Расшифровываем base64_decode и подобные кодировки в шаблонах WordPress

35

Расшифровываем base64_decode

Все, кто достаточно часто занимается тем, что устанавливает новые темы WordPress и пилит шаблоны сталкиваются с различными зашифрованными кусками кода, которые похожи на кракозябру. А в этой кракозябре обычно зашифрована куча ссылок на разные ресурсы. Причем ресурсы могут быть как вполне дружелюбного вида так и не очень дружелюбного. Например, я не вижу не чего плохого в том, чтобы оставить ссылку на блог или сайт разработчика шаблона. Но обычно кроме ссылки на него там еще скрыта куча ссылок на непонятные интернет магазины, по продаже виагры или всяких секс-игрушек.

Так вот, я сталкиваюсь с этим постоянно, так как добываю шаблоны в буржуйнете. Так там очень большой выбор самых разных тем для WordPress — гораздо больше, чем в рунете.

Идинственное, с чем приходится работать, это с переводом тем, но это достаточно быстро. Ну и в любом случае, какая бы тема ни была ее приходится «допиливать напильником» оптимизируя под SEO и другие мои нужды, в зависимости от задач будущего сайта.

Вы можете сами найти много интересных тем задав простой запрос — wordpress themes к поисковику www.google.com.

Ну а при переделке тем под себя вы обязательно сталкнетесь с тем, что в подвале будет много всякого закодированного текста и кракозябры, которая обычно начинается с base64_decode и подобного. И самое интересное, что если просто взять это и удалить, то шаблон перестает работать. И вместо вашей новой темы вылезает сообщение, что трогать этот код не надо — верните все назад и тогда шаблон заработает.

Благо, что уже давно есть раскодировщики, которые расшифровывают эти непонятные base64_decode, gzinflate(base64_decode.

Кстати, обычно такие зашифрованные куски кода можно встретить именно в файле footer.php, а полный вид они имеют примерно такой:

eval(base64_decode(’4yirbvr9vwev4v2BVURvc043C4C4c’));

или такой

eval(gzinflate(base64_decode(‘434Cladv4VfewCWefc43c4fcwemfc’)));

Учтите, что в первом случае нас будет интересовать та часть кода, которая находится в кавычках, именно ее следует подставлять в формы для расшифровки.

А во втором случае вставляем кусок eval(gzinflate(base64_decode(‘что в ковычках’)));

Первая ссылкаbase64-encoder-online.waraxe.us и жмем decode.

Вторая ссылкаwww.tareeinternet.com/scripts/decrypt.php и тоже жмем decode.

После того как эти сервисы расшифруют коды, можно смело заменять ими куски кода (извините за тафталогию) в footer.php и загружать на сервер.

Хочу обратить внимание, что заменять следует всю конструкцию, которая выглядит примерно так:

<?php eval(gzinflate(base64_decode(‘Кусок кракозябры’))); ?>

И после этого ваш код станет понятным и шелковистым 🙂 и вы сможете легко удалить из него ссылки на любителей порно-виагро индустрии.

Игорь (Luckyboy)

22 Комментарии
  1. Kaerdan говорит

    Зачем так мучится, если закодированно на пхп то все просто и тревиально и не важно как именно закодированно.
    Поставь в код метки в начале и в конце пхп кода. Открой страницу, найди метки. Между метками будет раскодированный участок. Время потраченное на это примерно от 3-5 минут, зависит как быстро кликаешь мышой. Повторюсь это только для пхп с javascript все сложнее и не приятнее.

    ЗЫ если я не прав напиши на мыло, очень прошу, довольно важный для меня момент.

  2. Luckyboy говорит

    Да, я как раз сейчас вспомнил, что так тоже можно. Мне давно уже один друг так советовал, а ты вот сейчас напомнил.

    Способ, кстати тоже очень хороший, ну а время примерно одинаково думаю уйдет.

    Но я сталкивался как-то с темой, которая была закондирована какими-то функциями, т.е. там вообще черт ногу сломит..вообщем я с моими знаниями php стремящимися к нулю, не чего не смог сделать, чисто ссылки в nofollow повесил в футере и все.

