Jag fick ett infall under kvällen och började gå igenom mina teman som jag lagt in för mina wordpress bloggar. Det jag var på jakt efter var teman som innehållar fula länkar, försök att hacka min server osv.

Ett vanligt sätt är att I footer.php eller functions.php lägga in en kodad sträng, te.x.

<?php $_F=__FILE__;$_X=’Pz4JCTxkNHYgY2wxc….MmR5Pg0KPC9odG1sPg==’;eval(base64_decode(‘JF9…NDU2Jyk7JF9SPWVyZUj0wOyRfWD0wOw==’));?>

(jag har kortat ner den, egentligen är den drygt 9000 tecken lång)

Om man tar den strängen och avkodar den (t.ex. på  http://www.tareeinternet.com/scripts/byterun.php så får man en text som bland annat innehåller

<a href="http://jeuxde-casino.com/" title="jeux de casino">jeux de casino</a> by <a href="http://jeuxde-casino.com/jeux-de-casino" title="jeux de casino"><img src="<?php bloginfo(‘stylesheet_directory’); ?>/images/woothemes.png" alt="jeux de casino" /></a>

Det här var inte så farligt egentligen men det stör mig att det finns kodad information I mina teman som laddas, just det här verkar var ett sätt att få trafik till en sida med reklam som I sin tur genererar pengar. Men det kunde lika gärna ha varit en kodad sträng som laddar ner ondskefull kod till min server.

Jag raderade 30+ teman som till stor del kom från Woo Themes, te.x.

freshfolio-dev, freshnews-dev, gazette-dev, gothamnews-dev, livewire-dev, newspress-dev, openair-dev, premiumnews-dev, overeasy-dev, paalam-11, paper, pdawn-10, photog, pixeled, polaroidpress, proudfolio-dev, page-style, papercut, peaceful-rush, photon, plainscape, premiumnews-dev, pure-12, panorama, papercut-dev, pellucid-dashed, pink-tulip, poetry, primepress, purple-pastels

Om du själv är orolig över dina teman så kan jag rekommendera ett plugin till wordpress som heter TAC (Theme Authenicity Checker) och det finns här http://wordpress.org/extend/plugins/tac

Det pluginet gör är att scanna igenom alla teman efter suspect kod, tänk på att det kan finnas falska postivia träffar, jag såg t.ex. att en del teman hade en base64 funktion I contact.php. Den funktionen användes där för att koda e-postadresser så att adresserna inte fångas upp av spamrobotar.. och det är ju bra.

Nu sover jag lite skönare iallafall, jag tycker att du borde se över dina teman du också, skadar inte och det är gratis Smile

Titta även på den här filmen, den förklarar en del också http://weblogtoolscollection.com/archives/2010/12/10/theme-malware-anatomy/

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *