Zarażone pirackie wersje szablonów YooTheme

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Zawsze mnie ciekawi jakie podstępne rozwiązania w „pirackich” wersjach szablonów zostały umieszczone, tym razem mój wybór padł na szablony firmy YooTheme. Otóż trzeba przyznać pomysłowość osób infekujących, ale i zapobiegliwość producenta szablonu.

Otóż YT wyposażył wszystkie swoje szablony w mechanizm checksums – który nadał liczbę kontrolną dla każdego pliku szablonu i ją sprawdza, dzięki temu zaraz po instalacji oraz podczas użytkowania widzimy, czy któryś z plików szablonu nie został zmodyfikowany, a jeśli tak – to w zapleczu widać który.

yootheme-weryfikacja-plikow-szablonu

Powyższy zrzut ekranu ilustruje przykład celowej infekcji. O ile zmiany w plikach css lub less są raczej niegroźne to zmiany w .php – zdecydowanie tak. Wymyślono sobie powiem, aby „ukryty” kod pojawiał się dopiero wtedy kiedy liczba odwiedzin artykułu przekroczy zdefiniowaną wcześniej ilość. Zatem zaraz po instalacji praktycznie nie ma szans, abyś zauważył podejrzany kod. Dopiero kiedy Joomla naliczy 24 i kolejne odsłony:

if ( $this->item->hits >'23') {$yt_ijt = 'PGRpdiBpZD0'. 'ieXRf'. 'eGlqd'(...)

– ów „coś” (czyli reklama stron www!) zaszyfrowane base64 pojawi się… ale daleko z prawej strony, ponieważ użyto odpowiedni styl CSS :

#yt_xijtw { position: absolute; right: 4111px; }

Jak widzisz … za darmo można dostać tylko jabłko z tasiemcem(!).

Ostatnio w ten sam sposób reklamowany jest inny angielski serwis (infekcja w pliku layouts/theme.php) !!

reklama-ukryta