momencik..
Sorry, naprawdę jestem zajęty i nie mogłem wcześniej..
Temat przewija się często, również w innym moich ..sprawach.. Jednak gł. chodzi o to, że ciągle są włamy do WP. Sam mam kilka stronek opartych o silnik WP, (choć nie są to blogi..)
W związku z tym, że dużo ludzi o to pyta, choć jestem zdziwiony, że dotarło to tu.. mam nadzieje, że nie nastąpił jakiś przeciek hehe
Napiszę tutorial, oraz udostępnię swoją złożoną zabawkę - będzie to widoczne z każdego miejsca, nawet dam linka na górę po prawej, gdzie mam linki do "warstw" smf i na stronę gł.
W sumie to potrzeba mi godzinki na obróbkę laya, ale problem w tym, że muszę ja mieć.. Może jeszcze dziś?
O co caman?
Producenci styli czasem piszą, ok masz tu supr fajną skórkę do WP i jest ona totalnie free, weź i używaj jej zupełnie za darmo.. - czy aby na pewno?
Okazuje się, że doklejany jest do stopy stylu zamaskowany dla oka ludzkiego kod, w którym są np. linki zwrotne, albo do jakiś kasyn, itp itd, ale zdarza się coś znacznie powazniejszego. Np. jakies ze 2 może 3 lata temu firma 3rd party czy jakoś tak, rozdawała tzw. "fajne style" za free do WP, tylko, że w kodzie stylu były zamaskowane backdor'y i exploidy. Ktos sobie instalował styl i było to równoznaczne z tym hmm jakby na ulicy ktoś ściągnął gacie i tak chodził.. lub wyciekały dane, lub ktos wtedy mógł zniszczyć taką stronę. całkiem easy..
Rozumiem, producentów styli, sam nim jestem.., i byłbym idiotą, gdybym miał coś przeciwko zarabianiu pieniędzy.., rozumiem też, ludzi, którzy piszą style np. po to, żeby się zareklamować, gdzieś zaistnieć, a te rzekomo darmowe style, są po to, żeby ludzie mogli trafić do autora i sobie kupić coś bardziej zaawansowanego.. jednak ukrywanie kodu i to w czasie, kiedy z miesiaca na miesiąc wzrasta liczba włamów do WP, jest niestosowne, mówiąc delikatnie.. jeśli ktoś mówi Ci, że to styl kompletnie za free, a w kodzie umieszcza, że nie wolno edytować jakieś linii kodu (gł z "eval" na początku) i po rozkodowaniu okazuje się że są tam jakieś dodatkowe linki referujące do jakiś stron i to kilka, to dajesz tym samym pełny suport autorowi tego stylu, więc nie jest to za free.. To tak jakby ktoś Ci powiedział, ok, masz tu wypaśny styl, masz go za darmo, nic nie musisz płacić, hmm tylko mi obciągnij.. jakś różnica? może w nazewnictwie? chyba tylko..
Więc nie ma co się dziwić np.:
http://blog.4rev.net/2009-09/wordpress-hacked-eval-base64_decode-_serverhttp_referer/Owszem pomogę wam z rozkodowaniem, nie dlatego, żeby łamać czyjeś prawa autorskie!! Ale dlatego, że jeśli ktoś jest w porządku, to nie powinien niczego ukrywać nieprawdaż?
Czasem jest to potrzebne właśnie dla ochrony, ale nie przesadzajmy, że nie mogę tego zobaczyć.. Jesli jest ok, to w porządku, a jeśli jednak nie?
Tu przytoczę zabawy gostka, któremu spodobał się styl, i postanowił go sobie zamontować, ale potrzebował edycji stopy, ponieważ chciał tam zamieścić dodatkowe linki do swoich własnych sponsorów czy jakieś inne mniejsza o to, ale zobaczył tam, że jest jakiś dziwny kod.
