Расшифровываем base64_decode и подобные кодировки в шаблонах WordPress

Расшифровываем base64_decode и подобные кодировки в шаблонах WordPress

Расшифровываем base64_decode

Все, кто достаточно часто занимается тем, что устанавливает новые темы WordPress и пилит шаблоны сталкиваются с различными зашифрованными кусками кода, которые похожи на кракозябру. А в этой кракозябре обычно зашифрована куча ссылок на разные ресурсы. Причем ресурсы могут быть как вполне дружелюбного вида так и не очень дружелюбного. Например, я не вижу не чего плохого в том, чтобы оставить ссылку на блог или сайт разработчика шаблона. Но обычно кроме ссылки на него там еще скрыта куча ссылок на непонятные интернет магазины, по продаже виагры или всяких секс-игрушек.

Так вот, я сталкиваюсь с этим постоянно, так как добываю шаблоны в буржуйнете. Так там очень большой выбор самых разных тем для WordPress — гораздо больше, чем в рунете.

Идинственное, с чем приходится работать, это с переводом тем, но это достаточно быстро. Ну и в любом случае, какая бы тема ни была ее приходится «допиливать напильником» оптимизируя под SEO и другие мои нужды, в зависимости от задач будущего сайта.

Вы можете сами найти много интересных тем задав простой запрос — wordpress themes к поисковику www.google.com.

Ну а при переделке тем под себя вы обязательно сталкнетесь с тем, что в подвале будет много всякого закодированного текста и кракозябры, которая обычно начинается с base64_decode и подобного. И самое интересное, что если просто взять это и удалить, то шаблон перестает работать. И вместо вашей новой темы вылезает сообщение, что трогать этот код не надо — верните все назад и тогда шаблон заработает.

Благо, что уже давно есть раскодировщики, которые расшифровывают эти непонятные base64_decode, gzinflate(base64_decode.

Кстати, обычно такие зашифрованные куски кода можно встретить именно в файле footer.php, а полный вид они имеют примерно такой:

eval(base64_decode(’4yirbvr9vwev4v2BVURvc043C4C4c’));

или такой

eval(gzinflate(base64_decode(‘434Cladv4VfewCWefc43c4fcwemfc’)));

Учтите, что в первом случае нас будет интересовать та часть кода, которая находится в кавычках, именно ее следует подставлять в формы для расшифровки.

А во втором случае вставляем кусок eval(gzinflate(base64_decode(‘что в ковычках’)));

Первая ссылкаbase64-encoder-online.waraxe.us и жмем decode.

Вторая ссылкаwww.tareeinternet.com/scripts/decrypt.php и тоже жмем decode.

После того как эти сервисы расшифруют коды, можно смело заменять ими куски кода (извините за тафталогию) в footer.php и загружать на сервер.

Хочу обратить внимание, что заменять следует всю конструкцию, которая выглядит примерно так:

<?php eval(gzinflate(base64_decode(‘Кусок кракозябры’))); ?>

И после этого ваш код станет понятным и шелковистым 🙂 и вы сможете легко удалить из него ссылки на любителей порно-виагро индустрии.

Игорь (Luckyboy)

Comments (22)

  • Kaerdan

    Зачем так мучится, если закодированно на пхп то все просто и тревиально и не важно как именно закодированно.
    Поставь в код метки в начале и в конце пхп кода. Открой страницу, найди метки. Между метками будет раскодированный участок. Время потраченное на это примерно от 3-5 минут, зависит как быстро кликаешь мышой. Повторюсь это только для пхп с javascript все сложнее и не приятнее.

    ЗЫ если я не прав напиши на мыло, очень прошу, довольно важный для меня момент.

    7 августа 2010 at 6:04
  • Luckyboy

    Да, я как раз сейчас вспомнил, что так тоже можно. Мне давно уже один друг так советовал, а ты вот сейчас напомнил.

    Способ, кстати тоже очень хороший, ну а время примерно одинаково думаю уйдет.

    Но я сталкивался как-то с темой, которая была закондирована какими-то функциями, т.е. там вообще черт ногу сломит..вообщем я с моими знаниями php стремящимися к нулю, не чего не смог сделать, чисто ссылки в nofollow повесил в футере и все.

    Могу скинуть эту тему на почту, поковыряешь 🙂

    8 августа 2010 at 15:10
  • MG

    Производители тем тоже знают, что появились сервисы расшифровки 🙂 Поэтому давно уже стараются избегать простых конструкций. Мне попалась тема (Yoga Crazed), в которой зашифрован не только футер, но и важный файл functions php, причём, в последнем шифровок вставлено около 10 штук в чередовании с нормальным кодом, каждый кусок ссылается на футер. Из-за этой хренотени тема притормаживает изрядно при прокрутке её в браузере, видно, браузер почти всё время вынужден декодировать всю эту ахинею. Пока победить не удалось. Собственно, и мыслей бороться не было бы, если бы не эти противные тормоза, которые мне сильно портят настроение 😉

    19 ноября 2010 at 21:53
  • MG

    …причём, заметил что чем корявее тема, тем она говнистее в смысле шифровок. Действительно высококачественные темы, например, от RocketThemes почему-то ну никак не боятся остаться без прибыли 🙂 Потому что продукт такой выделки по-любому кто-то да купит.

