1

Убираем закодированный подвал (footer.php)

Posted by elimS on Апр 3, 2009 in WordPress, Статьи
Google Buzz

Вчера возился с одним шаблончиком, который нашел на забугорном сайте. Я вообще с wordpress’ом познакомился недавно (наконец-то руки до него дошли), но уже успел пару раз услышать про закодированные футеры. Что они из себя представляют и зачем их кодируют – не знал, но на заметку взял – надо проверять footer.php в шаблонах (так.. на всякий случай). Вот вчера мне такой шаблон и попался, с закодированным подвалом.

Открыв файл footer.php я опытным глазом увидел текст в кодировке Base64. Текст закодированный в этой кодировке обычно заканчивается символами «==».

Вот код, если кому интересно:

<?php $_F=__FILE__;$_X=’Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8Z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’;eval(base64_decode(‘JF9YP
WJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM
0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GS
UxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw==‘));?>

Следующий шаг: декодировать этот текст. Вводим в гугле «online base64 decode» и попадаем сюда.

Присмотревшись к коду, копируем первую часть зашифрованного подвала:

Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8ZDR2IGNsMXNzPSJmMjJ0NXJsNG5rcyI+IA0KCQkNCgkJR
DVzNGduNWQgYnk6IDwxIGhyNWY9Imh0dHA6Ly93d3cucDJ3NXJuNXRzaDJwLjF0LzFkMXB0NX
IvZjFocno1M2c1L2YycmQvIiB0NHRsNT0iRjJyZCI+RjJyZDwvMT4gOjogDQoJCQ0KCQkgSW4gQ
zJsbDFiMnIxdDQybiB3NHRoIDwxIGhyNWY9Imh0dHA6Ly93d3cuZjRyNWMxczRuMnMuYzJtIiB0N
HRsNT0iT25sNG41IEMxczRuMnMiPk9ubDRuNSBDMXM0bjJzPC8xPiwgPDEgaHI1Zj0iaHR0cDovL3
d3dy5jaDUxcC1jMXItNG5zM3IxbmM1LXQ0cHMuYzJtIiB0NHRsNT0iQzFyIEluczNyMW5jNSI+QzF
yIEluczNyMW5jNTwvMT4sIDwxIGhyNWY9Imh0dHA6Ly93d3cuaDJtNTRtcHIyIiB0NHRsNT0iSDJ
tNSBJbXByMnZtNW50Ij5IMm01IEltcHIydm01bnQ8LzE+DQoJCQ0KCTwvZDR2Pg0KPC9kNHY+D
Qo8L2Q0dj4NCjwvYjJkeT4NCjwvaHRtbD4NCg0K

Тыцкаем на сайте «decode the data from a Base64 string (base64 decoding)» – тоесть говорим что мы хотим из кодировки получить текст, а не наоборот. И жмем кнопку «Convert the Data source»

В результате видим следующее:

?><d4v 4d=»f22t5r»> <d4v cl1ss=»f22t5rl4nks»> D5s4gn5d by: <1 hr5f=»http://www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/» t4tl5=»F2rd»>F2rd</1> :: In C2ll1b2r1t42n w4th <1 hr5f=»http://www.f4r5c1s4n2s.c2m» t4tl5=»Onl4n5 C1s4n2s»>Onl4n5 C1s4n2s</1>, <1 hr5f=»http://www.ch51p-c1r-4ns3r1nc5-t4ps.c2m» t4tl5=»C1r Ins3r1nc5″>C1r Ins3r1nc5</1>, <1 hr5f=»http://www.h2m54mpr2″ t4tl5=»H2m5 Impr2vm5nt»>H2m5 Impr2vm5nt</1> </d4v> </d4v> </d4v> </b2dy> </html>

Посмотрев на эту абракадабру и на слова t4tl5 и d4v, можно заметить что заместь «4″ должна быть буква «i». Ага, значит некоторые символы заменены.

