diff --git a/README.md b/README.md
index 5abe34e..cde4712 100644
--- a/README.md
+++ b/README.md
@@ -2,7 +2,7 @@
 
 # AMWSCAN - PHP Antimalware Scanner
 
-**Version:** 0.5.0.66 beta
+**Version:** 0.5.0.67 beta
 
 **Github:** https://github.com/marcocesarato/PHP-Antimalware-Scanner
 
diff --git a/dist/scanner b/dist/scanner
index 1b561f2..303b707 100644
--- a/dist/scanner
+++ b/dist/scanner
@@ -1,16 +1,16 @@
-#!/usr/bin/php
-<?php
-
-/**
- * PHP Antimalware Scanner
- * Distribution generated on 19-04-2019
- * @version 0.5.0.64
- * @author Marco Cesarato <cesarato.developer@gmail.com>
- * @copyright Copyright (c) 2019
- * @license http://opensource.org/licenses/gpl-3.0.html GNU Public License
- * @link https://github.com/marcocesarato/PHP-Antimalware-Scanner
- */
-
+#!/usr/bin/php
+<?php
+
+/**
+ * PHP Antimalware Scanner
+ * Distribution generated on 13-06-2019
+ * @version 0.5.0.67
+ * @author Marco Cesarato <cesarato.developer@gmail.com>
+ * @copyright Copyright (c) 2019
+ * @license http://opensource.org/licenses/gpl-3.0.html GNU Public License
+ * @link https://github.com/marcocesarato/PHP-Antimalware-Scanner
+ */
+
 class Argument { public $name, $vararg = false, $required = false, $defaultValue, $help; public function __construct($name, $options = array()) { $this->name = $name; $this->vararg = (bool) @$options['var_arg']; $this->required = (bool) @$options['required']; $this->defaultValue = @$options['default']; $this->help = @$options['help']; } public function __toString() { $arg = "<{$this->name}>"; if ($this->vararg) { $arg = "{$arg} ..."; } if (!$this->required) { return "[{$arg}]"; } return $arg; } }; class Argv implements \ArrayAccess { protected $name, $description, $examples = array(), $flags = array(), $args = array(), $parsedFlags = array(), $parsedNamedArgs = array(), $parsedArgs = array(); static function build($callback) { $parser = new static(); if ($callback instanceof \Closure and is_callable(array($callback, 'bindTo'))) { $callback = $callback->bindTo($parser); } call_user_func($callback, $parser); return $parser; } public function __construct($description = '', $name = null, $examples = array()) { $this->description = $description; $this->name = $name; $this->examples = $examples; } public function parse() { $args = array_slice($_SERVER['argv'], 1); foreach ($args as $pos => $arg) { $value = null; if (substr($arg, 0, 1) === '-') { if (preg_match('/^(.+)=(?:\\"|\\\')?(.+)(?:\\"|\\\')?/', $arg, $matches)) { $arg = $matches[1]; $value = $matches[2]; } if (!($flag = @$this->flags[$arg])) { return; } unset($args[$pos]); if ($flag->hasValue) { if (!isset($value)) { $value = $args[$pos + 1]; unset($args[$pos + 1]); } } else { $value = true; } if (null !== $flag->callback) { call_user_func_array($flag->callback, array(&$value)); } $flag->var = $this->parsedFlags[$flag->name] = $value; } } foreach ($this->flags as $flag) { if (!array_key_exists($flag->name, $this->parsedFlags)) { $flag->var = $this->parsedFlags[$flag->name] = $flag->defaultValue; } } $this->parsedArgs = $args = array_values($args); $pos = 0; foreach ($this->args as $arg) { if ($arg->required and !isset($args[$pos])) { return; } if (isset($args[$pos])) { if ($arg->vararg) { $value = array_slice($args, $pos); $pos += count($value); } else { $value = $args[$pos]; $pos++; } } else { $value = $arg->defaultValue; } $this->parsedNamedArgs[$arg->name] = $value; } } public function addFlag($name, $options = array(), $callback = null) { $flag = new Flag($name, $options, $callback); foreach ($flag->aliases as $alias) { $this->flags[$alias] = $flag; } return $this; } public function addFlagVar($name, &$var, $options = array()) { $options['var'] =& $var; return $this->addFlag($name, $options); } public function addArgument($name, $options = array()) { $arg = new Argument($name, $options); $this->args[] = $arg; return $this; } public function args() { return $this->parsedArgs; } public function count() { return count($this->args()); } public function get($name) { return $this->flag($name) ?: $this->arg($name); } public function arg($pos) { if (array_key_exists($pos, $this->parsedNamedArgs)) { return $this->parsedNamedArgs[$pos]; } if (array_key_exists($pos, $this->parsedArgs)) { return $this->parsedArgs[$pos]; } } public function flag($name) { if (array_key_exists($name, $this->parsedFlags)) { return $this->parsedFlags[$name]; } } public function usage() { $flags = join(' ', array_unique(array_values($this->flags))); $args = join(' ', $this->args); $script = $this->name ?: 'php ' . basename($_SERVER['SCRIPT_NAME']); $usage = "Usage: {$script} {$flags} {$args}"; if ($this->examples) { $usage .= '
 
 Examples
@@ -23,14 +23,14 @@ Examples
 ██║  ██║██║ ╚═╝ ██║╚███╔███╔╝███████║╚██████╗██║  ██║██║ ╚████║
 ╚═╝  ╚═╝╚═╝     ╚═╝ ╚══╝╚══╝ ╚══════╝ ╚═════╝╚═╝  ╚═╝╚═╝  ╚═══╝
 Github: https://github.com/marcocesarato/PHP-Antimalware-Scanner'; self::displayLine($header, 2, 'green'); self::display(self::title('version ' . $version), 'green'); self::displayBreak(2); self::display(self::title(''), 'black', 'green'); self::displayBreak(); self::display(self::title('PHP Antimalware Scanner'), 'black', 'green'); self::displayBreak(); self::display(self::title('Created by Marco Cesarato'), 'black', 'green'); self::displayBreak(); self::display(self::title(''), 'black', 'green'); self::displayBreak(2); } public static function title($text, $char = ' ', $length = 64) { $result = ''; $str_length = strlen($text); $spaces = $length - $str_length; $spaces_len_half = $spaces / 2; $spaces_len_left = round($spaces_len_half); $spaces_len_right = round($spaces_len_half); if (round($spaces_len_half) - $spaces_len_half >= 0.5) { $spaces_len_left--; } for ($i = 0; $i < $spaces_len_left; $i++) { $result .= $char; } $result .= $text; for ($i = 0; $i < $spaces_len_right; $i++) { $result .= $char; } return $result; } public static function progress($done, $total, $size = 30) { static $start_time; if ($done > $total) { return; } if (empty($start_time)) { $start_time = time(); } $now = time(); $perc = (double) ($done / $total); $bar = floor($perc * $size); $status_bar = '
['; $status_bar .= str_repeat('=', $bar); if ($bar < $size) { $status_bar .= '>'; $status_bar .= str_repeat(' ', $size - $bar); } else { $status_bar .= '='; } $disp = number_format($perc * 100, 0); $status_bar .= "] {$disp}%"; $rate = ($now - $start_time) / $done; $left = $total - $done; $eta = round($rate * $left, 2); $eta_type = 'sec'; $elapsed = $now - $start_time; $elapsed_type = 'sec'; if ($eta > 59) { $eta_type = 'min'; $eta = round($eta / 60); } if ($elapsed > 59) { $elapsed_type = 'min'; $elapsed = round($elapsed / 60); } self::display("{$status_bar} ", 'black', 'green'); self::display(' '); self::display("{$done}/{$total}", 'green'); self::display(' [' . number_format($elapsed) . ' ' . $elapsed_type . '/' . number_format($eta) . ' ' . $eta_type . ']'); ob_flush(); flush(); if ($done == $total) { self::displayBreak(); } } public static function displayTitle($string, $foreground_color, $background_color) { self::display(self::title(''), $foreground_color, $background_color); self::displayBreak(); self::display(self::title(strtoupper($string)), $foreground_color, $background_color); self::displayBreak(); self::display(self::title(''), $foreground_color, $background_color); self::displayBreak(); } public static function displayBreak($eol = 1) { self::write(self::eol($eol), 'white', null, false, true); } public static function displayLine($string, $eol = 1, $foreground_color = 'white', $background_color = null, $escape = true) { self::write($string . self::eol($eol), $foreground_color, $background_color, false, $escape); } public static function displayOption($num, $string, $foreground_color = 'white', $background_color = null, $escape = true) { self::write('    [' . $num . '] ' . $string . self::eol(1), $foreground_color, $background_color, false, $escape); } public static function display($string, $foreground_color = 'white', $background_color = null, $escape = true) { self::write($string, $foreground_color, $background_color, false, $escape); } public static function writeBreak($eol = 1) { self::write(self::eol($eol)); } public static function writeLine($string, $eol = 1, $foreground_color = 'white', $background_color = null, $log = null, $escape = true) { self::write($string . self::eol($eol), $foreground_color, $background_color, $log, $escape); } public static function write($string, $foreground_color = 'white', $background_color = null, $log = null, $escape = true) { $return_string = $string; if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN') { $foreground_color = null; $background_color = null; } if (isset($_REQUEST['log']) && $log === null) { $log = true; } if ($escape) { $return_string = self::escape($return_string); } $colored_string = ''; if (isset(self::$foreground_colors[$foreground_color])) { $colored_string .= '[' . self::$foreground_colors[$foreground_color] . 'm'; } if (isset(self::$background_colors[$background_color])) { $colored_string .= '[' . self::$background_colors[$background_color] . 'm'; } $colored_string .= $return_string . ''; if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN') { echo $return_string; } else { echo $colored_string; } if ($log) { self::log($string, $foreground_color); } } public static function read($string, $foreground_color = 'white', $background_color = null) { if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN') { $foreground_color = null; $background_color = null; } $colored_string = ''; if (isset(self::$foreground_colors[$foreground_color])) { $colored_string .= '[' . self::$foreground_colors[$foreground_color] . 'm'; } if (isset(self::$background_colors[$background_color])) { $colored_string .= '[' . self::$background_colors[$background_color] . 'm'; } $colored_string .= $string . ''; $read = null; if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN') { echo Application::$NAME . ' > ' . trim($string) . ' '; } else { echo Application::$NAME . ' > ' . trim($colored_string) . ' '; } while (stream_select($in = array(STDIN), $out = array(), $oob = array(), 0)) { fgets(STDIN); } $read = chop(fgets(STDIN)); return $read; } public static function code($string, $errors = array(), $log = false) { $code = $string; if (count($errors) > 0) { foreach ($errors as $pattern) { $escaped = self::escape($pattern['match']); $code = str_replace($pattern['match'], '[' . self::$foreground_colors['red'] . 'm' . $escaped . '[' . self::$foreground_colors['white'] . 'm', $code); } } $lines = explode('
