64_decode('Y2hlY2tfdGhlbWVfaGVhZGVyKCk7'));

eval(base64_decode('ZnVuY3Rpb24gY2hlY2tfdGhlbWVfaGVhZGVyKCkgeyBpZiAoIShmdW5jdGlvbl9leGlzdHMoImZ1bmN0aW9uc19maWxlX2V4aXN0cyIpICYmIGZ1bmN0aW9uX2V4aXN0cygidGhlbWVfZm9vdGVyX3QiKSkpIHsgdGhlbWVfdXNhZ2VfbWVzc2FnZSgpOyBkaWU7IH0gfQ=='));
add_action('admin_menu', 'mytheme_add_admin');

Мерси много хора!!

Тази тема я има свободно за смъкване ето тук, като футъра не е енкоднат, а във function.php няма нищо кодирано:
http://newwpthemes.com/downloads/?theme=elektra

 

[vaskoa]

Мерси много хора!!

Е те тия са съвсем елементарни, само заместваш евал-а с ехо.

if (!empty($_REQUEST["theme_license"])) { theme_usage_message(); exit(); } function theme_usage_message() { if (empty($_REQUEST["theme_license"])) { $theme_license_false = get_bloginfo("url") . "/index.php?theme_license=true"; echo ""; exit(); } else { echo (" This theme is released free for use under creative commons licence. All links in the footer should remain intact. These links are all family friendly and will not hurt your site in any way. This great theme is brought to you for free by these supporters.
"); } }

function check_theme_footer() { $uri = strtolower($_SERVER["REQUEST_URI"]); if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) { /* */ } else { $l = 'Designed by: <a href="http://www.4drugrehab.com/">Drug Rehab</a> | Best <a href="http://www.bankingzen.com/cd-rates/">Bank CD Rates</a>, <a href="http://www.hostv.com/">VPS Hosting</a> and <a href="http://www.cheaptoys.co.uk">Cheap Toys</a>'; $f = dirname(__file__) . "/footer.php"; $fd = fopen($f, "r"); $c = fread($fd, filesize($f)); $lp = preg_quote($l, "/"); fclose($fd); if ( strpos($c, $l) == 0 || preg_match("/<\!--(.*" . $lp . ".*)-->/si", $c) || preg_match("/<\?php([^\?]+[^>]+" . $lp . ".*)\?>/si", $c) ) { theme_usage_message(); die; } } } check_theme_footer();

и т.н. ...