Посмотрим-ка что в следуйщей части закодированно.
Копируем:

 

JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZS
csJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0Y
uIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw==

 

Декодируем так же, как я написал выше и получаем:

 

$_X=base64_decode($_X);$_X=strtr($_X,’123456aouie’,'aouie123456′);$_R=ereg_replace
(‘__FILE__’,»‘».$_F.»‘»,$_X);eval($_R);$_R=0;$_X=0;

 

Опять-таки, опытный глаз замечает то, что нам нужно: «strtr($_X,’123456aouie’,'aouie123456′)».
Тут функция заменяет «1″ на «а», «2″ на «о», «3″ на «u», «4″ на «i», и так далее.

 

Запускаем блокнот, вставляем

 

?><d4v 4d=»f22t5r»> <d4v cl1ss=»f22t5rl4nks»> D5s4gn5d by: <1 hr5f=»http://www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/» t4tl5=»F2rd»>F2rd</1> :: In C2ll1b2r1t42n w4th <1 hr5f=»http://www.f4r5c1s4n2s.c2m» t4tl5=»Onl4n5 C1s4n2s»>Onl4n5 C1s4n2s</1>, <1 hr5f=»http://www.ch51p-c1r-4ns3r1nc5-t4ps.c2m» t4tl5=»C1r Ins3r1nc5″>C1r Ins3r1nc5</1>, <1 hr5f=»http://www.h2m54mpr2″ t4tl5=»H2m5 Impr2vm5nt»>H2m5 Impr2vm5nt</1> </d4v> </d4v> </d4v> </b2dy> </html> 

 

Жмем «Правка»->»Заменить». Говорим что »1″ заменить на «а», ну а дальше, думаю Вы поняли.
В результате у нас получилось:

 

?><div id=»footer»> <div class=»footerlinks»> Designed by: <a href=»http://www.powernetshop.at/adapter/fahrzeuge/ford/» title=»Ford»>Ford</a> :: In Collaboration with <a href=»http://www.firecasinos.com» title=»Online Casinos»>Online Casinos</a>, <a href=»http://www.cheap-car-insurance-tips.com» title=»Car Insurance»>Car Insurance</a>, <a href=»http://www.homeimpro» title=»Home Improvment»>Home Improvment</a> </div> </div> </div> </body> </html> v> </bjdy> </html> 

 

Из полученного видно, что кроме пары лишних ссылок в зашифрованом подвале ничего страшного не хранилось. Осталось только удалить лишние ссылки и добавить свои.
UPD: Хотел написать php скрипт, который бы раскордировал закодированные подвалы, но вот увидел такую ссылку. Ссылка ведет на страничку где это уже реализовано. Насколько хорошо оно декодирует подвалы еще я не опробывал. Опробую позже, когда будет надобность.

Метки: ,

 
0

1-я новость

Posted by elimS on Апр 2, 2009 in Новости
Google Buzz

Собственно завел блог elimS.org.ua

 
0

Статьи

Posted by elimS on Апр 2, 2009 in Статьи
Google Buzz

Пока статьей нету, но позже будут;)

 
3

Free Proxy

Posted by elimS on Апр 2, 2009 in Мои Сайты
Google Buzz

Первый сайт, который я создал был посвящен прокси серверам. Я в то время любил побаловаться вредными скриптами, для которых нужно было много прокси-серверов.  Наловчился собирать в интернете довольно большие прокси-списки и решил не жадничать, делиться списками с теми, кому они тоже могут понадобиться.

 

Не скажу что сайт успешный, но и от  того, что  каждый день его посещают от 30 до 90 уников забрасывать не хочеться. Сайт посвящен прокси серверам, на нем я выкладываю свежие и бесплатные прокси списки  - free-proxy.org.ua

Метки:

 
0

Нет худа без добра

Posted by elimS on Апр 2, 2009 in О жизни
Google Buzz

Докатился и до нашей компании кризис. Большинство работников переведенно на 4-х часовой рабочий день. Так что теперь будет больше времени для изучения блогосферы. Попробую и я стать блогером. Вдруг что-то да получиться :)

 
9

Привет, мир!

Posted by elimS on Апр 2, 2009 in Без рубрики
Google Buzz

Добро пожаловать в мой блог. Это моя первая запись.

Страница 3 из 3123