Как расшифровать php код в футере и удалить спонсорские ссылки
21 Mar 2016 | Автор: dd |Наверняка каждый вебмастер, рано или поздно, сталкивался с тем, что никак не мог удалить ссылки из футера новообретенной фришной темы, т.к часть кода или файл раздела (как на примере WordPress – footer.php) представлял собой набор крякозябр.
Попытка удалить их, естественно, делала сайт неработоспособным, т.к часть шабла, за которую отвечали крякозябры, отваливалась.
В данном случае в шаблоне использовалось шифрование средствами php. Вариантов шифрования достаточно много и расшифровываются они все по разному, в зависимости от использованной методики шифрования.
Тут надо заметить, что основной проблемой зашифрованных кусков кода в шаблонах, являются даже не спонсорские ссылки, которые дизайнеры продают по $70-100 при разработке шаблона. Хотя когда в шабле понатыкано штук более 3х ссылок- это уже жлобство. Но самой большой опасностью шифрованных кусков кода, является то, что в зашифрованном фрагменте могут быть внедрены любые калитки для заливки шеллов, iframe для XSS-атак, вредоносные элементы для атаки посетителей, редиректы и вообще что только душе угодно.
Именно по этой причине, стоит быть в курсе, что же за php код скрывается в зашифрованном элементе. А уж ссылки, если вы ратуете за благодарность дизайнерам, можно опционно оставить. Тем более, что любой антивирус, при проверке шаблона, будет ругаться на зашифрованный кусок, как потенциально опасный элемент.
В основном для шифрования кода php используется обработка на основе MIME base64, с различными вариантами упаковки кода, каждый из которых надо декодировать собственным вариантом.
Естественно, что если вы опытный прогер, то можете написать свой дешифратор, но нам, людям простым и малообразованным, проще воспользоваться сторонними сервисами, где умные люди уже о нам позаботились и нам остается только вставить кусок кода, чтобы расшифровать php вызывающий у нас изжогу и ночные кошмары.
1. Самый простой вариант это шифрование как раз с помощью чистого base64, о чем нам и объявляется в начале выражения:
eval(base64_decode('ENCRYPT_CODE=='));
копируем содержимое кавычек ENCRYPT_CODE==, без них, и вставляем их в форму дешифровки по этому адресу base64-encoder-online.waraxe
2. Несколько более усложненный вариант – это код пожатый с помощью zLib и зашифрованный с помощью base64, который выглядит как:
eval(gzinflate(base64_decode('ENCRYPT_CODE==')));
или как вариант
eval(gzinflate(str_rot13(base64_decode
копируем полностью все выражение от eval до ; включительно и загоняем его в форму расшифровки по этому адресу tareeinternet.com
Там же можно прочесть как создать собственный дешифратор у себя на сайте. Естественно с блэкджеком и IIIлюх@ми
3. Частный случай, встретившийся мне единожны – это использование в процессоре функции stripslashes, удаляющей слеши из кода. Выглядит он следующим образом:
eval(stripslashes(gzinflate(base64_decode('ENCRYPT_CODE==')));
расшифровать код php можно просто удалив из выражения stripslashes с обеими скобками и воспользовавшись предыдущим дешифратором. Но тогда придется руками убирать все слеши, что добавятся без смысла в html теги и php выражения, ибо с ними ничего не будет работать.
Либо же можно воспользоваться дешифратором именно для этого типа кода в который загоняем опять же содержимое кавычек без них. Дешифратор соответственно самостоятельно расшифрует код php и уберет лишние символы.
4. Несколько раз приходилось нарываться на вообще какую то диковенную конструкцию, содержащую непонятные выражения коммерческого Byterun шифрования:
<?php $_F=__FILE__;$_X='ENCRYPT_CODE';eval(base64_decode('rubbish'));?>
копируем шифрованный текст вместе с кавычками и дешифруем его на знакомом нам, уже по второму пункту, сайте.
З.Ы Самый прикол, что при сохранении данной статьи в черновики, в формате RTF, мой антивирус ESET NOD32 углядел опасность для системы, в виде нежелательно исполняемого файла типа php/obfuscated.F, т.е антивирус, попросту, сигнатурно настроен на заголовки шифрования, по которым и определяет наличие потенциально опасного кода.
Как говорится, обжегшись на молоке, антивирь уже дует на воду.
Как расшифровать php код в футере и удалить спонсорские ссылки,Теги: IT безопасность, сайты
