Jag fick ett infall under kv?llen och b?rjade g? igenom mina teman som jag lagt in f?r mina wordpress bloggar. Det jag var p? jakt efter var teman som inneh?llar fula l?nkar, f?rs?k att hacka min server osv.

Ett vanligt s?tt ?r att I footer.php eller functions.php l?gga in en kodad str?ng, te.x.

<?php $_F=__FILE__;$_X=’Pz4JCTxkNHYgY2wxc….MmR5Pg0KPC9odG1sPg==’;eval(base64_decode(’JF9…NDU2Jyk7JF9SPWVyZUj0wOyRfWD0wOw==’));?>

(jag har kortat ner den, egentligen ?r den drygt 9000 tecken l?ng)

Om man tar den str?ngen och avkodar den (t.ex. p?  http://www.tareeinternet.com/scripts/byterun.php s? f?r man en text som bland annat inneh?ller

<a href="http://jeuxde-casino.com/" title="jeux de casino">jeux de casino</a> by <a href="http://jeuxde-casino.com/jeux-de-casino" title="jeux de casino"><img src="<?php bloginfo(’stylesheet_directory’); ?>/images/woothemes.png" alt="jeux de casino" /></a>

Det h?r var inte s? farligt egentligen men det st?r mig att det finns kodad information I mina teman som laddas, just det h?r verkar var ett s?tt att f? trafik till en sida med reklam som I sin tur genererar pengar. Men det kunde lika g?rna ha varit en kodad str?ng som laddar ner ondskefull kod till min server.

Jag raderade 30+ teman som till stor del kom fr?n Woo Themes, te.x.

freshfolio-dev, freshnews-dev, gazette-dev, gothamnews-dev, livewire-dev, newspress-dev, openair-dev, premiumnews-dev, overeasy-dev, paalam-11, paper, pdawn-10, photog, pixeled, polaroidpress, proudfolio-dev, page-style, papercut, peaceful-rush, photon, plainscape, premiumnews-dev, pure-12, panorama, papercut-dev, pellucid-dashed, pink-tulip, poetry, primepress, purple-pastels

Om du sj?lv ?r orolig ?ver dina teman s? kan jag rekommendera ett plugin till wordpress som heter TAC (Theme Authenicity Checker) och det finns h?r http://wordpress.org/extend/plugins/tac

Det pluginet g?r ?r att scanna igenom alla teman efter suspect kod, t?nk p? att det kan finnas falska postivia tr?ffar, jag s?g t.ex. att en del teman hade en base64 funktion I contact.php. Den funktionen anv?ndes d?r f?r att koda e-postadresser s? att adresserna inte f?ngas upp av spamrobotar.. och det ?r ju bra.

Nu sover jag lite sk?nare iallafall, jag tycker att du borde se ?ver dina teman du ocks?, skadar inte och det ?r gratis Smile

Titta ?ven p? den h?r filmen, den f?rklarar en del ocks? http://weblogtoolscollection.com/archives/2010/12/10/theme-malware-anatomy/