Foros del Web » Creando para Internet » Sistemas de gestión de contenidos » WordPress »

Codigo encriptado

Estas en el tema de Codigo encriptado en el foro de WordPress en Foros del Web. Hola a todos, alguien sabe como "desencriptar" este codigo que posee una de las secciones de un theme Wordpress?? <?php $__F=__FILE__; $__C='Pz48L2Q0dj4NCjwhLS0gRU5EIGIyZHkgLS0+DQoNCjxk NHYgY2wxc3M9ImJyNTFrIj48L2Q0dj4NCjwvZDR2PjwvZDR2Pg 0KPCEtLSBFTkQgd3IxcHA1ciAtLT4NCg0KPCEtLSBCRUdJTiBm MjJ0NXIgLS0+DQo8ZDR2IDRkPSJmMjJ0NXIiPjxkNHYgY2wxc3 ...
  #1 (permalink)  
Antiguo 13/09/2010, 07:49
Avatar de gragus  
Fecha de Ingreso: diciembre-2005
Mensajes: 162
Antigüedad: 18 años, 3 meses
Puntos: 0
Codigo encriptado

Hola a todos, alguien sabe como "desencriptar" este codigo que posee una de las secciones de un theme Wordpress??

<?php $__F=__FILE__;
$__C='Pz48L2Q0dj4NCjwhLS0gRU5EIGIyZHkgLS0+DQoNCjxk NHYgY2wxc3M9ImJyNTFrIj48L2Q0dj4NCjwvZDR2PjwvZDR2Pg 0KPCEtLSBFTkQgd3IxcHA1ciAtLT4NCg0KPCEtLSBCRUdJTiBm MjJ0NXIgLS0+DQo8ZDR2IDRkPSJmMjJ0NXIiPjxkNHYgY2wxc3 M9IndyMXBwNXIiPg0KPHAgNGQ9IndwdGRfZjIydDVyIj4NCiAg PHNwMW4gY2wxc3M9ImwiPiZjMnB5OyA8P3BocCB0aDVfdDRtNS giWSIpOyA/PiA8MSBocjVmPSI8P3BocCBibDJnNG5mMigiM3JsIik7ID8+Ii B0NHRsNT0iPD9waHAgYmwyZzRuZjIoIm4xbTUiKTsgPz4iPjw/cGhwIGJsMmc0bmYyKCJuMW01Iik7ID8+PC8xPi4gQWxsIFI0Z2 h0cyBSNXM1cnY1ZDwvc3Axbj4NCiAgPHNwMW4gY2wxc3M9InIi PkQ1djVsMnA1ZCBieSA8MSB0NHRsNT0iUFNEIHQyIFcycmRwcj VzcyIgaHI1Zj0iaHR0cDovL3dwZnIybXBzZC5jMm0iPlBTRCB0 MiBXMnJkcHI1c3M8LzE+IC4gRDVzNGduNWQgYnkgPDEgaHI1Zj 0iaHR0cDovL3d3dy53cHRoNW01ZDVzNGduNXIuYzJtIiB0NHRs NT0iVzJyZHByNXNzIFRoNW01IEQ1czRnbjVyIj5XMnJkcHI1c3 MgVGg1bTUgRDVzNGduNXI8LzE+IDwxIGNsMXNzPSJ3cHRkX2wy ZzIiIGhyNWY9Imh0dHA6Ly93d3cud3B0aDVtNWQ1czRnbjVyLm MybSIgdDR0bDU9IlcycmRwcjVzcyBUaDVtNSBENXM0Z241ciI+ VzJyZHByNXNzIFRoNW01IEQ1czRnbjVyPC8xPjwvc3Axbj4NCj wvcD4NCjxkNHYgY2wxc3M9ImJyNTFrIj48L2Q0dj4NCjwvZDR2 PjwvZDR2Pg0KPCEtLSBFTkQgZjIydDVyIC0tPg0KDQo8L2IyZH k+DQoNCjwvaHRtbD4NCg==';
eval(base64_decode('JF9fQz1iYXNlNjRfZGVjb2RlKCRfX0 MpOwokX19DPXN0cnRyKCRfX0MsIjEyMzQ1NmFvdWllIiwiYW91 aWUxMjM0NTYiKTsKJF9fQz1lcmVnX3JlcGxhY2UoJ19fRklMRV 9fJywiJyIuJF9fRi4iJyIsJF9fQyk7CmV2YWwoJF9fQyk7CiRf X0M9IiI7'));?>

