Ik ben bezig met een website nu gebruik ik een template en in de footer.php staat dit

<?php eval(base64_decode('Pz4gICAgICAgICAgICAgPGRpdiBjbG Fzcz0iY2xlYXIiPjwvZGl2Pg0KICAgICAgICA8L2Rpdj48IS0t IC8gcGFnZVdyYXBwZXIgLS0+DQoNCiAgICAgICAgPGRpdiBpZD 0iZm9vdGVyIj4NCgkJICAgIDxkaXYgY2xhc3M9ImZvb3RfbCI+ Jm5ic3A7PC9kaXY+DQogICAgICAgICAgICA8ZGl2IGNsYXNzPS Jmb290X2NvbnRlbnQiPg0KICAgICAgICAgICAgICAgIDx1bD4N CiAgICAgICAgICAgICAgICAgICAgPGxpPjxiPk5hdmlnYXRpb2 48L2I+ICZyYXF1bzsgPC9saT4NCgkJCQkgICAgPGxpPjxhIGhy ZWY9Ijw/cGhwIGJsb2dpbmZvKCdob21lJyk/Pi8iPkhvbWU8L2E+PC9saT4NCgkJCQkgICAgPD9waHAgd3BfbG lzdF9wYWdlcygndGl0bGVfbGk9JmRlcHRoPTEmbGlua19iZWZv cmU9IC0gJyk7ID8+DQoJCQkJPC91bD4NCg0KDQoJCQkJPHA+DQ ogICAgICAgICAgICAgICAgPGI+Q29weXJpZ2h0czwvYj4gPD9w aHAgYmxvZ2luZm8oJ25hbWUnKTsgPz48L2E+LiA8P3BocCBpZi hpc19ob21lKCkpIDogPz48YSBocmVmPSJodHRwOi8vZnJlZWFu dGl2aXJ1c3NvZnR3YXJlcmV2aWV3cy5jb20vZnJlZS1hdmFzdC 1hbnRpdmlydXMuaHRtbCIgdGl0bGU9IkZyZWUgQXZhc3QgQW50 aXZpcnVzIj5GcmVlIEF2YXN0IEFudGl2aXJ1czwvYT48P3BocC BlbmRpZjsgPz4NCg0KICAgICAgICAgICAgICAgDQogICAgICAg ICAgICAgICANCg0KICAgICAgICAgICAgICAgIDwvcD4NCgkJCT wvZGl2Pg0KCQkJPGRpdiBjbGFzcz0iZm9vdF9yIj4mbmJzcDs8 L2Rpdj4NCiAgICAgICAgICAgIDxhIGhyZWY9IiN0b3AiIGlkPS J0b1RvcCI+Jm5ic3A7PC9hPg0KICAgICAgICA8L2Rpdj48IS0t IC8gZm9vdGVyIC0tPg0KDQogICAgPC9kaXY+PCEtLSAvIFdyYX BwZXIgLS0+DQoNCiAgICA8IS0tIFN0dW5uaW5nIGRlc2lnbiBi eSBKZWVyZW1pZSAtIGh0dHA6Ly93ZWIta3JlYXRpb24uY29tIC 0tPg0KDQogICAgPD9waHAgd3BfZm9vdGVyKCk7ID8+DQoNCg0K PC9kaXY+PCEtLSAvIGNvbnRhaW5lciAtLT4NCg0KPC9ib2R5Pg 0KPC9odG1sPg0KIDw/'));?>

Wat is dit?

Een hack :D

Niet beter te verwoorden Tom.

base64_decode zegt toch genoeg neem ik aan?

Dit simpele stukje rotzooi, zorgt ervoor dat je de footer niet kan wijzigen. Ze zijn erg angstig dat je de copyright weghaalt (was je dat heel toevallig van plan? ;-)) maar, het kan inderdaad ook zijn dat er een klein stukje javascript bij zit, die schade kan veroorzaken bij de eindgebruiker. Of het is een stukje javascript/code die ervoor zorgt dat de eigenaren kunnen zien waar de templates worden gebruikt..

Een virus... scan je pc, ik heb het eind vorig jaar ook gehad.

Een mallware "haakte" in op mijn FTP-upload en voegde aan ieder bestand een stuk extra php of java code toe...

Nadat je pc schoon is moet je ieder bestand dat geupload is nakijken.
(p.s. MallWareBytes is een goede scanner)

waarschijnlijk een slechte poging om de template te "beveiligen" zodat je de copyright er niet uithaalt? Doe in plaats van die eval een print_r en je hebt de php code....

Overigens, het hoeft niet perse een virus te zijn. Sterker nog, dat is het niet eens. Gewoon een stukje copyright protection..

Code:

?>             <div class="clear"></div>
        </div><!-- / pageWrapper -->

        <div id="footer">
		    <div class="foot_l"> </div>
            <div class="foot_content">
                <ul>
                    <li><b>Navigation</b> » </li>
				    <li><a href="<?php bloginfo('home')?>/">Home</a></li>
				    <?php wp_list_pages('title_li=&depth=1&link_before= - '); ?>
				</ul>


				<p>
                <b>Copyrights</b> <?php bloginfo('name'); ?></a>. <?php if(is_home()) : ?><a href="http://freeantivirussoftwarereviews.com/free-avast-antivirus.html" title="Free Avast Antivirus">Free Avast Antivirus</a><?php endif; ?>

               
               

                </p>
			</div>
			<div class="foot_r"> </div>
            <a href="#top" id="toTop"> </a>
        </div><!-- / footer -->

    </div><!-- / Wrapper -->

    <!-- Stunning design by Jeeremie - http://web-kreation.com -->

    <?php wp_footer(); ?>


</div><!-- / container -->

</body>
</html>
 <?

Aanvullend bericht:
Sylvia, echo voldoet in dit geval. Print_r gebruik je voor een array ;-) Bedoelde je print?

nee ik heb niks op mijn eigen pc staan alles op een aparte server. mm dat is wel jammer ga eens kijken wat er gebeurt als ik het verwijder.
Aanvullend bericht:
he dat is mooi

ik ben het met chris en sylvia eens ;)

Dan gaat je footer weg. Gebruik mijn code als je liever gewoon HTML ziet in plaats van deze PHP ;-) Als het dan veranderd, weet je wel zeker dat je een virus hebt :-)

Dit heeft temaken met een wordpress thema, meestal staat er in een andere map de uiteindelijke footer (meestal in de img map of include).

Chris, jij zou beter mogen weten. Dit is overduidelijk een hack door een exploit, been there done that (heb dit ooit voor een van onze klanten opgelost bij toenmalige hosting). Toen stond dit soort code onderin de index.html

Tom, lees de code die ik heb geplaatst. Dat is de daadwerkelijke uitvoer van die eval. Tenzij het echt te laat begint te worden, zie ik alleen dat er wordt gelinkt, verder niets..?
Aanvullend bericht:
Ik ben het er overigens wel mee eens, dat dit in veel gevallen wordt gebruikt om een virus te vermommen, zie ook mijn eerdere post ;-)

Volgens mij heeft Chris gewoon gelijk hoor. Dat de een schadelijke code bij jouw klant (@ Tom) toevallig op de zelfde manier onleesbaar is gemaakt als de copyright links in een footer wil niet zeggen dat deze code ook schadelijk is.

Dan zou je ook kunnen zeggen "Ik heb een virus gekregen van een .be site, alle .be sites zitten vol virussen".