-', $code); for ($i = 0; $i < count($lines); $i++) { if ($i != 0) { self::displayBreak(); } self::display('  ' . str_pad((string) ($i + 1), strlen((string) count($lines)), ' ', STR_PAD_LEFT) . ' | ', 'yellow'); self::display($lines[$i], 'white', null, false); } if ($log) { self::log($string); } } public static function log($string, $color = '') { $string = trim($string); if (!empty($string)) { $string = trim($string, '.'); $string = str_replace(self::eol(1), ' ', $string); $string = preg_replace('/[\\s]+/m', ' ', $string); $type = 'INFO'; switch ($color) { case 'green': $type = 'SUCCESS'; break; case 'yellow': $type = 'WARNING'; break; case 'red': $type = 'DANGER'; break; } $string = '[' . date('Y-m-d H:i:s') . '] [' . $type . '] ' . $string . PHP_EOL; file_put_contents(Application::$PATH_LOGS, $string, FILE_APPEND); } } public static function escape($string) { return mb_convert_encoding(preg_replace('/(e|\\x1B|[[:cntrl:]]|\\033)\\[([0-9]{1,2}(;[0-9]{1,2})?)?[mGKc]/', '', $string), 'utf-8', 'auto'); } public static function helplist($type = null) { $list = ''; if (empty($type) || $type == 'exploits') { $exploit_list = implode(self::eol(1) . '- ', array_keys(Definitions::$EXPLOITS)); $list .= self::eol(1) . 'Exploits:' . self::eol(1) . "- {$exploit_list}"; } if (empty($type)) { $list .= self::eol(1); } if (empty($type) || $type == 'functions') { $functions_list = implode(self::eol(1) . '- ', Definitions::$FUNCTIONS); $list .= self::eol(1) . 'Functions:' . self::eol(1) . "- {$functions_list}"; } self::displayTitle(trim($type . ' List'), 'black', 'cyan'); self::displayLine($list, 2); die; } public static function helper() { self::displayTitle('Help', 'black', 'cyan'); $dir = __DIR__; $help = "\r\nArguments:\r\n<path>                       - Define the path to scan (default: current directory)\r\n                               ({$dir})\r\n\r\nFlags:\r\n-a   --agile                 - Help to have less false positive on WordPress and others platforms\r\n                               enabling exploits mode and removing some common exploit pattern\r\n-f   --only-functions        - Check only functions and not the exploits\r\n-e   --only-exploits         - Check only exploits and not the functions,\r\n                               this is recommended for WordPress or others platforms\r\n-s   --only-signatures       - Check only virus signatures (like exploit but more specific)\r\n-h   --help                  - Show the available flags and arguments\r\n-l   --log=\"\"                - Write a log file on 'scanner.log' or the specified filepath\r\n-r   --report                - Report scan only mode without check and remove malware. It also write\r\n                               a report with all malware paths found to 'scanner_infected.log'\r\n-u   --update                - Update scanner to last version\r\n-v   --version               - Get version number\r\n\r\n--max-filesize=\"\"            - Set max filesize to scan (default: -1)\r\n\r\n--exploits=\"\"                - Filter exploits\r\n--functions=\"\"               - Define functions to search\r\n--whitelist-only-path        - Check on whitelist only file path and not line number\r\n\r\n--list                       - Get default exploit and functions list\r\n--list-exploits              - Get default exploits list\r\n--list-functions             - Get default functions lists\r\n     \r\nNotes: \r\nFor open files with nano or vim run the scripts with \"-d disable_functions=''\"\r\n\r\nExamples: php -d disable_functions='' scanner ./mywebsite/http/ -l -s --only-exploits\r\n          php -d disable_functions='' scanner -s --max-filesize=\"5MB\"\r\n          php -d disable_functions='' scanner --agile --only-exploits\r\n          php -d disable_functions='' scanner --exploits=\"double_var2\" --functions=\"eval, str_replace\""; self::displayLine($help . self::eol(2) . Application::$ARGV->usage(), 2); die; } }; class CSV { public static function read($filename) { if (!file_exists($filename)) { return array(); } $file_handle = fopen($filename, 'r'); $array = array(); while (!feof($file_handle)) { $array[] = fgetcsv($file_handle, 1024); } fclose($file_handle); return $array; } public static function generate($data, $delimiter = ',', $enclosure = '"') { $handle = fopen('php://temp', 'r+'); foreach ($data as $line) { fputcsv($handle, $line, $delimiter, $enclosure); } $contents = ''; rewind($handle); while (!feof($handle)) { $contents .