网上下载的YT主题Drive有三段加密代码是被人加的外链

2012/12/17

点金主题网几天前发布了一款网上共享的YT主题Drive:wordpress企业主题Drive:YT精品黑旋风,这两天汉化了这个主题,发现有三段加密的代码(恶意代码),尽管这三段加密代码不影响主题的使用,但是却在你的网站前台留下的三个外链。下面我来说说这个代码在哪里及如何除去。

1、大家打开主题文件夹/layouts/template.php,在22-24行,有如下代码:


<div id="page-bg"><?php $xml='PGgyPg0KPGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTgwMDBweDsiPg0KPGEgdGFyZ2V0PSJfYmxhbmsiIHJlbD0iZG9mb2xsb3ciIGhyZWY9Imh0dHA6Ly9iZXQzNjUuYXJ0YmV0dGluZy5jby51ay8iPmJldDM2NSBVSzwvYT4NCjwvZGl2Pg0KPC9oMj4=';
echo base64_decode($xml);
?><div>

这段代码解密后是:


<div id="page-bg">

<h2>
<div style="position: absolute; top: 0px; left: -8000px;">
<a target="_blank" rel="dofollow" href="http://bet365.artbetting.co.uk/">bet365 UK</a>
</div>
</h2>

<div>

很明显,加了个强烈的外链。

大家可以删除<div id=”page-bg”></div>内的代码即可。

2、在24-26行存在:


<?php $xml='PGgyPg0KPGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTgwMDBweDsiPg0KPGEgdGFyZ2V0PSJfYmxhbmsiIHJlbD0iZG9mb2xsb3ciIGhyZWY9Imh0dHA6Ly9iaWd0aGVtZS5uZXQvIj53b3JkcHJlc3Mgam9vbWxhIHRlbXBsYXRlPC9hPg0KPC9kaXY+DQo8L2gyPg==';
echo base64_decode($xml);
?>

这段代码直接删除。

3、在165-169行存在代码:


<?php $xml='PGgyPg0KPGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTgwMDBweDsiPiBUaGUgYmVzdCBib251cyBieQ0KPGEgdGFyZ2V0PSJfYmxhbmsiIHJlbD0iZG9mb2xsb3ciIGhyZWY9Imh0dHA6Ly9iZXQzNjUuYXJ0YmV0dGluZy5nci8iPmJldDM2NSDOlc67zrvOrM60zrE8L2E+IDEwMCUgZm9yIG5ldyB1c2VyLg0KPC9kaXY+DQo8L2gyPg==';
echo base64_decode($xml);
?><?php $xml='PGgyPg0KPGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTgwMDBweDsiPkZ1bGwNCjxhIHRhcmdldD0iX2JsYW5rIiByZWw9ImRvZm9sbG93IiBocmVmPSJodHRwOi8vYmlndGhlbWUubmV0L2pvb21sYSI+Sm9vbWxhIDMuMCBUaGVtZTwvYT4gZnJlZSB0aGVtZS4NCjwvZGl2Pg0KPC9oMj4=';
echo base64_decode($xml);
?>

同样直接删除即可。

最后记得保存。

很快我们就会推出这个黑旋风的汉化版。

发表评论

邮箱地址不会被公开。 必填项已用*标注