Pull to refresh

Comments 62

UFO landed and left these words here
UFO landed and left these words here
Так эти же еще и шифруют ссылки — считай, стырили ссылку у блоггера. А если еще окажется, что поисковики трастовость понижают из-за ссылок на говносайты…
UFO landed and left these words here
UFO landed and left these words here
Ух ты, они еще и разговаривают.
Вот только что один из блоггеров у себя нашел такие «закладки». Причем довольно уважаемый сайт.
Предлагаю выкладывать названия тем для WP в которых обнаружен данный «спам». Что бы коллегам было легче выявить линки и убить их.

Я пожалуй начну, у меня стоит тема — Brilliance 1.0, так что знайте блогеры у кого эта тема, там понатыкано 5 линков.
Все еще проще — спамеры распространяют зараженные темы :-) Даже сканировать или выкладывать названия не надо. Могут быть с любыми названиями.
Идею я написал в аську, написать сканер ) Пусть спамеры учат другие варианты «закрытия» линков, а то base64 это как-то совсем ламерски.
Пока простая инструкция — поискать самому в файлах на своем блоге строчку base64decode :)

Кстати, спамеры любят присылать каменты, в которых ссылку ставят с пробела или с точки. Типа, чтобы не заметили. Сканер такого говна будет включен в одно из следующих обновлений Parasite Eliminator.
По моему со скрытыми ссылками, с точек, пробелов и прочего, должны бороться поисковики (или какой-нибудь новый сервис — ПроверьСвойСайт), их визуально трудно заметить.
Вот я в Parasite Eliminator встрою скоро такой проверяльщик комментариев.
Кстати, ламеры-то ламеры, а ты тоже попался :-)
Что самое интересное, я ведь видел эти закодированные куски сразу, когда ставил темку, но почему то интуиция и здравый смысл не заставили проверить что же там (((
Я вот когда вижу подобные куски в подвалах сайтов, да еще с джаваскриптом — обычно вирусня там оказывается.
В былые времена я подобным жаба-скриптом кодировал e-mail'ы на своих сайтах, чтобы боты их не могли прочитать. Впервые эту фишку тогда обнаружил на сайте компании Берлин-Авто.
Не проще ли просто просканировать тему на слова «base64_decode»? Вырезать их, и пользоваться.
Этот финт ушами называется sponsored theme и в свое время такие темы были выкинуты нахрен с wordpress.org
Дело в том, что там даже не sponsored — тупо берутся чужие темы, как-то там русифицируются, а затем туда фигарятся эти ссылки.
UFO landed and left these words here
Да я вот думаю, а не юзают ли уже :)
Судя по минусу, юзают :-))
UFO landed and left these words here
Просто проверяйте наличие внешних ссылок на сервисах типа pr-cy.ru, зачем список тем выкладывать?
Просто проверяйте исходники перед тем, как выложить все на публичный сервер -) Так будет по-моему еще вернее.
Да, все 250 -) Есть масса софта которая позволяет производить массовый поиск )
урок — желательно пробежаться глазами по исходникам=) учту.
А ведь так наверное можно всё что угодно скачать, вплоть до самого движка, который будет подчинятся тому кто подредактировал код.
Легко. Потому и не стоит брать темы с левых сайтов.
Ну и что тут такого — каждый крутится как может, тебя что кто-то заставляет эти темы скачивать, не нравится не качай. Он же не вирусню там засунул или кодеки, чего ж ты паришся?
Хоть и заминусовали человека, но я согласен!
Не хочешь левого кода — делай тему сам — верстай или русифицируй готовую.
Ан нет, лень же всем, халявки надо.
Так что жалобы типа — «ах они гады в бесплатную тему навставляли ссылок» — ничем не обоснованы кроме лени и жадности.
Ага, и линуксом пользоваться не надо, а то потом жалуются на что-то. Сам делай, а нет, халявки надо, лень всем…
Не?
Именно так!
Пользуешься линуксом — никто тебе ничего не должен, потому что ты ни копейки за него не отдал.
Другое дело, если ты за него платил. Тогда жаловаться имеешь полное право.
А так — уж извините, слишком сопливо выглядит это негодование.
Подлянки строить — это мерзковато.
Понимаю, если бы честно предупреждали — вот мы вам ссылку поставим, раз уж вы темой пользуетесь. Никто со здоровой головой и не откажется из благодарности.
нда… тупые ребята…

надо делать так!

fucntoins.php

add_action('wp_footer', 'showmylinks');
function showmylinks(){
// показываем линки
}

и по практике 100% footer.php содержит
<?php
do_actions('wp_footer');
?>

— а поправде говря ведь все что надо так это черт побери вписать о линках в лицензию. GPL йопта, право имеют. все равно никто не читает.
99%, я такой хлам первым делом вычищаю, вместе с wp_header(), а то эти идиотские плагинописатели.
и что много такого хлама встречается?