Gracias sau2
  #2 (permalink)  
Antiguo 16/09/2010, 08:10
Avatar de xavito  
Fecha de Ingreso: agosto-2003
Mensajes: 61
Antigüedad: 20 años, 6 meses
Puntos: 5
Respuesta: Codigo encriptado

Cita:
Iniciado por gragus Ver Mensaje
Hola a todos, alguien sabe como "desencriptar" este codigo que posee una de las secciones de un theme Wordpress??

<?php $__F=__FILE__;
$__C='Pz48L2Q0dj4NCjwhLS0gRU5EIGIyZHkgLS0+DQoNCjxk NHYgY2wxc3M9ImJyNTFrIj48L2Q0dj4NCjwvZDR2PjwvZDR2Pg 0KPCEtLSBFTkQgd3IxcHA1ciAtLT4NCg0KPCEtLSBCRUdJTiBm MjJ0NXIgLS0+DQo8ZDR2IDRkPSJmMjJ0NXIiPjxkNHYgY2wxc3 M9IndyMXBwNXIiPg0KPHAgNGQ9IndwdGRfZjIydDVyIj4NCiAg PHNwMW4gY2wxc3M9ImwiPiZjMnB5OyA8P3BocCB0aDVfdDRtNS giWSIpOyA/PiA8MSBocjVmPSI8P3BocCBibDJnNG5mMigiM3JsIik7ID8+Ii B0NHRsNT0iPD9waHAgYmwyZzRuZjIoIm4xbTUiKTsgPz4iPjw/cGhwIGJsMmc0bmYyKCJuMW01Iik7ID8+PC8xPi4gQWxsIFI0Z2 h0cyBSNXM1cnY1ZDwvc3Axbj4NCiAgPHNwMW4gY2wxc3M9InIi PkQ1djVsMnA1ZCBieSA8MSB0NHRsNT0iUFNEIHQyIFcycmRwcj VzcyIgaHI1Zj0iaHR0cDovL3dwZnIybXBzZC5jMm0iPlBTRCB0 MiBXMnJkcHI1c3M8LzE+IC4gRDVzNGduNWQgYnkgPDEgaHI1Zj 0iaHR0cDovL3d3dy53cHRoNW01ZDVzNGduNXIuYzJtIiB0NHRs NT0iVzJyZHByNXNzIFRoNW01IEQ1czRnbjVyIj5XMnJkcHI1c3 MgVGg1bTUgRDVzNGduNXI8LzE+IDwxIGNsMXNzPSJ3cHRkX2wy ZzIiIGhyNWY9Imh0dHA6Ly93d3cud3B0aDVtNWQ1czRnbjVyLm MybSIgdDR0bDU9IlcycmRwcjVzcyBUaDVtNSBENXM0Z241ciI+ VzJyZHByNXNzIFRoNW01IEQ1czRnbjVyPC8xPjwvc3Axbj4NCj wvcD4NCjxkNHYgY2wxc3M9ImJyNTFrIj48L2Q0dj4NCjwvZDR2 PjwvZDR2Pg0KPCEtLSBFTkQgZjIydDVyIC0tPg0KDQo8L2IyZH k+DQoNCjwvaHRtbD4NCg==';
eval(base64_decode('JF9fQz1iYXNlNjRfZGVjb2RlKCRfX0 MpOwokX19DPXN0cnRyKCRfX0MsIjEyMzQ1NmFvdWllIiwiYW91 aWUxMjM0NTYiKTsKJF9fQz1lcmVnX3JlcGxhY2UoJ19fRklMRV 9fJywiJyIuJF9fRi4iJyIsJF9fQyk7CmV2YWwoJF9fQyk7CiRf X0M9IiI7'));?>

Gracias sau2

Si está encriptado, es porque el autor no quiere que se modifique.
  #3 (permalink)  
Antiguo 17/09/2010, 19:20
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

Cita:
Iniciado por xavito Ver Mensaje
Si está encriptado, es porque el autor no quiere que se modifique.
Si está encriptado es porque nos están metiendo algo non-santo que no quieren que veamos.

