Хакване на eval(gzinflate(base64_decode())) във footer.php на WordPress

Днес исках да почопля външния вид на блога, но се оказа че файла footer.php е криптиран?!?

Неговото съдържание е следното:

sVVjv26Gpkc/gyJiKDPUraXtusbVKSaPHfLx86ZXNQSj
jn3HNubu6cBMFwEARpwQ6QN1SpWZg3SGVI0sRgxJ
Dm8+frvwXv4hiSd8o4xPFZaLGlEBrlCXTOrJiFO4eGFgtG
+XghuqNkZaWxgJRCJXE3C9N5V3WAeSWgRL0VnWa
Cj6JKtBiNn2BOEtOX02SNKBnfiVHE6ZlME0ru4blpYGONF
WxQoTxgMUkzCQl5RcVKbvKy4/SSWWndTZOk7/tJj1n
hNJQXLZU1asbLToovzLWa5KJNjEIxjbFEL4xtAMtRheT
TUyYUfJBtxwffytKsZsbNuE729aXal8Ibcm3r4W+jWtI
cYxrzfZuhtF2F5MNisEBz9XUlOMLKkQqWEvEfH9vE4wP
H3lussFfwYqb6Sx5dyTNWo0mqlZmJG0dELARKC0lLBM
fZ+p+VubUSw8GZ8xu0tqVnxj1u3239tozcu/qSTBTH0
7HSbUO+AQ==”))); ?>

Решението да видите съдържанието на footer.php е следното:

Отворете footer.php с текстов редактор и заменете eval с echo. Целта е да получите това:

sVVjv26Gpkc/gyJiKDPUraXtusbVKSaPHfLx86ZXNQSj
jn3HNubu6cBMFwEARpwQ6QN1SpWZg3SGVI0sRgxJ
Dm8+frvwXv4hiSd8o4xPFZaLGlEBrlCXTOrJiFO4eGFgtG
+XghuqNkZaWxgJRCJXE3C9N5V3WAeSWgRL0VnWa
Cj6JKtBiNn2BOEtOX02SNKBnfiVHE6ZlME0ru4blpYGONF
WxQoTxgMUkzCQl5RcVKbvKy4/SSWWndTZOk7/tJj1n
hNJQXLZU1asbLToovzLWa5KJNjEIxjbFEL4xtAMtRheT
TUyYUfJBtxwffytKsZsbNuE729aXal8Ibcm3r4W+jWtI
cYxrzfZuhtF2F5MNisEBz9XUlOMLKkQqWEvEfH9vE4wP
H3lussFfwYqb6Sx5dyTNWo0mqlZmJG0dELARKC0lLBM
fZ+p+VubUSw8GZ8xu0tqVnxj1u3239tozcu/qSTBTH0
7HSbUO+AQ==”))); ?>

След това извикайте файла footer.php в браузъра си, например http://yoursite/wp/wp-content/themes/theme/footer.php. Ще видите html кода на footer.php в некриптиран вид, копирайте го и го сложете на мястото на грозният криптиращ ред във footer.php. Сега вече можете да го редактирате както ви харесва.

 

Leave a Comment