Как расшифровать php код в футере и удалить спонсорские ссылки

21 Mar 2016 | Автор: anchous |

Наверняка каждый вебмастер, рано или поздно, сталкивался с тем, что никак не мог удалить ссылки из футера новообретенной фришной темы, т.к часть кода или файл раздела (как на примере WordPress – footer.php) представлял собой набор крякозябр.

Попытка удалить их, естественно, делала сайт неработоспособным, т.к часть шабла, за которую отвечали крякозябры, отваливалась.

В данном случае в шаблоне использовалось шифрование средствами php. Вариантов шифрования достаточно много и расшифровываются они все по разному, в зависимости от использованной методики шифрования.

Тут надо заметить, что основной проблемой зашифрованных кусков кода в шаблонах, являются даже не спонсорские ссылки, которые дизайнеры продают по $70-100 при разработке шаблона. Хотя когда в шабле понатыкано штук более 3х ссылок- это уже жлобство. Но самой большой опасностью шифрованных кусков кода, является то, что в зашифрованном фрагменте могут быть внедрены любые калитки для заливки шеллов, iframe для XSS-атак, вредоносные элементы для атаки посетителей, редиректы и вообще что только душе угодно.

Именно по этой причине, стоит быть в курсе, что же за php код скрывается в зашифрованном элементе. А уж ссылки, если вы ратуете за благодарность дизайнерам, можно опционно оставить. Тем более, что любой антивирус, при проверке шаблона, будет ругаться на зашифрованный кусок, как потенциально опасный элемент.

В основном для шифрования кода php используется обработка на основе MIME base64, с различными вариантами упаковки кода, каждый из которых надо декодировать собственным вариантом.

Естественно, что если вы опытный прогер, то можете написать свой дешифратор, но нам, людям простым и малообразованным, проще воспользоваться сторонними сервисами, где умные люди уже о нам позаботились и нам остается только вставить кусок кода, чтобы расшифровать php вызывающий у нас изжогу и ночные кошмары.

1. Самый простой вариант это шифрование как раз с помощью чистого base64, о чем нам и объявляется в начале выражения:
eval(base64_decode('ENCRYPT_CODE=='));
копируем содержимое кавычек ENCRYPT_CODE==, без них, и вставляем их в форму дешифровки по этому адресу base64-encoder-online.waraxe

2. Несколько более усложненный вариант – это код пожатый с помощью zLib и зашифрованный с помощью base64, который выглядит как:
eval(gzinflate(base64_decode('ENCRYPT_CODE==')));
или как вариант
eval(gzinflate(str_rot13(base64_decode
копируем полностью все выражение от eval до ; включительно и загоняем его в форму расшифровки по этому адресу tareeinternet.com

Там же можно прочесть как создать собственный дешифратор у себя на сайте. Естественно с блэкджеком и IIIлюх@ми

3. Частный случай, встретившийся мне единожны – это использование в процессоре функции stripslashes, удаляющей слеши из кода. Выглядит он следующим образом:
eval(stripslashes(gzinflate(base64_decode('ENCRYPT_CODE==')));
расшифровать код php можно просто удалив из выражения stripslashes с обеими скобками и воспользовавшись предыдущим дешифратором. Но тогда придется руками убирать все слеши, что добавятся без смысла в html теги и php выражения, ибо с ними ничего не будет работать.

Либо же можно воспользоваться дешифратором именно для этого типа кода  в который загоняем опять же содержимое кавычек без них. Дешифратор соответственно самостоятельно расшифрует код php и уберет лишние символы.

4. Несколько раз приходилось нарываться на вообще какую то диковенную конструкцию, содержащую непонятные выражения коммерческого Byterun шифрования:
<?php $_F=__FILE__;$_X='ENCRYPT_CODE';eval(base64_decode('rubbish'));?>
копируем шифрованный текст вместе с кавычками и дешифруем его на знакомом нам, уже по второму пункту, сайте.

срабатывание антивируса на шифрование PHPЗ.Ы Самый прикол, что при сохранении данной статьи в черновики, в формате RTF, мой антивирус ESET NOD32 углядел опасность для системы, в виде нежелательно исполняемого файла типа php/obfuscated.F, т.е антивирус, попросту, сигнатурно настроен на заголовки шифрования, по которым и определяет наличие потенциально опасного кода.

Как говорится, обжегшись на молоке, антивирь уже дует на воду.

VN:F [1.9.21_1169]
Rating: 5.5/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)
Как расшифровать php код в футере и удалить спонсорские ссылки, 5.5 out of 10 based on 2 ratings

Теги: ,

Ваш отзыв