    Могу скинуть эту тему на почту, поковыряешь 🙂

  3. MG говорит

    Производители тем тоже знают, что появились сервисы расшифровки 🙂 Поэтому давно уже стараются избегать простых конструкций. Мне попалась тема (Yoga Crazed), в которой зашифрован не только футер, но и важный файл functions php, причём, в последнем шифровок вставлено около 10 штук в чередовании с нормальным кодом, каждый кусок ссылается на футер. Из-за этой хренотени тема притормаживает изрядно при прокрутке её в браузере, видно, браузер почти всё время вынужден декодировать всю эту ахинею. Пока победить не удалось. Собственно, и мыслей бороться не было бы, если бы не эти противные тормоза, которые мне сильно портят настроение 😉

  4. MG говорит

    …причём, заметил что чем корявее тема, тем она говнистее в смысле шифровок. Действительно высококачественные темы, например, от RocketThemes почему-то ну никак не боятся остаться без прибыли 🙂 Потому что продукт такой выделки по-любому кто-то да купит.

  5. Luckyboy говорит

    Да RocketThemes хорошие темки делают.

  6. IAD говорит

    юзайте uneval.com/ru
    разворачивает eval и ищет в коде деструктивные конструкции

    1. MG говорит

      Ух шайтан! Сейчас посмотрим на это чудо…

  7. MG говорит

    УХ ТЫ! ЧУДО! ВО ВСЯКОМ СЛУЧАЕ, ФАЙЛ ПОСЛЕ ОБРАБОТКИ ЭТИМ КОДИРОВЩИКОМ НЕ ПОТЕРЯЛ РАБОТОСПОСОБНОСТЬ!!! а ЭТО УЖЕ ПОЛ-ДЕЛА.
    СПАСИБО IAD

  8. IAD говорит

    MG, спасибо за благодарность =)
    Если не сложно, прошу сделать обзор сервиса, возможно Вашей аудитории он также будет интересен.

    1. MG говорит

      Я так понимаю, что чем больше обзоров — тем лучше для сервиса 😉 Уважаемый хозяин, Luckyboy, если это не будет злоупотреблением гостеприимства, с позволения отвечу IAD: как только наконец добью свой дизайн, тоже сделаю обзор. 🙂 Когда люди делают добро, это надо ценить.

  9. Luckyboy говорит

    А отдельного поста наверно лучше и не делать, чтобы весь трафик этот пост собирал. Просто в посте допишу ссылку на сервис.

  10. Anuri говорит

    В моём случае base64_decode находится не в футере. У меня закодирован весь файл template.php, причём используется дополнительная переменная, которой присваивается определённое значение($m) и перед декодированием определённые символы этого присваиваемого значения полностью убираются(меняются на пустое место). В итоге это выглядело вот так base64_decode($m).
    После довольно долгого гемороя с декодированием этой фразы(на 7 вордовских листов), я думала, что вздохну с облегчением, но не тут-то было. У меня появилось ещё несколько base64_decode, причём кое-где даже вложенных друг в друга и также использующих переменную. При следующем декодировании самой простой и короткой из этих строк у меня появилось 2 функции, в которых использовались эти же переменные…
    На дальнейшую возню у меня просто не хватило сил…

    Подскажите, как это вообще можно расшифровать?
    Просто в сайдбаре и футере есть код, отвечающий за копирайт и, видимо, ссылающийся на закодированный файл шаблона и при удалении этого кода из сайдбара или футера, футер полностью пропадает…

    1. Luckyboy говорит

      Нда, все больше исхитряются создатели шаблонов. Чесно — не могу сказать, как это лечится. Видимо, лучше попробовать другой шаблон.

      1. Anuri говорит

        Я предварительно прочитала всё))) Ничего из описанного не помогает…=(

        1. IAD говорит

          Ничего необычного. скорей всего код обработан обфускатором. Без пол литра не расшифруете. С пол литра тоже врятли.

          1. Anuri говорит

            А обратного действия подобная программа не имеет?

    2. Fixi говорит

      Anuri у меня на сайте похожая проблема с сайтом. Обидно что на сайте с детской тематикой идет ссылка на Казино бинго. Решили ли вы как то эту проблему?

  11. mr_exclusive говорит

    Автор, помоги расшифровать код, все перепробовал, ничего не получается…
    файл с кодом по этой ссылке: dl.dropbox.com/u/27068056/template.php

    1. Luckyboy говорит

      Не работает ссылка.

  12. Александр говорит

    Для Яндекса уже такие ссылки считаются поисковым спамом

  13. TimuR говорит

    Спасибо большое за такие сервисы

  14. SvKarma говорит

    Спасибо, ценная информация, обязательно воспользуюсь при случае услугами сервиса

Комментарии закрыты.