To źródło - blog Karana:
http://www.karananand.uni.cc/the-easiest-way-to-decode-decrypt-eval-gzinflate-str_rot13-base64_decode-or-__f__file____c.htmlOtóż wykombinował sobie, i całkiem słusznie, że można wyświetlić zawartość takiego kodu, zamieniając "eval" na "echo" w takich przypadkach zakodowania:
Encrypting Functionseval(gzinflate(base64_decode(
eval(gzinflate(str_rot13(base64_decode(
eval(gzinflate(base64_decode(base64_decode(str_rot13(
eval(gzinflate(base64_decode(str_rot13($__F=__FILE__;$__C
Ok, dostaniemy ten kod już wyświetlony.. i tu Karan pokazuje przykład swojego kodu, który mu się wyświetlił.
Następnie proponuje, żeby taki wyświetlony kod, tj po wyegzekwowaniu go w przeglądarce, czyli po stronie klienta, wyświetlić źródło i to co tam będzie, wrzucić zamiast zamaskowanego kodu..
hmm nie mogę się z tym zgodzić..
O ile ten jego kod:
<?php eval(gzinflate(base64_decode("dVHBSsQwEL0v7D8MOdsGPHiQNB5WPO
qyCB4laaZt2LYJk2ipX28alIK2k0vgvXnvzcyDFMZ+gjUVa5yLSEweD8cDpPoDFANG
taK5bABP7sP0M3g3IaEBPYNQ0BE2Feti9PecT46MJwyhdNQyiIpajBV7170ar0y+Jf
i8wIIrKTQBl6vFIwbbjju601QGNdfJ1sZakQll7Yb/BqdMgFNiwEvTIGWnm029hhCL
yRexwwGz3hqfp6xneM0I3JZ3iwpcsEcVUsCn1LmXsk4kTTbOI06hdSFYn6U3sv4y4T
lR93MS2qsdlCFrtoe+LIScUI1mU2LEWESsS22/0mCoTV51bgHB0/Hzrbd+6xNcOzP/
wF0cevkN"))); ?> // Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.043s | speed:9.46 KB/s
W podglądzie źródła czy po rozkodowaniu wygląda podobnie:
?><br clear="all" />
</div>
<div id="footer">
<div class="footer"> <a href="http://www.kostenlose-pr.eu/kategorie/essen-trinken/" title="Essen">Essen</a> | <a href="http://urltra.de/suche/0/kurzreisen/" title="Kurzreisen">Kurzreisen</a> | <a href="http://www.hochzeit.dk/forum/sexy-dessous-fuer-die-hochzeitsnacht,105/" title="Dessous">Dessous</a> | <a href="http://newsongs.name/" title="New songs">New songs</a> | <a href="http://lyricsmusic.name/" title="Music Lyrics">Music Lyrics</a>
</div>
<div class="top"><a href="#top">Top</a></div>
</div>
</div>
<div id="wrapper_"></div>
</body>
</html>
<?
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.039s | speed:15.92 KB/s
To ma służyć tylko i wyłącznie zobaczeniu "z grubsza" o co kaman z tym kodem, ale taki należy na pewno właściwie rozkodować.
To są zaawansowane algorytmy i można np. wymusić powiedzmy kilkaset obiegów, tj zakodowania itd.. może pokuszę się o więcej info w tutorialu..
Teraz inny przykład, to przykład kodu od Maciek95.
Napisałem, wcześniej, że podaję to w postaci poglądowej, czyli od strony klienta.