    19 ноября 2010 at 21:56
  • Luckyboy

    Да RocketThemes хорошие темки делают.

    20 ноября 2010 at 1:25
  • IAD

    юзайте uneval.com/ru
    разворачивает eval и ищет в коде деструктивные конструкции

    20 ноября 2010 at 21:34
    • MG

      Ух шайтан! Сейчас посмотрим на это чудо…

      21 ноября 2010 at 18:52
  • MG

    УХ ТЫ! ЧУДО! ВО ВСЯКОМ СЛУЧАЕ, ФАЙЛ ПОСЛЕ ОБРАБОТКИ ЭТИМ КОДИРОВЩИКОМ НЕ ПОТЕРЯЛ РАБОТОСПОСОБНОСТЬ!!! а ЭТО УЖЕ ПОЛ-ДЕЛА.
    СПАСИБО IAD

    21 ноября 2010 at 19:05
  • IAD

    MG, спасибо за благодарность =)
    Если не сложно, прошу сделать обзор сервиса, возможно Вашей аудитории он также будет интересен.

    22 ноября 2010 at 1:11
    • MG

      Я так понимаю, что чем больше обзоров — тем лучше для сервиса 😉 Уважаемый хозяин, Luckyboy, если это не будет злоупотреблением гостеприимства, с позволения отвечу IAD: как только наконец добью свой дизайн, тоже сделаю обзор. 🙂 Когда люди делают добро, это надо ценить.

      22 ноября 2010 at 2:16
  • Luckyboy

    А отдельного поста наверно лучше и не делать, чтобы весь трафик этот пост собирал. Просто в посте допишу ссылку на сервис.

    22 ноября 2010 at 1:36
  • Anuri

    В моём случае base64_decode находится не в футере. У меня закодирован весь файл template.php, причём используется дополнительная переменная, которой присваивается определённое значение($m) и перед декодированием определённые символы этого присваиваемого значения полностью убираются(меняются на пустое место). В итоге это выглядело вот так base64_decode($m).
    После довольно долгого гемороя с декодированием этой фразы(на 7 вордовских листов), я думала, что вздохну с облегчением, но не тут-то было. У меня появилось ещё несколько base64_decode, причём кое-где даже вложенных друг в друга и также использующих переменную. При следующем декодировании самой простой и короткой из этих строк у меня появилось 2 функции, в которых использовались эти же переменные…
    На дальнейшую возню у меня просто не хватило сил…

    Подскажите, как это вообще можно расшифровать?
    Просто в сайдбаре и футере есть код, отвечающий за копирайт и, видимо, ссылающийся на закодированный файл шаблона и при удалении этого кода из сайдбара или футера, футер полностью пропадает…

    27 февраля 2011 at 6:58
    • Luckyboy

      Нда, все больше исхитряются создатели шаблонов. Чесно — не могу сказать, как это лечится. Видимо, лучше попробовать другой шаблон.

      27 февраля 2011 at 12:44
      • Anuri

        Я предварительно прочитала всё))) Ничего из описанного не помогает…=(

        27 февраля 2011 at 13:25
        • IAD

          Ничего необычного. скорей всего код обработан обфускатором. Без пол литра не расшифруете. С пол литра тоже врятли.

          27 февраля 2011 at 17:43
          • Anuri

            А обратного действия подобная программа не имеет?

            27 февраля 2011 at 19:10
    • Fixi

      Anuri у меня на сайте похожая проблема с сайтом. Обидно что на сайте с детской тематикой идет ссылка на Казино бинго. Решили ли вы как то эту проблему?

      1 сентября 2013 at 10:58
  • mr_exclusive

    Автор, помоги расшифровать код, все перепробовал, ничего не получается…
    файл с кодом по этой ссылке: dl.dropbox.com/u/27068056/template.php

    12 июня 2011 at 15:47
    • Luckyboy

      Не работает ссылка.

      13 июня 2011 at 14:27
  • Александр

    Для Яндекса уже такие ссылки считаются поисковым спамом

    4 сентября 2011 at 9:33
  • TimuR

    Спасибо большое за такие сервисы

    27 февраля 2012 at 18:45
  • SvKarma

    Спасибо, ценная информация, обязательно воспользуюсь при случае услугами сервиса

    20 февраля 2013 at 21:32

Comments are closed.