ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า
eval( ตัวอย่างบางชุด
<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>
ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้
?> <div class="fix"></div>
</div><!--/columns -->
<div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
<div id="footer">
<p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>. </p>
</div><!--/footer -->
</div><!--/page -->
<div id="page-bot"></div>
</div><!--/bot-bgr-->
<?php wp_footer(); ?>
</body>
</html> <?
แต่ถ้าเป็น
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...
แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ
ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า
eval( โดยไม่ใช้คำว่า
eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น
eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่
บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ
เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));