войти зарегистрироваться

Wordpress whois

индекс
100,49

Неприятные сюрпризы русифицированных тем Wordpress. Прочитайте сами, предупредите других

Просматривая образцы присылаемого блоггерами спама, наткнулся на вот такие сайты:
  • wptheme.ru
  • wptheme.us
  • wpbox.ru
Доменные имена показались мне подозрительно созвучными с сокращением от Wordpress. Перешел я по ссылкам, и вижу: и правда, вроде как «белые» сайты по этой тематике.

Но не все так просто. На сайтах предлагают скачать русифицированные темы для Wordpress. Скачал я несколько таких тем и залез в код. В файле footer.php, отвечающем за формирование «подвала» страниц, я обнаружил вот такой зашифрованный фрагмент:

<? echo(base64_decode("0JvQvtC60LDQu9C40LfQsNGG0LjRjyA8YSBocm
VmPSJodHRwOi8vd3B3b3JsZC5ydSIgdGl0bGU9ItCc0LjRgCBXb3JkcHJlc3MiIHRhcmdld
D0iX2JsYW5rIj7QnNC40YAgV29yZHByZXNzPC9hPi4g0KLQtdC80LAg0L/QtdGA0LXQst
C10LTQtdC90LAg0L3QsCDRgdCw0LnRgtC1IDxhIGhyZWY9Imh0dHA6Ly93cHRoZW1lc
y5ydSIgdGl0bGU9ItCi0LXQvNGLINC00LvRjyBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj
7QotC10LzRiyDQtNC70Y8gV29yZHByZXNzPC9hPi4="));?>

Но и это еще не все. Пошел я изучать эти зараженные темы для Wordpress дальше. Открываю файл index.php (в других темах были «закладки» и в других файлах), отвечающий за формирование главной страницы. Батюшки святы, что я вижу!

Рубрика<?php $str = 'PGEgaHJlZj0iaHR0cDovL3d3dy53cHRoZW1lLnVzIiB0aXRsZT0i0KLQtdC80Ysg0L
TQu9GPIFdvcmRwcmVzcyI+OjwvYT4='; echo base64_decode($str);?>

Угадайте, что я обнаружил, когда расшифровал его? (ссылка на отгадку убрана, дабы почтить правила сайта, так что ищите сами ссылку на блог Parasite Eliminator, на тот пост, где отгадка :)
+66
24 ноября 2008, 08:54
6
Novikov

комментарии (62)

  • старая фишка ((

    хотя бы русские спамеры — глупые как хз что. иностр темы еще в добавок всякими ob_start && preg_match защищены, они пустой экран показывают когда ссылки убираешь) а наши так… деревяшки.
    • но зарубедные темы — хотя бы первоисточник, и ссылку там я бы оставил, а русские — УГ
      • Так эти же еще и шифруют ссылки — считай, стырили ссылку у блоггера. А если еще окажется, что поисковики трастовость понижают из-за ссылок на говносайты…
        • :)

          как бы дитя не тешилось, лишьбы не плакало. шоколад то надо же после школы на чтото покупать)
        • Посиди попереводи тему, а потом вякай.
          Обычно автор перевода дает ссыль на себя и он это заслужил.
          • Ух ты, они еще и разговаривают.
    • Вот только что один из блоггеров у себя нашел такие «закладки». Причем довольно уважаемый сайт.
  • Предлагаю выкладывать названия тем для WP в которых обнаружен данный «спам». Что бы коллегам было легче выявить линки и убить их.

    Я пожалуй начну, у меня стоит тема — Brilliance 1.0, так что знайте блогеры у кого эта тема, там понатыкано 5 линков.
    • Все еще проще — спамеры распространяют зараженные темы :-) Даже сканировать или выкладывать названия не надо. Могут быть с любыми названиями.
      • Идею я написал в аську, написать сканер ) Пусть спамеры учат другие варианты «закрытия» линков, а то base64 это как-то совсем ламерски.
        • Пока простая инструкция — поискать самому в файлах на своем блоге строчку base64decode :)

