Jag fick ett infall under kvällen och började gå igenom mina teman som jag lagt in för mina wordpress bloggar. Det jag var på jakt efter var teman som innehållar fula länkar, försök att hacka min server osv.

Ett vanligt sätt är att I footer.php eller functions.php lägga in en kodad sträng, te.x.

<?php $_F=__FILE__;$_X=’Pz4JCTxkNHYgY2wxc….MmR5Pg0KPC9odG1sPg==’;eval(base64_decode(‘JF9…NDU2Jyk7JF9SPWVyZUj0wOyRfWD0wOw==’));?>

(jag har kortat ner den, egentligen är den drygt 9000 tecken lång)

Om man tar den strängen och avkodar den (t.ex. på  http://www.tareeinternet.com/scripts/byterun.php så får man en text som bland annat innehåller

<a href="http://jeuxde-casino.com/" title="jeux de casino">jeux de casino</a> by <a href="http://jeuxde-casino.com/jeux-de-casino" title="jeux de casino"><img src="<?php bloginfo(‘stylesheet_directory’); ?>/images/woothemes.png" alt="jeux de casino" /></a>

Det här var inte så farligt egentligen men det stör mig att det finns kodad information I mina teman som laddas, just det här verkar var ett sätt att få trafik till en sida med reklam som I sin tur genererar pengar. Men det kunde lika gärna ha varit en kodad sträng som laddar ner ondskefull kod till min server.

Jag raderade 30+ teman som till stor del kom från Woo Themes, te.x.

freshfolio-dev, freshnews-dev, gazette-dev, gothamnews-dev, livewire-dev, newspress-dev, openair-dev, premiumnews-dev, overeasy-dev, paalam-11, paper, pdawn-10, photog, pixeled, polaroidpress, proudfolio-dev, page-style, papercut, peaceful-rush, photon, plainscape, premiumnews-dev, pure-12, panorama, papercut-dev, pellucid-dashed, pink-tulip, poetry, primepress, purple-pastels

Om du själv är orolig över dina teman så kan jag rekommendera ett plugin till wordpress som heter TAC (Theme Authenicity Checker) och det finns här http://wordpress.org/extend/plugins/tac

Det pluginet gör är att scanna igenom alla teman efter suspect kod, tänk på att det kan finnas falska postivia träffar, jag såg t.ex. att en del teman hade en base64 funktion I contact.php. Den funktionen användes där för att koda e-postadresser så att adresserna inte fångas upp av spamrobotar.. och det är ju bra.

Nu sover jag lite skönare iallafall, jag tycker att du borde se över dina teman du också, skadar inte och det är gratis

Titta även på den här filmen, den förklarar en del också http://weblogtoolscollection.com/archives/2010/12/10/theme-malware-anatomy/

Om du har satt igång rkhunter på ditt system och scannar varje natt så kanske du sett den här texten i dina loggar

Warning: The file properties have changed:
        File: /bin/login
        Current hash: 1869895965de0ebab025e5b76ccfe7ff3b53905b
        Stored hash : 0ba3a17f19a617036f9aa21d064109f1834eb46f
        Current inode: 23560211    Stored inode: 23560198
        Current file modification time: 1226559073
        Stored file modification time : 1207184931

Själv så fick jag lite ångest och började tro att något kommit in i systemet Men du behöver inte vara rädd!

Jag har gjort en apt-get update/apt-get upgrade och då har filerna förändrats och rkhunter flaggar dom som ändrade. För att lära rkhunter att du uppdaterat och dom nya filerna är ok kör du bara kommandot

sudo rkhunter –propupd

Nu kommer du inte att få dessa varningar (helt i onödan) längre.

Om du inte vet vad rkhunter är så finns all information här: www.rootkit.nl/projects/rootkit_hunter.html

Jag vill varna för Do Networks och eventuella fotterbolag dom driver. Hemmanet som var ett dotterbolag sattes i dag i konkurs och ett stor antal kunder (ca 1500) blev strandsatta…  Kommentaren från VD Do Hellbom var (fritt översatt): Kunderna, dom skiter vi i, bolaget är satt i konkurs så jag kan inte göra något alls.

De ansvariga:

Do Hellbom, VD: DO Networks Sverige AB (publ)
070-777425. e-post: do.hellbom@donetworks.se

Bernth Harnesk, Styrelseordförande: DO Networks Sverige AB (publ)
070-5158950

Attans skitföretag.. 

Jag vill varna för Do Networks och eventuella fotterbolag dom driver. Hemmanet som var ett dotterbolag sattes i dag i konkurs och ett stor antal kunder (ca 1500) blev strandsatta…  Kommentaren från VD Do Hellbom var (fritt översatt): Kunderna, dom skiter vi i, bolaget är satt i konkurs så jag kan inte göra något alls.

De ansvariga:

Do Hellbom, VD: DO Networks Sverige AB (publ)
070-777425. e-post: do.hellbom@donetworks.se

Bernth Harnesk, Styrelseordförande: DO Networks Sverige AB (publ)
070-5158950

Attans skitföretag..