Support WordPress Francophone / Code malicieux ?

Comme une image · 10-04-2008 17:47:21

J'ai récemment, pour dépanner une amie qui avait téléchargé sur internet un thème élégant, mais un peu bancal, eu la surprise de tomber sur une zone de code suspecte, que j'ai bien évidemment supprimée, mais que j'aimerais bien « analyser ».

Quelqu'un saurait-il m'indiquer si les codes suivants sont effectivement malicieux, et comment les décoder ?

PS : pour ne pas mettre entre les mains de n'importe quel petit rigolo qui passe un truc potentiellement dangereux, je tronque une partie du code. Pour le code complet, me contacter en privé.

Code:

<?php $Sa122eba35e406cf(...)ac402460816='bY6xCoMwFE(...)g6dO7RzNE8jRF+ID4PQj28sh(...)O0coVxVHoJ3Zwy01Jo+EF(...)0cToDz/l+xmd7wR(...)Cxq+HU(...)3T/gePZatcGF8g0=';eval(gzinflate(base64_decode($Sa122eba35e4(...)c402460816))); ?>
 
<?php eval(gzinflate(base64_decode('rZE/a8MwEMX(...)n7HNaLgai9445WHDuvqC0lWr+/QCM(...)3jmgpdk/BjwrBJO5IkE1ADhIReBfTRdu/W/jM6v/uRRH5N8b(...)ny9fp5wdky9W1b6wXcAQ==')));?>

AmO · 10-04-2008 19:28:33

Alors non...
Ca n'est pas un code malicieux. ou pas vraiment.

L'auteur du plugin encode juste une partie du code html de son theme, pour empecher la modification de certaines parties.

Par exemple, le copyright du footer, ou un js de pub, etc.
Malicieux non, mais ca ne colle pas trop a l'esprit WP smile

velelle · 10-04-2008 21:44:58

AmO,
Vouloir enlever le "copyright" du footer, ca ne colle pas trop à l'esprit WP non plus ;-)

Comme une image · 10-04-2008 22:13:27

C'est effectivement probablement juste une partie encodée (m'enfin, je ne vois pas de quoi ça protège, parce qu'à partir du moment où je suis capable de modifier un footer, je suis capable de virer ce genre de code...).

Mais (j'insiste un peu !), c'est bien joli de dire que « ça ne colle pas à l'esprit de WP », n'empêche que ça existe et les travaux sur le Theme Viewer de Wordpress sont justement en cours pour éviter ce genre de pratique.

J'en reviens à ma question : comment le décoder ? comment s'assurer qu'il s'agit bien de code inoffensif ?

Comme une image · 10-04-2008 23:09:00

velelle a écrit:
AmO,
Vouloir enlever le "copyright" du footer, ca ne colle pas trop à l'esprit WP non plus ;-)

Mouais, je ne sais pas s'il y a un « esprit Wordpress ». Je pense qu'il y a un « esprit Open Source ».
La dessus, chacun peut se faire sa religion. Entre le copyleft, le creative common, la GPL, le copyright et j'en oublie sans doute, il y a des tas d'attitudes et des tas de positions différentes qui ne sont pas forcément contradictoires.

Imaginons qu'une société X paye un designer pour pondre un thème que la société X va offrir au grand public moyennant l'affichage d'une petite pub : pourquoi pas ? Si on ne veut pas de pub, rien ne nous oblige à choisir ce thème.

Dans le cas présent, je récupère un thème gratuit (« free premium theme ») qui ne précise pas à quel type de licence il est assujetti. Sauf que le thème ne marche pas parce qu'il est tout cassé (c'est bizarre, j'aurais pas cru que c'était le sens de « premium » mais je dois pas assez bien parler anglais). Et puis je trouve ce truc bizarre dans le footer, très peu de temps après avoir lu une histoire pas très claire de bloggueur qui aurait modifié son footer, justement, et qui aurait été hacké (ou fait semblant de l'être pour faire jaser). Quoi qu'il en soit, j'apprends l'existence de thèmes WP livrés dans la nature éventuellement nuisibles et je tombe sur cette partie de code cryptée, donc par prudence, je le désactive : je lance en local le thème, je récupère le code source HTML de la page générée que je ré-injecte dans le footer en remplacement du footer crypté => de cette manière, les crédits pour le thème sont toujours présents. Accessoirement, je pourrais ajouter aux crédits ma petite pub personnelle (pas volée, puisque de facto, j'aurais travaillé sur le thème) mais je ne l'ai pas fait parce que j'en ai rien à taper (perso, je fais un burp pour m'amuser, et dans ce cadre j'estime que ma production est copyleft.