(я просто с нуля темы делаю, и редко использую готовые)
и я особо не использую, просто часто копаюсь — изучаю разные приёмы сборки и плагины.
кстати плагинописатели не идиоты, по крайней мере не все… так что не кидайте камушки.
идиотскими я называю грязные приёмы внедрения в код, после которых стыдно за свой сайт становится. процентов 80% плагинов мне просто стыдно ставить — всякие там OpenID, предпросмотры, антиспамы и прочее.
Вот потому и следует темы только с сайтов разработчиков скачивать, а не абы откуда…
Я свои шаблоны только на своем сайте выкладываю, а то уже навидался как на подобных сайтах в них всякую фигню встраивают.
wordpress.org/extend/themes

1) у вас на сайте его найдет и скачает (все к примеру) челвоек 20, на сайте вордпресса в несколько сот раз больше.
2) опять же на офф сайте, говна не держат.
Там по размеру видно, что кодированные части есть. Нормальный футер, к примеру, весит 1-3кб, кодированный до 300. Это если не открывая файлы смотреть. Названия тем выкладывать для предупреждения бесполезно, так как на сайтах авторов эти же темы лежат без кодирования, чистыми. Это наши проходимцы кодируют. Зачастую там не только закодированные ссылки, но еще и плохой перевод, изменения в коде, удаление ссылок на автора дизайна. Хорошие локализации видел у wpbot.ru и себя любимого=)
UFO landed and left these words here
приведенный в заметке код почти безобиден, несколько дней назад я наткнулся на более изощренный код в footer.php с использованием конструкции

<? eval(gzinflate(base64_decode('
тут 8 килобайт запакованной гадости
'))); ?>

злоумышленник также использовал принцип вложенности упаковки, то есть данный код повторяется десятки раз внутри запакованного кода

жесть.
Уже пора производителям антивирусов на такие конструкции сигнатуры делать, чтобы незадачливым блоггерам антивирус сообщал о спамерских закладках в свежескаченной теме.
Если я не ошибаюсь, эвристики на eval(gzinflate(base64_decode(...))) срабатывали. По крайней мере, упакованный таким способом веб-шелл r57 обнаруживался как «подозрительный код».
r57 даже не упакованный всегда был подозрительным =(
Да, было и у меня такое :(
Но, поскольку я люблю ковыряться в коде, то нашел эти странные фрагменты и успешно ликвидировал.
Но не все ведь лезут в код, так что за пост спасибо!
а я думал что за фигня кодированная, ушел удалять=)
Есть хороший плугин под Wordpress — называется TAC (Theme Authenticity Checker), прочесть подробней о нем можно по адресу builtbackwards.com/projects/tac/.

Сканирует все установленные темы (а не только активную) на предмет скрытого левого кода.

Плугин особенно удобен для тех, кто не хочет «рыться» в коде каждой темы.
Сслыки вставляют, как то слабо они… Раньше в моде было блоки адсенса вешать в тему.
>> предлагают скачать русифицированные темы для Wordpress
меня бы одна эта формулировка навела на мысль, что где–то фейк порылся… ведь вордпресс в уникоде работает – о какой русификации идёт речь?
обычный перевод…
А я сегодня вообще вот такой сайт нашел у себя в спаме
по ходу на днях регнут
www.spamvragam.ru
Блин чего только не придумают!?!

встречался с такими футерами… обычно через eval раскодируются… потом скрипт написал для раскодировки такой мути. жаль что на работе остался, с которой уже уволился((
А увидели Вы там ссылку на сайт автора. Кстати таки тем встречается все больше и больше.
Большое спасибо всем за ценную информацию, я как раз собирал подборку тем с официального WP когда там было множество тем и все удивлялся, почему вдруг их стало в 5 раз меньше.
Скачал, поставил плагин TAC, проверил темы (170) на удивление ни одной с закриптованным кодом не обнаружил, зато с ходу получил представление о статических ссылках в этих темах: примерно у трети нет ссылок вообще, у остальных от 1й до 20! (среднее примерно 3-5, на глаз)

Скажите, пожалуйста, возможно ли другие методы вставки ссылок, которые плагин TAC не определяет?
Only those users with full accounts are able to leave comments. Log in, please.