เตือนภัย!! คนชอบดาวน์โหลด Free Themes for Wordpress อาจโดนฝังสคริปเพื่อ Hack คุณ

[surachete]

น่ากัวอ่ะ 

[RICHEST]

+1 ขอบคุณคับที่มาเตือน 

[mcca_kop]

Plug-in ก็อันตรายเหมือนกันดูดีๆ น้ะครับโดนมาแล้ว

[Shin69]

Plug-in ก็อันตรายเหมือนกันดูดีๆ น้ะครับโดนมาแล้ว

จริงเหรอครับ  ภัยรอบตัวเลยสิเนี่ย

ผมว่าคนที่ใช้ share server ก็ต้องระวังเหมือนกันนะ อย่างน้อยๆ ก็ลองเช็คว่ามี folder แปลกปลอม โผล่มาบ้างรึป่าวก็ยังดี

[ZyZee]

น่ากลัวนะเนี่ย ผมเองก็ชอบโหลดมาใช้บ่อยๆเหมือนกัน

[flukenakrab]

สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   

[Shin69]

สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   

ลบ ดาต้าเบส??? โห มันจะทำเพื่อ

::ไว้ใจไม่ได้เลยพวกนี้เหอะๆๆ

[suphot.s]

ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

[cigar80]

น่ากลัว ขอเก็บขอมูลก่อน

[Shin69]

ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

ต้องขอโทดด้วยครับผมโหลดมาหลาย ธีมเลยไม่รู้ว่าอันไหนที่เป็นตัวร้าย เลยแก้ด้วยการลบทั้งหมดครับ ส่วนการ encode ลองดูได้เลยครับแทนที่ footer จะเป็น html ปกติ มันจะกลายเป็น ตัวอักษร รหัส มั่วไปหมดอ่านไม่รู้เรื่องน่ะครับ ตอนนี้ไม่มีตัวอย่างให้ เพราะลบซะเกลี้ยง (จิตตกน่ะครับ) 

[usaharem]

  โหลดฟรี ใครๆ ก็ชอบ ดันเป็นงี้ซะอีก
ต้องระวังตัวมากขึ้นอ่ะ

[asuradech]

เสียวสันหลังวาบเลยงานนี้

[Yahoo]

ไม่น่ากลัวหรอกครับถ้าเช็คเป็นหรือดูเป็นว่าธีมนั้นเจ้าของเค้าใส่อะไรแปลกปลอมลงไปด้วยมั้ย
แต่ถ้าดูไม่เป็น โหลดธีมฟรีมาก่อนอัพขึ้นwp ก็ตรวจสอบดูก่อน ถ้าอันไหนไม่น่าไว้ใจก็อย่าไปใช้

[lalulalalulalala]

โหลดมาเรื่อยเลยอ่ะค่ะ แต่ไม่ค่อยได้ใช้เลยเหมือนกัน
หลังทำเองตลอดเลย รอดตัวไปที 

[kennn]

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

[bypass]

theme ชื่อไร จากค่ายไหนอ่ะ เสียวเหมือนกันนะเนี่ย

พอมีตัวอย่างสคิปส่วนนั้นไหม ที่ให้เค้าเข้ามา hack ได้อ่ะ

[lalulalalulalala]

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

+1 เลยค่ะ 

ขอบคุณมากนะคะ 

[suphot.s]

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ขอดูโค้ดที่ encode ไว้หน่อยสิครับ อยากรู้ว่าหน้าตาเป็นยังไง วันหลังจะได้ลองค้นหาใน theme ที่โหลดมาก่อน

ต้องขอโทดด้วยครับผมโหลดมาหลาย ธีมเลยไม่รู้ว่าอันไหนที่เป็นตัวร้าย เลยแก้ด้วยการลบทั้งหมดครับ ส่วนการ encode ลองดูได้เลยครับแทนที่ footer จะเป็น html ปกติ มันจะกลายเป็น ตัวอักษร รหัส มั่วไปหมดอ่านไม่รู้เรื่องน่ะครับ ตอนนี้ไม่มีตัวอย่างให้ เพราะลบซะเกลี้ยง (จิตตกน่ะครับ) 

ไม่เป็นไรครับ เข้าใจว่าอาการจิตตกเป็นไง 

+1 คุณ kennn ครับ เยี่ยมไปเลย

[city]

กรรมแล้วเรา   ดูแบบนี้ไม่เป็นเลย  หาของฟรีใช้ตลอด

สงสัยอยู่เหมือนกันครับ ว่าทำไมมีคนเข้าเว็บแต่ไม่มีคนคลิกเลย หรือมันขึ้นโฆษณาของคนอื่นหว่า

เมื่อวันก่อนลองธีมของ templatic ติดตั้งปุ๊บมันบอกว่าให้ แทรกโค้ดอะไรสักอย่างที่ .config.php พอแทรกเสร็จ ให้คลิกที่นี่  db หายเรียบ ดีนะ backup ไว้ก่อน   

เพิ่งโหลดมาเก็บเมื่อวานนี้

[Shin69]

ส่วนใหญ่ที่ให้ดาวโหลดฟรีจะฝังสคริปแฮคหรือฝังเพื่อเอา Backlink ไว้ครับ โดยการใช้ eval ทริคเล็กๆน้อยๆคือ ก่อนใช้งานให้ใช้ Dreamweaver เปิดไฟล์สักไฟล์ของ Theme หรือสคริปต่างๆ แล้วกด Ctrl+F จากนั้นในส่วนของ Find in: เลือกเป็น Folder... แล้วใส่คำว่า eval(

ตัวอย่างบางชุด

<?php eval(base64_decode('Pz4gCQkJPGRpdiBjbGFzcz0iZml4Ij48L2Rpdj4NCgkJDQoJCTwvZGl2PjwhLS0vY29sdW1ucyAtLT4NCgkJDQoJCTxkaXYgY2xhc3M9ImZsaWNrciI+PD9waHAgZ2V0X2ZsaWNrcnJzcygpOyA/PjwvZGl2PjwhLS0vZmxpY2tyIC0tPg0KCQkNCgkJPGR
pdiBpZD0iZm9vdGVyIj4NCgkJCTxwPiBQb3dlcmVkIGJ5IDxhIGhyZWY9Imh0dHA6Ly93b3JkcHJlc3N0aGVtZXNmb3JmcmVlLmNvbS8iPldvcmRwcmVzcyB0aGVtZXMgZnJlZTwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9sYXB0b3BiaW4uY29tLyI+TGFwdG9
wczwvYT4uIDxhIGhyZWY9Imh0dHA6Ly9hbnRpdmlydXNzb2Z0d2FyZTEuY29tLyI+QW50aXZpcnVzIHNvZnR3YXJlPC9hPi4gPGEgaHJlZj0iaHR0cDovL2lwb2R2aWRlb2NvbnZlcRlcnMub3JnLyI+aVBvZCB2aWRlbyBjb252ZXJ0ZXI8L2E+LiAgPC9wPg
0KCQk8L2Rpdj48IS0tL2Zvb3RlciAtLT4NCgkNCgk8L2Rpdj48IS0tL3BhZ2UgLS0+DQoJDQoJPGRpdiBpZD0icGFnZS1ib3QiPjwvZGl2Pg0KDQo8L2Rpdj48IS0tL2JvdC1iZ3ItLT4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+DQo8L2h0bW
w+IDw/'));?>

ส่วนใหญ่จะมีฟังค์ชั่น base64_decode ทำงานร่วมอยู่ด้วย ลองถอดรหัสดูโดยเว็บ hxxp://www.tareeinternet.com/scripts/base.html จะได้ประมาณนี้

?>          <div class="fix"></div>
      
      </div><!--/columns -->
      
      <div class="flickr"><?php get_flickrrss(); ?></div><!--/flickr -->
      
      <div id="footer">
         <p> Powered by <a href="hxxp://wordpressthemesforfree.com/">Wordpress themes free</a>. <a href="hxxp://laptopbin.com/">Laptops</a>. <a href="hxxp://antivirussoftware1.com/">Antivirus software</a>. <a href="hxxp://ipodvideoconverters.org/">iPod video converter</a>.  </p>
      </div><!--/footer -->
   
   </div><!--/page -->
   
   <div id="page-bot"></div>

</div><!--/bot-bgr-->

<?php wp_footer(); ?>
</body>
</html> <?

แต่ถ้าเป็น

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':...

แบบนี้เป็นโค้ดการทำงานของ Javascript ไม่ต้องทำการลบ

ส่วนใหญ่โค้ดจะถูกเข้ารหัสไว้ที่ footer.php และที่บอกให้ค้นหาด้วยคำว่า eval( โดยไม่ใช้คำว่า eval(base64_decode( เพราะจะมีการเข้ารหัสในรูปแบบอื่นอีก เช่น eval(gzinflate(base64_decode( แต่ส่วนใหญ่ถ้าเจอโค้ดพวกนี้อยู่ที่ footer.php ก็ลบทิ้งได้เลย บางโค้ดอยู่ที่ไฟล์ /required/template-top.php หรือไฟล์ function ส่วนเหล่านั้นอาจเป็นโค้ดเพิ่มรหัส admin ถ้าจะทำการลบโค้ดก็ให้ทำการ Backup ไว้ก่อน จากนั้นลบโค้ดแล้วทดสอบว่าการทำงานยังถูกต้องใช้งานได้ดีหรือไม่

บางโค้ด Decode ออกมาแล้วแต่พอลบออกไปกลับมีปัญหา ให้นำโค้ดนั้นๆไปค้นหาใน google บางโค้ดจะมีวิธีบอกการลบออกอย่างถูกต้องอยู่ครับ


เว็บ Decode eval(base64_decode(
hxxp://www.tareeinternet.com/scripts/base.html  ใส่โค้ดที่เข้ารหัส ที่อยู่ในเครื่องหมาย ' ' เท่านั้น
hxxp://www.tareeinternet.com/scripts/decrypt.php   ใส่โค้ดตั้งแต่ eval(gzinflate(base64_decode('XUnmKKL.......')));

+1 นะครับ ได้ความรู้เยอะเลย