          Кстати, спамеры любят присылать каменты, в которых ссылку ставят с пробела или с точки. Типа, чтобы не заметили. Сканер такого говна будет включен в одно из следующих обновлений Parasite Eliminator.
          • По моему со скрытыми ссылками, с точек, пробелов и прочего, должны бороться поисковики (или какой-нибудь новый сервис — ПроверьСвойСайт), их визуально трудно заметить.
            • Вот я в Parasite Eliminator встрою скоро такой проверяльщик комментариев.
        • Кстати, ламеры-то ламеры, а ты тоже попался :-)
          • Что самое интересное, я ведь видел эти закодированные куски сразу, когда ставил темку, но почему то интуиция и здравый смысл не заставили проверить что же там (((
            • Я вот когда вижу подобные куски в подвалах сайтов, да еще с джаваскриптом — обычно вирусня там оказывается.
              • В былые времена я подобным жаба-скриптом кодировал e-mail'ы на своих сайтах, чтобы боты их не могли прочитать. Впервые эту фишку тогда обнаружил на сайте компании Берлин-Авто.
    • Не проще ли просто просканировать тему на слова «base64_decode»? Вырезать их, и пользоваться.
  • Этот финт ушами называется sponsored theme и в свое время такие темы были выкинуты нахрен с wordpress.org
    • Дело в том, что там даже не sponsored — тупо берутся чужие темы, как-то там русифицируются, а затем туда фигарятся эти ссылки.
  • пара preg_match и можно эти темы юзать) можно сделать в виде сервиса.
    • Да я вот думаю, а не юзают ли уже :)
      • Судя по минусу, юзают :-))
  • ИЗ ЖОПЫ В ТОПЫ!!!
  • Просто проверяйте наличие внешних ссылок на сервисах типа pr-cy.ru, зачем список тем выкладывать?
    • Просто проверяйте исходники перед тем, как выложить все на публичный сервер -) Так будет по-моему еще вернее.
      • все 250 мегабайт? :)
        • Да, все 250 -) Есть масса софта которая позволяет производить массовый поиск )
  • урок — желательно пробежаться глазами по исходникам=) учту.
  • А ведь так наверное можно всё что угодно скачать, вплоть до самого движка, который будет подчинятся тому кто подредактировал код.
    • Легко. Потому и не стоит брать темы с левых сайтов.
  • Ну и что тут такого — каждый крутится как может, тебя что кто-то заставляет эти темы скачивать, не нравится не качай. Он же не вирусню там засунул или кодеки, чего ж ты паришся?
    • Хоть и заминусовали человека, но я согласен!
      Не хочешь левого кода — делай тему сам — верстай или русифицируй готовую.
      Ан нет, лень же всем, халявки надо.
      Так что жалобы типа — «ах они гады в бесплатную тему навставляли ссылок» — ничем не обоснованы кроме лени и жадности.
      • Ага, и линуксом пользоваться не надо, а то потом жалуются на что-то. Сам делай, а нет, халявки надо, лень всем…
        Не?
        • Именно так!
          Пользуешься линуксом — никто тебе ничего не должен, потому что ты ни копейки за него не отдал.
          Другое дело, если ты за него платил. Тогда жаловаться имеешь полное право.
          А так — уж извините, слишком сопливо выглядит это негодование.
      • Подлянки строить — это мерзковато.
        Понимаю, если бы честно предупреждали — вот мы вам ссылку поставим, раз уж вы темой пользуетесь. Никто со здоровой головой и не откажется из благодарности.
  • нда… тупые ребята…

    надо делать так!

    fucntoins.php

    add_action('wp_footer', 'showmylinks');
    function showmylinks(){
    // показываем линки
    }

    и по практике 100% footer.php содержит
    <?php
    do_actions('wp_footer');
    ?>

    — а поправде говря ведь все что надо так это черт побери вписать о линках в лицензию. GPL йопта, право имеют. все равно никто не читает.
    • 99%, я такой хлам первым делом вычищаю, вместе с wp_header(), а то эти идиотские плагинописатели.
      • и что много такого хлама встречается?