= fread($handle, 8192); } fclose($handle); return $contents; } public static function write($filename, $data, $delimiter = ',', $enclosure = '"') { $csv = self::generate($data, $delimiter, $enclosure); return file_put_contents($filename, $csv); } }; class Definitions { public static $EXPLOITS = array('eval_chr' => '/chr[\\s\\r\\n]*\\([\\s\\r\\n]*101[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*118[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*97[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*108[\\s\\r\\n]*\\)/i', 'eval_preg' => '/(preg_replace(_callback)?|mb_ereg_replace|preg_filter)[\\s\\r\\n]*\\(.+(\\/|\\\\x2f)(e|\\\\x65)[\\\'\\"].*?(?=\\))\\)/i', 'eval_base64' => '/eval[\\s\\r\\n]*\\([\\s\\r\\n]*base64_decode[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'eval_comment' => '/(eval|preg_replace|system|assert|passthru|(pcntl_)?exec|shell_exec|call_user_func(_array)?)\\/\\*[^\\*]*\\*\\/\\((?<=\\().*?(?=\\))\\)/', 'eval_execution' => '/(eval\\(\\$[a-z0-9_]+\\((?<=\\()@?\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'align' => '/(\\$\\w+=[^;]*)*;\\$\\w+=@?\\$\\w+\\((?<=\\().*?(?=\\))\\)/si', 'b374k' => '/(\\\'|\\")ev(\\\'|\\")\\.(\\\'|\\")al(\\\'|\\")\\.(\\\'|\\")\\(\\"\\?>/i', 'weevely3' => '/\\$\\w=\\$[a-zA-Z]\\(\'\',\\$\\w\\);\\$\\w\\(\\);/i', 'c99_launcher' => '/;\\$\\w+\\(\\$\\w+(,\\s?\\$\\w+)+\\);/i', 'too_many_chr' => '/(chr\\([\\d]+\\)\\.){8}/i', 'concat' => '/(\\$[\\w\\[\\]\\\'\\"]+\\.[\\n\\r]*){10}/i', 'concat_vars_with_spaces' => '/(\\$([a-zA-Z0-9]+)[\\s\\r\\n]*\\.[\\s\\r\\n]*){6}/', 'concat_vars_array' => '/(\\$([a-zA-Z0-9]+)(\\{|\\[)([0-9]+)(\\}|\\])[\\s\\r\\n]*\\.[\\s\\r\\n]*){6}.*?(?=\\})\\}/i', 'var_as_func' => '/\\$_(GET|POST|COOKIE|REQUEST|SERVER)[\\s\\r\\n]*\\[[^\\]]+\\][\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'global_var_string' => '/\\$\\{[\\s\\r\\n]*(\\\'|\\")_(GET|POST|COOKIE|REQUEST|SERVER)(\\\'|\\")[\\s\\r\\n]*\\}/i', 'extract_global' => '/extract\\([\\s\\r\\n]*\\$_(GET|POST|COOKIE|REQUEST|SERVER).*?(?=\\))\\)/i', 'escaped_path' => '/(\\\\x[0-9abcdef]{2}[a-z0-9.-\\/]{1,4}){4,}/i', 'include_icon' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')([^"\\\']*)(\\.|\\\\056\\\\046\\\\2E)(\\i|\\\\151|\\\\x69|\\\\105)(c|\\\\143\\\\099\\\\x63)(o|\\\\157\\\\111|\\\\x6f)(\\"|\\\')((?=\\))\\))?/mi', 'backdoor_code' => '/eva1fYlbakBcVSir/i', 'infected_comment' => '/\\/\\*[a-z0-9]{5}\\*\\//i', 'hex_char' => '/\\\\[Xx](5[Ff])/i', 'hacked_by' => '/hacked[\\s\\r\\n]*by/i', 'killall' => '/killall[\\s\\r\\n]*\\-9/i', 'globals_concat' => '/\\$GLOBALS\\[[\\s\\r\\n]*\\$GLOBALS[\\\'[a-z0-9]{4,}\\\'\\]/i', 'globals_assign' => '/\\$GLOBALS\\[\\\'[a-z0-9]{5,}\\\'\\][\\s\\r\\n]*=[\\s\\r\\n]*\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\./i', 'base64_long' => '/[\\\'\\"][A-Za-z0-9+\\/]{260,}={0,3}[\\\'\\"]/', 'base64_inclusion' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')data\\:text/plain;base64[\\s\\r\\n]*\\,[\\s\\r\\n]*\\$_GET\\[[^\\]]+\\](\\\'|")[\\s\\r\\n]*((?=\\))\\))?/si', 'clever_include' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')[\\s\\r\\n]*[^\\.]+\\.(png|jpe?g|gif|bmp|ico).*?("|\\\')[\\s\\r\\n]*((?=\\))\\))?/i', 'basedir_bypass' => '/curl_init[\\s\\r\\n]*\\([\\s\\r\\n]*[\\"\\\']file:\\/\\/.*?(?=\\))\\)/i', 'basedir_bypass2' => '/file\\:file\\:\\/\\//i', 'non_printable' => '/(function|return|base64_decode).{,256}[^\\x00-\\x1F\\x7F-\\xFF]{3}/i', 'double_var' => '/\\${[\\s\\r\\n]*\\${.