Relativo a la consulta original, no se el método, lo que si se, que buscando en google eso de desencriptar footer wordpress algunas guías explican el método para ese tipo de codificaciones.

$__F=__FILE__;
__________________
elGastronomo
  #4 (permalink)  
Antiguo 20/09/2010, 07:29
Avatar de gragus  
Fecha de Ingreso: diciembre-2005
Mensajes: 162
Antigüedad: 18 años, 3 meses
Puntos: 0
Respuesta: Codigo encriptado

Gracias por tu respuesta American2010, tal como explicas he descubierto una VENTANA TIPO POPUP DE PUBLICIDAD que se abre sola, evidentemente se encuentra en el código encriptado.
Voy a seguir googleando el tema por que urge corregirlo mas que nunca, los derechos de autor no los voy a tocar pero debo eliminar la publicidad molesta.
  #5 (permalink)  
Antiguo 20/09/2010, 09:05
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

De momento, para salir del paso lo que podes hacer es copiar el resultado HTML que ves en el Código Fuente al visitar tu sitio y reemplazar la zona del Footer en el .php

Primero abrilo y agregale un comentario antes de toda la encriptación

<!-- Empieza footer -->

Luego ves el Codigo Fuente y sabrás desde donde copiar.

Elimina todo lo que veas sospechoso.
__________________
elGastronomo
  #6 (permalink)  
Antiguo 20/09/2010, 17:51
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 19 años, 9 meses
Puntos: 832
Respuesta: Codigo encriptado

Jejeje siempre que me tropiezo con este tipo de acciones me pregunto cuál es el sentido de imponer los créditos de esa manera. Es ridículo y poco profesional.

En fin, el código desencriptado es éste:

Código HTML:
Ver original
  1. ?></div>
  2. <!-- END body -->
  3.  
  4. <div class="break"></div>
  5. </div></div>
  6. <!-- END wrapper -->
  7.  
  8. <!-- BEGIN footer -->
  9. <div id="footer"><div class="wrapper">
  10. <p id="wptd_footer">
  11.   <span class="l">© <?php the_time("Y"); ?> <a href="<?php bloginfo("url"); ?>" title="<?php bloginfo("name"); ?>"><?php bloginfo("name"); ?></a>. All Rights Reserved</span>
  12.   <span class="r">Developed by <a title="PSD to Wordpress" href="http://wpfrompsd.com">PSD to Wordpress</a> . Designed by <a href="http://www.wpthemedesigner.com" title="Wordpress Theme Designer">Wordpress Theme Designer</a> <a class="wptd_logo" href="http://www.wpthemedesigner.com" title="Wordpress Theme Designer">Wordpress Theme Designer</a></span>
  13. </p>
  14. <div class="break"></div>
  15. </div></div>
  16. <!-- END footer -->
  17.  
  18. </body>
  19.  
  20. </html>

Para un futuro, la forma de desencriptar este tipo de cosas la encuentran aquí. Esto deberán hacerlo en su servidor local o remoto:

http://danilo.ariadoss.com/decoding-...base64_decode/

gragus, fíjate que el código comienza con una llave de cierre PHP (?>) la cual deberás colocar al final del trozo inmediatamente anterior a la sopa de letras.
  #7 (permalink)  
Antiguo 21/09/2010, 06:27
Avatar de gragus  
Fecha de Ingreso: diciembre-2005
Mensajes: 162
Antigüedad: 18 años, 3 meses
Puntos: 0
Respuesta: Codigo encriptado

a a a con razón se arruinaba el diseño al eliminar completamente el footer. Bueno simplemente genial, no solo dieron la solucion para este caso si no para los proximos que puedan aparecer, debo decir que las dos soluciones sirven, muchas gracias por la ayuda espero que le sirva a otros usuarios
  #8 (permalink)  
Antiguo 21/09/2010, 11:27
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

Perdón que me sume a este tema, pero la verdad que lo venía siguiendo de cerca.

Primero felicitar a Metacortex por el aporte.

Leí el link que dejó en donde explican 2 métodos.

El problema que tengo es que la codificación de un footer que tengo yo no encuentro como decodificarla.

Por eso me sumo a ver si me pueden orientar.

Código PHP:
<?php
$o
="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";eval(base64_decode("JGxsbD0wO2V2YWwoYmFzZTY0X2RlY29kZSgiSkd4c2JHeHNiR3hzYkd4c1BTZGlZWE5sTmpSZlpHVmpiMlJsSnpzPSIpKTskbGw9MDtldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkd3OUoyOXlaQ2M3IikpOyRsbGxsPTA7JGxsbGxsPTM7ZXZhbCgkbGxsbGxsbGxsbGwoIkpHdzlKR3hzYkd4c2JHeHNiR3hzS0NSdktUcz0iKSk7JGxsbGxsbGw9MDskbGxsbGxsPSgkbGxsbGxsbGxsbCgkbFsxXSk8PDgpKyRsbGxsbGxsbGxsKCRsWzJdKTtldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkd4c2JHdzlKM04wY214bGJpYzciKSk7JGxsbGxsbGxsbD0xNjskbGxsbGxsbGw9IiI7Zm9yKDskbGxsbGw8JGxsbGxsbGxsbGxsbGwoJGwpOyl7aWYoJGxsbGxsbGxsbD09MCl7JGxsbGxsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTw8OCk7JGxsbGxsbCs9JGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTskbGxsbGxsbGxsPTE2O31pZigkbGxsbGxsJjB4ODAwMCl7JGxsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTw8NCk7JGxsbCs9KCRsbGxsbGxsbGxsKCRsWyRsbGxsbF0pPj40KTtpZigkbGxsKXskbGw9KCRsbGxsbGxsbGxsKCRsWyRsbGxsbCsrXSkmMHgwZikrMztmb3IoJGxsbGw9MDskbGxsbDwkbGw7JGxsbGwrKykkbGxsbGxsbGxbJGxsbGxsbGwrJGxsbGxdPSRsbGxsbGxsbFskbGxsbGxsbC0kbGxsKyRsbGxsXTskbGxsbGxsbCs9JGxsO31lbHNleyRsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTw8OCk7JGxsKz0kbGxsbGxsbGxsbCgkbFskbGxsbGwrK10pKzE2O2ZvcigkbGxsbD0wOyRsbGxsPCRsbDskbGxsbGxsbGxbJGxsbGxsbGwrJGxsbGwrK109JGxsbGxsbGxsbGwoJGxbJGxsbGxsXSkpOyRsbGxsbCsrOyRsbGxsbGxsKz0kbGw7fX1lbHNlJGxsbGxsbGxsWyRsbGxsbGxsKytdPSRsbGxsbGxsbGxsKCRsWyRsbGxsbCsrXSk7JGxsbGxsbDw8PTE7JGxsbGxsbGxsbC0tO31ldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkd4c2JEMG5ZMmh5SnpzPSIpKTskbGxsbGw9MDtldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkQwaVB5SXVKR3hzYkd4c2JHeHNiR3hzYkNnMk1pazciKSk7JGxsbGxsbGxsbGw9IiI7Zm9yKDskbGxsbGw8JGxsbGxsbGw7KXskbGxsbGxsbGxsbC49JGxsbGxsbGxsbGxsbCgkbGxsbGxsbGxbJGxsbGxsKytdXjB4MDcpO31ldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkM0OUpHeHNiR3hzYkd4c2JHd3VKR3hzYkd4c2JHeHNiR3hzYkNnMk1Da3VJajhpT3c9PSIpKTtldmFsKCRsbGxsbGxsbGwpOw=="));return;
?>
Gracias spoiler que ayudas a que no sea un choclo de largo el post
__________________
elGastronomo
  #9 (permalink)  
Antiguo 22/09/2010, 00:52
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 19 años, 9 meses
Puntos: 832
Respuesta: Codigo encriptado

Éste es distinto pero igual resultó fácil desencriptarlo luego de saber cómo hacerlo:

Código PHP:
Ver original
  1. ?>    <!-- Footer Widget Area Starts -->
  2.     <div id="footer-widgets">
  3.  
  4.         <div class="container col-full">
  5.             <div class="block">
  6.                 <?php dynamic_sidebar('footer-1'); ?>                  
  7.             </div>
  8.             <div class="block">
  9.                 <?php dynamic_sidebar('footer-2'); ?>                  
  10.             </div>
  11.             <div class="block last">
  12.                 <?php dynamic_sidebar('footer-3'); ?>                  
  13.             </div>
  14.  
  15.             <div class="fix"></div>
  16.         </div>    
  17.     </div>
  18.     <!-- Footer Widget Area Ends -->
  19.  
  20.     <div id="footer">
  21.         <div class="col-full">
  22.             <div id="copyright" class="col-left">
  23.                 <p>&copy; <?php echo date('Y'); ?> <?php bloginfo(); ?>. <?php _e('All Rights Reserved.', 'woothemes') ?></p>
  24.  
  25.             </div>
  26.            
  27.             <div id="credit" class="col-right">
  28.                 <p><?php _e('Powered by', 'woothemes') ?> <a href="http://www.wordpress.org">Wordpress</a>. <?php _e('Designed by', 'woothemes') ?> <a href="http://www.wicked-wordpress-themes.com/wordpress-plugins/">Top Wp Plugins</a></p>
  29.             </div>
  30.         </div>
  31.     </div>
  32.  
  33.     <!-- footer Ends -->
  34.    
  35. </div><!-- /#container -->
  36.  
  37. <?php wp_footer(); ?>
  38.  
  39. <?php if ( get_option('woo_twitter') && get_option('woo_ad_top') <> "true") { ?>
  40.     <script type="text/javascript" src="http://twitter.com/javascripts/blogger.js"></script>
  41.     <script type="text/javascript" src="http://twitter.com/statuses/user_timeline/<?php echo get_option('woo_twitter'); ?>.json?callback=twitterCallback2&amp;count=1"></script>
  42. <?php } ?>

1) Crear nuevas líneas a partir del punto y coma (;). Es decir, donde encontremos ese símbolo cortaremos la línea. Eso nos dará tres líneas: la de la variable "$o", el código a desencriptar y la función "return".

2) La segunda línea comienza con eval(... Reemplazar ese "eval" por un "echo". Guardar y correr el documento.

3) El resultado será una línea larga. En este caso tendrá el siguiente aspecto:

Código PHP:
Ver original
  1. $lll=0;eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;eval($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;eval($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);eval($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}eval($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;eval($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}eval($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));eval($lllllllll);

4) Ahora vamos a copiar esa línea y pegarla en la 2da línea del código, reemplazando a la misma que antes tenía "eval" y fue reemplazada por el "echo". La primera y la tercera se preservan. Es decir, debe quedar así:

Código PHP:
Ver original
  1. <?php
  2. $o="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";
  3. $lll=0;eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;eval($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;eval($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);eval($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}eval($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;eval($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}eval($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));eval($lllllllll);
  4. return;
  5. ?>

5) Esa línea de reemplazo tiene un último "eval" así: eval($lllllllll). Éste lo reemplazarás de nuevo con un "echo", así: echo($lllllllll). Guardar, correr el documento y ver el código fuente ya desencriptado en el navegador. Allí se ven las funciones PHP plenamente visibles como HTML. De esa forma podrás evaluar si efectivamente existe o no código malicioso.

6) Copiar el trozo y pegarlo en el footer. Reemplazar a tu gusto.

El método lo encontré aquí: http://wordpress.org/support/topic/f...3#post-1140612

Otra fuente: http://stackoverflow.com/questions/2...ase64-php-file

Última edición por metacortex; 22/09/2010 a las 11:15
  #10 (permalink)  
Antiguo 22/09/2010, 03:52
Avatar de Malenko
Moderador
 
Fecha de Ingreso: enero-2008
Mensajes: 5.323
Antigüedad: 16 años, 2 meses
Puntos: 606
Respuesta: Codigo encriptado

Cita:
Iniciado por gragus Ver Mensaje
Gracias por tu respuesta American2010, tal como explicas he descubierto una VENTANA TIPO POPUP DE PUBLICIDAD que se abre sola, evidentemente se encuentra en el código encriptado.
Voy a seguir googleando el tema por que urge corregirlo mas que nunca, los derechos de autor no los voy a tocar pero debo eliminar la publicidad molesta.
En el código que metacortex ha posteado se ve que ha "eliminado" donde se muestra ese popup que tanto te molestaba. Eso o... alomejor no ha exisitido núnca y era una excusa para poder eliminar los créditos del trabajo de otra persona?
__________________
Aviso: No se resuelven dudas por MP!
  #11 (permalink)  
Antiguo 22/09/2010, 11:12
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 19 años, 9 meses
Puntos: 832
Respuesta: Codigo encriptado

Ahí hay un par de llamadas a javascripts. Quizás sea eso.

Cita:
Iniciado por Malenko
Eso o... alomejor no ha exisitido núnca y era una excusa para poder eliminar los créditos del trabajo de otra persona?
Hombre, es un theme que se compró y que no ofrece control sobre el total de sus elementos. Fíjate que allí también hay un par de enlaces salientes que no tienen por qué estar ahí sin el permiso del dueño de la web. El hecho de que el diseñador oculte el código y coloque una nota de copyright que intente impedir su modificación, no significa que sea lo correcto. Es un abuso. Y para los abusos existen las contras.

En conclusión: A American2010 le gustó el theme, lo compró y luego de desempaquetarlo se tropezó con la "sorpresita" de la encriptación. ¡Por supuesto que está bien desencriptar ese código y volarle/agregarle lo que sea necesario! Es su plantilla y su derecho.

Última edición por metacortex; 22/09/2010 a las 12:05
  #12 (permalink)  
Antiguo 22/09/2010, 17:19
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

Metacortex... 1.000.000 de Gracias. Eres un genio. No hay Karma suficiente por tu logro y la explicación.

En mi caso, me ayuda poder leer como eran las 2 llamadas a esos .js al final, aunque también los veía desde el Código Fuente de una página cargada en el navegador. Pero quería ver que no hubiera nada raro en el Theme.

Esas llamadas hacen que me traiga mi último tweet en twitter al sitio. Y ahora al ver el código, voy a poner personalizar mejor ese footer de 3 columas, que quiero experimentar con distintas guías que vi, para hacer footer más funcionales para wordpress.

Metacortex, nuevamente, gracias y gracias también por tomarte el tiempo de explicar como se llega a desencriptar.

PD: Jeje, increíble que el punto de patida para encontrar como se hace estuviera en el mismo wordpress.org una muestra clara de que a la gente de WP tampoco le gusta mucho que algunos diseñadores de themes encripten sus footers.
__________________
elGastronomo
  #13 (permalink)  
Antiguo 07/10/2010, 03:46
 
Fecha de Ingreso: octubre-2010
Ubicación: Caprica
Mensajes: 2
Antigüedad: 13 años, 5 meses
Puntos: 0
Pregunta Respuesta: Codigo encriptado

Hola que tal? bueno tengo un footer.php encriptado pero no tengo ni P**a idea de desencriptarlo y me me si alguno seria tan amable de decirmo como hacerlo o en su caso hacerlo por mi, Yo se lo agradeceria en el alma, pues el "footer" tiene en laces de publicidad pero me gustaria que quedan puestos de otra forma.

Cita:
<?php
$o="QAAACg07OHdvdyduaWRrcmNiJwAAL1NCSldLRlNCV0ZTTy cpJwBAIChlaHNzaGopAlAgLjwnODmE4AMgKGNucQCADg4AxQCR AUAnbmM6JQGAYWhoc2J1JQIAAeB0d2ZpJ2RrEIBmdHQBkGtiYX MBgQ5DYnRuYGkAACc9JztmJ291YmE6JW9zc3cAAD0oKHBwcClw YmU1YWJiaykAAGRoaiUnOVBodWNXdWJ0dCcAFnNvYmpidDsoZj knBaAoBbEGX2EKQHVuYG8GYicAEERoDTB0cnd3aHVgAXMG3wbQ YmpoaWJ+ZGJpc3VmByIAQCglOURDJ1VmcwajKyc7JioqAMB0c2 Z1cyoqOQQ/BDBpYnMqc2IAAGQqZmApY2IoJSdzbnNrYjoAGSVJQlMqU0JEJ0 5pEOACQGZgBlB8wHIRgAGfAZINghEPcCkDwAYCaGlrbmliEAQp Y2wGR3RoYmBiamZ0bAGQaHcAPHNuamJ1bmlgJTkBjwGBBiMM8G JpT+JjDNAKDRR3HAAc1xXRHNAVwCGzcHdYHUMvhBggBmVoY34C AShvc2prGPEWwCcn";eval(base64_decode("JGxsbD0wO2V2 YWwoYmFzZTY0X2RlY29kZSgiSkd4c2JHeHNiR3hzYkd4c1BTZG lZWE5sTmpSZlpHVmpiMlJsSnpzPSIpKTskbGw9MDtldmFsKCRs bGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hzYkd3OUoyOXlaQ2M3Ii kpOyRsbGxsPTA7JGxsbGxsPTM7ZXZhbCgkbGxsbGxsbGxsbGwo IkpHdzlKR3hzYkd4c2JHeHNiR3hzS0NSdktUcz0iKSk7JGxsbG xsbGw9MDskbGxsbGxsPSgkbGxsbGxsbGxsbCgkbFsxXSk8PDgp KyRsbGxsbGxsbGxsKCRsWzJdKTtldmFsKCRsbGxsbGxsbGxsbC giSkd4c2JHeHNiR3hzYkd4c2JHdzlKM04wY214bGJpYzciKSk7 JGxsbGxsbGxsbD0xNjskbGxsbGxsbGw9IiI7Zm9yKDskbGxsbG w8JGxsbGxsbGxsbGxsbGwoJGwpOyl7aWYoJGxsbGxsbGxsbD09 MCl7JGxsbGxsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKT w8OCk7JGxsbGxsbCs9JGxsbGxsbGxsbGwoJGxbJGxsbGxsKytd KTskbGxsbGxsbGxsPTE2O31pZigkbGxsbGxsJjB4ODAwMCl7JG xsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTw8NCk7JGxs bCs9KCRsbGxsbGxsbGxsKCRsWyRsbGxsbF0pPj40KTtpZigkbG xsKXskbGw9KCRsbGxsbGxsbGxsKCRsWyRsbGxsbCsrXSkmMHgw ZikrMztmb3IoJGxsbGw9MDskbGxsbDwkbGw7JGxsbGwrKykkbG xsbGxsbGxbJGxsbGxsbGwrJGxsbGxdPSRsbGxsbGxsbFskbGxs bGxsbC0kbGxsKyRsbGxsXTskbGxsbGxsbCs9JGxsO31lbHNley RsbD0oJGxsbGxsbGxsbGwoJGxbJGxsbGxsKytdKTw8OCk7JGxs Kz0kbGxsbGxsbGxsbCgkbFskbGxsbGwrK10pKzE2O2ZvcigkbG xsbD0wOyRsbGxsPCRsbDskbGxsbGxsbGxbJGxsbGxsbGwrJGxs bGwrK109JGxsbGxsbGxsbGwoJGxbJGxsbGxsXSkpOyRsbGxsbC srOyRsbGxsbGxsKz0kbGw7fX1lbHNlJGxsbGxsbGxsWyRsbGxs bGxsKytdPSRsbGxsbGxsbGxsKCRsWyRsbGxsbCsrXSk7JGxsbG xsbDw8PTE7JGxsbGxsbGxsbC0tO31ldmFsKCRsbGxsbGxsbGxs bCgiSkd4c2JHeHNiR3hzYkd4c2JEMG5ZMmh5SnpzPSIpKTskbG xsbGw9MDtldmFsKCRsbGxsbGxsbGxsbCgiSkd4c2JHeHNiR3hz YkQwaVB5SXVKR3hzYkd4c2JHeHNiR3hzYkNnMk1pazciKSk7JG xsbGxsbGxsbGw9IiI7Zm9yKDskbGxsbGw8JGxsbGxsbGw7KXsk bGxsbGxsbGxsbC49JGxsbGxsbGxsbGxsbCgkbGxsbGxsbGxbJG xsbGxsKytdXjB4MDcpO31ldmFsKCRsbGxsbGxsbGxsbCgiSkd4 c2JHeHNiR3hzYkM0OUpHeHNiR3hzYkd4c2JHd3VKR3hzYkd4c2 JHeHNiR3hzYkNnMk1Da3VJajhpT3c9PSIpKTtldmFsKCRsbGxs bGxsbGwpOw=="));return;?>
  #14 (permalink)  
Antiguo 07/10/2010, 04:13
Avatar de Malenko
Moderador
 