@Maciek95, teraz pokażę Ci co dokładnie zawiera ten kod:
(to dane z decodera więc są dodane znaczniki php - na początku - zakończenie, a na końcu kody początek, te znaczniki trzeba usunąć przy ponownym zakodowaniu)
?>
<div class="clear"></div>
</div>
<!-- /Main -->
<!-- Footer -->
<div id="footer">
<!-- Footerbar -->
<div id="footerbar">
<div id="footerbar-left">
<h3>Recent Articles</h3>
<ul class="footerbar-left-in">
<?php wp_get_archives
('type=postbypost&limit=4'); ?> </ul>
</div>
<div id="footerbar-center">
<h3>Recent Comments</h3>
<ul class="footerbar-center-in">
<?php $sql = "SELECT * FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID = $wpdb->posts.ID) WHERE comment_approved = '1' AND comment_type = '' ORDER BY comment_date DESC LIMIT 0 , 4"; $comments = $wpdb->get_results($sql); foreach ($comments as $comment) { $data = $comment->comment_author . " @ " . $comment->post_title; echo "<li><a href=\"" . get_permalink
($comment->comment_post_ID) . "\">" . substr($data,0,40) . " ...</a></li>"; } ?></ul>
</div>
<div id="footerbar-right">
<h3>Theme Credits</h3>
<ul class="footerbar-right-in">
Designed by: Designed by: <a href="http://www.powernetshop.at/adapter/fahrzeuge/bmw/">BMW</a>
<br />
<br /><a href="http://www.ericssonphone.net">Sony Ericsson Phones</a>
<br /><a href="http://webhosting.reviewitonline.net/web_hosting_reviews/fatcow_review.htm">FatCow</a>
<br /><a href="http://www.bigdogaudio.de/lautsprecher-fahrzeugspezifisch/">Car Audio Auto Hifi</a>
</ul>
</div>
</div>
<!-- /Footerbar -->
<!-- Copyright -->
<div id="copyright">
(c)Copyrighted <a href="
<?php echo get_option
('home'); ?>/">
<?php bloginfo
('name'); ?></a> Theme, All Rights Reserved.<br /><font size="1"><font color=#8A8A8A>The logo and all related images are trademarks of Sony Ericsson. The blog is not affiliated in any way with Sony Ericsson nor with the designer.</font></font>
</div>
<!-- /Copyright -->
</div>
<!-- Footer -->
</div></div></div>
<!-- /Page -->
<?php wp_footer
(); ?></body>
</html>
<?// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.034s | speed:56.89 KB/s
Jak widać są tu nawet odwołania do bazy i inne ..kody działające po stronie servera, a nie przeglądarki.
Maciek, to jest naprawdę rzetelnie rozkodowany kod, możesz ponownie zakodować, ale bez
?> na początku i bez
<? na końcu kodu.
Tu masz Encoder, uwaga wrzuciłem go do wyskakującego okna, stosując js z tego forum, dlatego jeśli ktoś ma odpalony Chat w oknie, to mu zamieni na ten Encoder!
Kliknij na ten buttonik:
:: Ecoder Online :: O ile chcesz swój kod zakodować z powrotem. Jeśli wrzucisz ten kod, w takiej formie jak teraz go podałem czyli rozkodowanej, ale dokładnie, to żaden problem, żeby zamienić ten co był na ten rozkodowany.
UWAGA !! - Zaznaczam, że nie jest moim zamiarem łamanie praw autorskich, i jeśli ktoś to robi, to sam za to odpowiada, okay?
Robię to wyłącznie w celu edukacyjnym i dla tego, że w czasach kiedy co chwila są włamy do WP, właściciel każdego WordPressa powinien wiedzieć co kryje się w zakodowanym kodzie.
Jeśli ktos chce coś więcej wiedzieć na temat samych funkcji i algorytmów, to polecam PHP manual'e:
base64_decode();base64_encode();gzinflate();gzdeflate()str_rot13();Napisze, tj. prawie skończyłem tylko brakuje mi dwóch elementów i chyba doraźnie wrzucę od innych w ramkach.. i może jak czas pozwoli, to jeszcze dziś zamontuję tu na forum. będzie można samemu sobie rozkodować, czy zakodować nieznany kod eval.. bla bla
Póki co, to jesli ktoś ma z tym problem, chce wiedzieć co jest pod ukrytym kodem, a jeszcze nie ma moich decoderów, to proszę się nie krępować i napisać nowy topic, lub dopisać swój kod w tym topicu, tylko proszę pisać na forum w odpowiednich działach, a nie na prywatną skrzynkę, ponieważ niestety brakuje mi czasu, żeby tam zaglądać, okay?
Proszę wklejać kod -> rozwijane pole select z GeSHi i tu proszę wybrać język php. Będzie po prostu czytelniej.
Pozdrawiam
roco