Декодируем base64 в футере или functions.php

В очередной раз скачал себе для MFA просто улетную тему под WordPress, которая мне очень понравилась, но и как любая хорошая и бесплатная тема, она имела в футере туеву хучу ссылок.И естественно футер был закодирован, так как если кто не в курсе- это довольно не плохой бизнес- люди клепают или нулят купленные темы, и плюкают в них свои спонсорские ссылки, снимая по 400-500 грина с темы, да еще и имея кучу бесплатных линков на свои проекты. Обычно, если в теме 1-2 линка, но тема мне нравится- я не быкую и использую её, хотя если футер или functions.php не зашифрован, то я конечно их либо удаляю, либо редиректну.

А от жести, когда алчный вебмастер хлопает по 5-6 ссылок, просто отказываюсь. Но эта была уж слишком хороша, так что я решил что оно мне надо. Года два назад, когда я еще только начинал ковыряться со всей этой шнягой, я использовал следующий метод: создавал файл decrypt.php со следующим содержимым:
### decrypt.php ###
<?php
echo “\nDECODE nested eval(gzinflate()) from Taree Internet <www.tareeinternet.com>\n\n”;
echo “1. Reading coded.txt\n”;
$fp1 = fopen (“coded.txt”, “r”);
$contents = fread ($fp1, filesize (“coded.txt”));
fclose($fp1);
echo “2. Decoding\n”;
while (preg_match(“/eval\(gzinflate/”,$contents)) {
$contents=preg_replace(“/<\?|\?>/”, “”, $contents); eval(preg_replace(“/eval/”, “\$contents=”, $contents)); } echo “3. Writing decoded.txt\n”; $fp2 = fopen(“decoded.txt”,”w”); fwrite($fp2, trim($contents)); fclose($fp2);
?>
#########
Также создавал файл coded.txt в который вписывал шифровку, и пустой файл decoded.txt. Все это богатство записывалось в любую папку на хостинг, при этом на файл  decoded.txt выставлялись права 666, и обращался к файлу decrypt.php, в результате получая на выходе расшифровку.
Но потом забил на все это дело. Но вчера озадачился, тем более что по сути- данные шифровки являются опасной уязвимостью сайта, так как в них можно зашифровать все что угодно, от XSS атаки и iframe до бэкдора. Так что полез в инеты, в результате чего, нашел несколько онлайн сервисов расшифровки, подходящих для двух наиболее популярных методов шифрования:
1. base64, который выглядит следующим образом
eval(base64_decode(‘SGksIG1hbg==’));

2. для упаковки zLib загнанной также в base64, которая выглядит так
eval(gzinflate(base64_decode(’80jNyclXyFTPVUhJTc5PSU0BAA==’)));
и его производную  eval(gzinflate(str_rot13(base64_decode

3. и для совсем уже страшной конструкции, не поддающейся моему пониманию
<?php $_F=__FILE__;$_X=’encrypted_text‘;eval(base64_decode(‘rubbish’));?>

Собственно для борьбы  со всей этой пакостью надо делать:
1. Идем в сервис по этой ссылке и ставим в поле дешифровки только содержимое апострофов:  SGksIG1hbg==
2. Идем по этой или этой ссылке, где вставляем полностью весь текст eval(gzinflate(base64_decode(’80jNyclXyFTPVUhJTc5PSU0BAA==’)));
3. Идем по этой ссылке и вписываем в декодер только encrypted_text .

Якоря: , ,

Post a Comment