Gavick не дурак.

Я тут, собирал на Joomla кинотеатр. Вот он у меня провисел, месяца 3 без дела, получил 10 тИЦ.  И на этом всё. Последнюю неделю я им и занимался, полностью сменил шаблон, добавил фильмов парочку, поглядел по статистике, на него совсем переходов нету из поисковиков.   Добавил новостей горсточку. Сижу смотрю, как ловко все получаеться, и вот пришло мне тут письмо, что я якобы запросил сброс пароля. Надо же ! Хотел пойти поглядеть кто это там балеуеться, а у меня такой вот вид.

Ну и что теперь делать ?  Пошел первым делом поставил 1 в config.php на offline.

Выключил сайт.  минут 25 бла блабла, кароче это дело рук, стучалки от шаблона Gavick`a. Ну я ж там не в клубе у него, верней в клубе но в халявщиках. Сменил шаблон в базе.

Сайт заработал, эта форма закодировалась через base64, в  /темаотGavicka/index.php . Пошел искать декодер.

Нашел Online  парочку,

первый - Если встречаем строку eval(base64_decode(’SGksIG1hbg==’)),  вставляем в форму только SGksIG1hbg== из нашей строки и жмем кнопку “Decode data”.

второй - Если встречаем строку eval(gzinflate(base64_decode(’80jNyclXyFTPVUhJTc5PSU0BAA==’)));   вставляем в форму уже всю строку начиная с eval(gzinflate и заканчивая )));    жмем “Decode”.

А эти Online декодеры не помогли, раскодировать.  Ими хорошо только футеры в WordPress темах ссылки снимать.  Потому как большие текста надкусываються.

Выход нашел перейдя на форум, на одном из Online декодеров.

вот решение декодера.

Данный код копируем.

<?php
echo “\nDECODE nested eval(gzinflate()) from Taree Internet <www.tareeinternet.com>\n\n”;
echo “1. Reading coded.txt\n”;
$fp1 = fopen (“coded.txt”, “r”);
$contents = fread ($fp1, filesize (“coded.txt”));
fclose($fp1);
echo “2. Decoding\n”;
while (preg_match(“/eval\(gzinflate/”,$contents)) {
$contents=preg_replace(“/<\?|\?>/”, “”, $contents); eval(preg_replace(“/eval/”, “\$contents=”, $contents)); } echo “3. Writing decoded.txt\n”; $fp2 = fopen(“decoded.txt”,”w”); fwrite($fp2, trim($contents)); fclose($fp2);
?>

сохраняем,  как decrypt.php

создаем файл coded.txt , копируем в него наш код, который нужно расскодировать.

создаем файл, decoded.txt, его оставляем пустым и выставляем на него права 666.

Эти 3 файла помещаем в корень нашего сайта.  И запускаем www.mysait.ru/decrypt.php

Все, можно глядеть файл decoded.txt,  там наш раскодированный исходник.

Итог, раскодировав /темаотGavicka/index.php от шаблона Gavick`a ,  я получил только форму которая выше, весь остальной файл исчез, решением сего было простое, я закинул из дистрибутива шаблона файл index.php от шаблона.

Файл index.php определил в группу root, выставил права 444, На врядли протащит, но все же. На большее я не горазд.

Итог, открытие декодера base64