Mais tout ça nous éloigne du sujet !

Légitimement, j'aimerais bien savoir comment décoder ce genre de trucs dans un thème : il doit bien y avoir un moyen, en activant une trace PHP où je ne sais quoi. Parce que si du code PHP encrypté est capable d'afficher un footer, il peut tout aussi bien être capable d'envoyer des infos X ou Y sur un site distant, par exemple.

velelle · 11-04-2008 09:20:29

Loin de moi l'idée de lancer une polémique* ... et j'apprécie d'ailleurs la position de "Comme une image". Encore une fois, désolé de na pas aider à répondre "techniquement" à la question posée.

dlo · 11-04-2008 10:01:04

Dans ce genre de situation, je pense que la meilleure attitude est de ne pas utiliser un thème qui est en partie crypté, donc protégé, de fait et d'intention, par son auteur contre la modification.
Il y a fort à parier dans ce cas que la licence d'utilisation n'est pas GPL et qu'il n'est donc pas question de faire un quelconque changement sans l'accord préalable de l'auteur ou que l'on va se trouver en présence de choses pas forcement sympathiques pour son blog (cela va de la publicité pour des petites pilules bleues à une intrusion sur son PC).
Si l'on veut à tout prix l'utiliser quand même, soit on fait confiance à l'auteur, soit on lui demande directement des explications sur ce qu'il a fait.
Mais il faut toujours respecter le droit de propriété intellectuelle même si c'est une notion très vague pour bon nombre d'internautes...

Cela dit, il y a tout ce qu'il faut sur ce forum pour trouver une réponse à la question du décodage ! (Est-ce bien raisonnable ?) blink Il suffit de savoir chercher... siffle

Cordialement

Dernière modification par dlo (11-04-2008 10:05:06)

Comme une image · 11-04-2008 10:32:59

@ velelle » J'ai cru au début que tu me reprochais de vouloir décréditer un thème et je me suis aperçu ensuite que j'étais parano et que j'avais mal interprété tes propos. Pour autant, je me suis dit que ma réponse était quand même une prolongation intéressante (oui, oui, je suis très modeste tongue ) de la discussion.

@ dlo » Le point que tu soulèves est délicat. Personnellement, j'ai une approche que je caractériserais de « pragmatique ». Je trouve sur la toile un thème gratuit que je trouve joli, mais il ne marche pas.
De toute évidence, ce truc a été fait à la va-vite, probablement en mélangeant le code de deux thèmes différents (les noms de classe utilisées d'une page à l'autre sont complètement différents). J'ai quand même de bonnes raisons de penser que le site qui offre ce thème s'en fout un peu et est surtout intéressé par sa propre pub (d'agence de voyage). En outre, le thème n'indique pas la licence pratiquée, et le site non plus.

Bon, après tout, moi j'ai juste (commencé à) débuggé(-er) le thème pour rendre service à ma copine ; si elle a des problèmes avec la justice, je nierai toute implication siffle

Bon, je vais apprendre à chercher un peu (mais c'est vrai que je n'ai fait aucune tentative de recherche par ~~flemme~~ manque de temps. M'ci !

_____
[EDIT]
Après décodage [ fastoche en fait ;-) il suffit de remplacer eval(...) par echo htmlspecialchars(...) ], le code correspondant est effectivement inoffensif.

Dernière modification par Comme une image (11-04-2008 10:54:10)

Lumière de Lune · 11-04-2008 16:40:55

Ben en fait, "à la base" les créations intellectuelles ne sont pas libres de droit. Donc si rien n'est précisé, ce n'est pas libre (mais ça peut être gratuit).
Après, que ça soit mal foutu, et fait à partir de trucs glanés ici et là c'est autre chose. smile

Comme une image · 11-04-2008 17:39:01

@ L2L » Remarque pertinente.

Le thème en question est là :
http://www.wpthemesfree.com/view.php?theme_id=2393
J'ai cherché des informations de © sur ce site, on en trouve, mais ça ne répond pas à la question pour ce thème.

On le trouvait aussi sur le site de l'auteur avec qui mon amie a été en relation par courriel, mais bizarrement, depuis sa demande de support auprès de l'auteur (c'est après qu'elle a fait appel à mon aide), ils ont disparu de ce site. Faudrait que je lui demande si l'auteur accepte que le thème soit modifié/corrigé et avec quels termes de licence.