Fecha de Ingreso: enero-2008
Mensajes: 5.323
Antigüedad: 16 años, 2 meses
Puntos: 606
Respuesta: Codigo encriptado

En este mismo tema, metacortex puso unos links donde se explica como desencriptar ese texto. Solo tienes que revisarte el hilo :)
__________________
Aviso: No se resuelven dudas por MP!
  #15 (permalink)  
Antiguo 07/10/2010, 10:39
 
Fecha de Ingreso: octubre-2010
Ubicación: Caprica
Mensajes: 2
Antigüedad: 13 años, 5 meses
Puntos: 0
Respuesta: Codigo encriptado

Malenko ya he leido el post de arriba abajo y he visitado los link pero no consigo nada si fueras tan amable de explicarme los pasos a seguir te lo agradeceria.

Salu2
  #16 (permalink)  
Antiguo 08/10/2010, 09:11
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

Cita:
Iniciado por KuorFaN Ver Mensaje
Malenko ya he leido el post de arriba abajo y he visitado los link pero no consigo nada si fueras tan amable de explicarme los pasos a seguir te lo agradeceria.

Salu2
Esto había...

Código PHP:
<?php include (TEMPLATEPATH '/bottom.php'); ?>
</div>
        
</div>    
<div id="footer">

<span class="fleft">
    Design : <a href="http://www.web2feel.com" >WordPress themes</a> 
</span>

<span class="fright">
    Code support <a href="http://www.emoneycentral.com/">CD Rates</a>, <!--start--> <a href="http://www.net-tec-ag.de/" title="NET-TEC Internetagentur">NET-TEC Internetagentur</a> <a href="http://www.net-tec-online.dk/" title="soegemaskineoptimering">soegemaskineoptimering</a> <!--end-->

 
</span>    
        
</div>
</div>
<?php wp_footer(); ?>
</body>
</html>
Te repito los pasos. (Primero tuve que sacar espacios que habían aparecido en la cadena de texto, imagino que los puso el foro esos.)

Te llevas a un archivo aparte, todo el "eval(base64_decode(........));"

Sin el $o y sin el return

En ese archivo aparte cambias el eval por echo, te queda así. "echo(base64_decode(........));"

Ves ese archivo en el navegador (claro en alguno que soporte el PHP) y verás algo así...

Código PHP:
$lll=0;eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;eval($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;eval($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);eval($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}eval($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;eval($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}eval($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));eval($lllllllll); 
Te llevas todo eso al archivo original, reemplazando el eval, osea, tendrás el $o original, este nuevo código, y el return

En eso ultimo que pegaste cambias el ultimo eval por un echo.

echo($lllllllll);

Vas al navegador, miras el código fuente de la página y listo.

PD: Todo el crédito para metacortex que fué quien lo explicó de genial forma.

PD2: Probalo el método así a futuro ya lo haces para otros themes, si quedo alguna duda avisa.
__________________
elGastronomo
  #17 (permalink)  
Antiguo 08/10/2010, 09:38
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 19 años, 9 meses
Puntos: 832
Respuesta: Codigo encriptado

Del código desencriptado por American2010 fíjense en los enlaces que incluía. Qué abuso:

Código HTML:
Code support <a href="http://www.emoneycentral.com/">CD Rates</a>, <!--start--> <a href="http://www.net-tec-ag.de/" title="NET-TEC Internetagentur">NET-TEC Internetagentur</a> <a href="http://www.net-tec-online.dk/" title="soegemaskineoptimering">soegemaskineoptimering</a> 
  #18 (permalink)  
Antiguo 08/10/2010, 09:50
 
Fecha de Ingreso: abril-2003
Mensajes: 1.129
Antigüedad: 20 años, 11 meses
Puntos: 34
Respuesta: Codigo encriptado

Cierto, es lo que digo, no desencriptamos por sacar derechos de autor sino para ver que nos están escondiendo.

PD: Una vez bajé un Theme de WP, el CSS Gallery creo que se llamaba y además de que se describía como "Listo para AdSense", además venía con AdSense del autor metido en la plantilla original. :P
Me fuí del tema, pero fué algo llamativo eso.
__________________
elGastronomo

Etiquetas: encriptado
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado

SíEste tema le ha gustado a 2 personas




La zona horaria es GMT -6. Ahora son las 11:37.