        (я просто с нуля темы делаю, и редко использую готовые)
        • и я особо не использую, просто часто копаюсь — изучаю разные приёмы сборки и плагины.
      • кстати плагинописатели не идиоты, по крайней мере не все… так что не кидайте камушки.
        • идиотскими я называю грязные приёмы внедрения в код, после которых стыдно за свой сайт становится. процентов 80% плагинов мне просто стыдно ставить — всякие там OpenID, предпросмотры, антиспамы и прочее.
  • Вот потому и следует темы только с сайтов разработчиков скачивать, а не абы откуда…
    Я свои шаблоны только на своем сайте выкладываю, а то уже навидался как на подобных сайтах в них всякую фигню встраивают.
    • wordpress.org/extend/themes

      1) у вас на сайте его найдет и скачает (все к примеру) челвоек 20, на сайте вордпресса в несколько сот раз больше.
      2) опять же на офф сайте, говна не держат.
  • Там по размеру видно, что кодированные части есть. Нормальный футер, к примеру, весит 1-3кб, кодированный до 300. Это если не открывая файлы смотреть. Названия тем выкладывать для предупреждения бесполезно, так как на сайтах авторов эти же темы лежат без кодирования, чистыми. Это наши проходимцы кодируют. Зачастую там не только закодированные ссылки, но еще и плохой перевод, изменения в коде, удаление ссылок на автора дизайна. Хорошие локализации видел у wpbot.ru и себя любимого=)
  • После того как столкнулся с тем-же, о чем пишет автор. Чистил, плевался. Теперь стал более бдительным. Лучше потратить пару часов на собственноручный перевод оригинальной темы, чем, на протяжении нескольких дней обнаруживать в коде такие вот «сюрпризы» и их вычищать. Мой блог посещает не много народу, поэтому обошлось без последствий.
    • asc
    • asc
    • 24 ноября 2008, 14:23
    • #
      • 0
    приведенный в заметке код почти безобиден, несколько дней назад я наткнулся на более изощренный код в footer.php с использованием конструкции

    <? eval(gzinflate(base64_decode('
    тут 8 килобайт запакованной гадости
    '))); ?>

    злоумышленник также использовал принцип вложенности упаковки, то есть данный код повторяется десятки раз внутри запакованного кода

    жесть.
  • Уже пора производителям антивирусов на такие конструкции сигнатуры делать, чтобы незадачливым блоггерам антивирус сообщал о спамерских закладках в свежескаченной теме.
    • Если я не ошибаюсь, эвристики на eval(gzinflate(base64_decode(...))) срабатывали. По крайней мере, упакованный таким способом веб-шелл r57 обнаруживался как «подозрительный код».
      • r57 даже не упакованный всегда был подозрительным =(
  • Да, было и у меня такое :(
    Но, поскольку я люблю ковыряться в коде, то нашел эти странные фрагменты и успешно ликвидировал.
    Но не все ведь лезут в код, так что за пост спасибо!
  • а я думал что за фигня кодированная, ушел удалять=)
  • Есть хороший плугин под Wordpress — называется TAC (Theme Authenticity Checker), прочесть подробней о нем можно по адресу builtbackwards.com/projects/tac/.

    Сканирует все установленные темы (а не только активную) на предмет скрытого левого кода.

    Плугин особенно удобен для тех, кто не хочет «рыться» в коде каждой темы.
  • Сслыки вставляют, как то слабо они… Раньше в моде было блоки адсенса вешать в тему.
  • >> предлагают скачать русифицированные темы для Wordpress
    меня бы одна эта формулировка навела на мысль, что где–то фейк порылся… ведь вордпресс в уникоде работает – о какой русификации идёт речь?
    • обычный перевод…
  • А я сегодня вообще вот такой сайт нашел у себя в спаме
    по ходу на днях регнут
    www.spamvragam.ru
    Блин чего только не придумают!?!

    • встречался с такими футерами… обычно через eval раскодируются… потом скрипт написал для раскодировки такой мути. жаль что на работе остался, с которой уже уволился((
  • А увидели Вы там ссылку на сайт автора. Кстати таки тем встречается все больше и больше.
  • Большое спасибо всем за ценную информацию, я как раз собирал подборку тем с официального WP когда там было множество тем и все удивлялся, почему вдруг их стало в 5 раз меньше.
  • Скачал, поставил плагин TAC, проверил темы (170) на удивление ни одной с закриптованным кодом не обнаружил, зато с ходу получил представление о статических ссылках в этих темах: примерно у трети нет ссылок вообще, у остальных от 1й до 20! (среднее примерно 3-5, на глаз)

    Скажите, пожалуйста, возможно ли другие методы вставки ссылок, которые плагин TAC не определяет?
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.