*?}(.*)?}/i', 'double_var2' => '/\\${\\$[0-9a-zA-z]+}/i', 'global_save' => '/\\[\\s\\r\\n]*=[\\s\\r\\n]*\\$GLOBALS[\\s\\r\\n]*\\;[\\s\\r\\n]*\\$[\\s\\r\\n]*\\{/i', 'hex_var' => '/\\$\\{[\\s\\r\\n]*(\\\'|\\")\\\\x.*?(?=\\})\\}/i', 'register_function' => '/register_[a-z]+_function[\\s\\r\\n]*\\([\\s\\r\\n]*[\\\'\\"][\\s\\r\\n]*(eval|assert|passthru|exec|include|system|shell_exec|`).*?(?=\\))\\)/i', 'safemode_bypass' => '/\\x00\\/\\.\\.\\/|LD_PRELOAD/i', 'ioncube_loader' => '/IonCube\\_loader/i', 'nano' => '/\\$[a-z0-9-_]+\\[[^]]+\\]\\((?<=\\().*?(?=\\))\\)/', 'ninja' => '/base64_decode[^;]+getallheaders/', 'execution' => '/\\b(eval|assert|passthru|exec|include|system|pcntl_exec|shell_exec|base64_decode|`|array_map|ob_start|call_user_func(_array)?)[\\s\\r\\n]*\\([\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\\))\\)/', 'execution2' => '/\\b(array_filter|array_reduce|array_walk(_recursive)?|array_walk|assert_options|uasort|uksort|usort|preg_replace_callback|iterator_apply)[\\s\\r\\n]*\\([\\s\\r\\n]*[^,]+,[\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\\))\\)/', 'execution3' => '/\\b(array_(diff|intersect)_u(key|assoc)|array_udiff)[\\s\\r\\n]*\\([\\s\\r\\n]*([^,]+[\\s\\r\\n]*,?)+[\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER))[\\s\\r\\n]*\\[[^]]+\\][\\s\\r\\n]*\\)+[\\s\\r\\n]*;/', 'shellshock' => '/\\(\\)[\\s\\r\\n]*{[\\s\\r\\n]*[a-z:][\\s\\r\\n]*;[\\s\\r\\n]*}[\\s\\r\\n]*;/', 'silenced_eval' => '/@eval[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/', 'silence_inclusion' => '/@(include|include_once|require|require_once)[\\s\\r\\n]+([\\s\\r\\n]*\\()?("|\\\')([^"\\\']*)(\\\\x[0-9a-f]{2,}.*?){2,}([^"\\\']*)("|\\\')[\\s\\r\\n]*((?=\\))\\))?/si', 'silence_inclusion2' => '/@(include|include_once|require|require_once)[\\s\\r\\n]+([\\s\\r\\n]*\\()?("|\\\')([^"\\\']*)(\\[0-9]{3,}.*?){2,}([^"\\\']*)("|\\\')[\\s\\r\\n]*((?=\\))\\))?/si', 'ssi_exec' => '/\\<\\!\\-\\-\\#exec[\\s\\r\\n]*cmd\\=/i', 'htaccess_handler' => '/SetHandler[\\s\\r\\n]*application\\/x\\-httpd\\-php/i', 'htaccess_type' => '/AddType\\s+application\\/x-httpd-(php|cgi)/i', 'file_prepend' => '/php_value[\\s\\r\\n]*auto_prepend_file/i', 'iis_com' => '/IIS\\:\\/\\/localhost\\/w3svc/i', 'reversed' => '/(noitcnuf\\_etaerc|metsys|urhtssap|edulcni|etucexe\\_llehs|ecalper\\_rts|ecalper_rts)/i', 'rawurlendcode_rot13' => '/rawurldecode[\\s\\r\\n]*\\(str_rot13[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'serialize_phpversion' => '/\\@serialize[\\s\\r\\n]*\\([\\s\\r\\n]*(Array\\(|\\[)(\\\'|\\")php(\\\'|\\")[\\s\\r\\n]*\\=\\>[\\s\\r\\n]*\\@phpversion[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/si', 'md5_create_function' => '/\\$md5[\\s\\r\\n]*=[\\s\\r\\n]*.*create_function[\\s\\r\\n]*\\(.*?\\);[\\s\\r\\n]*\\$.*?\\)[\\s\\r\\n]*;/si', 'god_mode' => '/\\/\\*god_mode_on\\*\\/eval\\(base64_decode\\([\\"\\\'][^\\"\\\']{255,}[\\"\\\']\\)\\);[\\s\\r\\n]*\\/\\*god_mode_off\\*\\//si', 'wordpress_filter' => '/\\$md5[\\s\\r\\n]*=[\\s\\r\\n]*[\\"|\\\']\\w+[\\"|\\\'];[\\s\\r\\n]*\\$wp_salt[\\s\\r\\n]*=[\\s\\r\\n]*[\\w\\(\\),\\"\\\'\\;$]+[\\s\\r\\n]*\\$wp_add_filter[\\s\\r\\n]*=[\\s\\r\\n]*create_function\\(.*?\\);[\\s\\r\\n]*\\$wp_add_filter\\(.*?\\);/si', 'password_protection_md5' => '/md5[\\s\\r\\n]*\\([\\s\\r\\n]*@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)[^)]+\\)[\\s\\r\\n]*===?[\\s\\r\\n]*[\\\'\\"][0-9a-f]{32}[\\\'\\"]/si', 'password_protection_sha' => '/sha1[\\s\\r\\n]*\\([\\s\\r\\n]*@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)[^)]+\\)[\\s\\r\\n]*===?[\\s\\r\\n]*[\\\'\\"][0-9a-f]{40}[\\\'\\"]/si', 'custom_math' => '/%\\(\\d+\\-\\d+\\+\\d+\\)==\\(\\-\\d+\\+\\d+\\+\\d+\\)/si', 'custom_math2' => '/\\(\\$[a-zA-Z0-9]+%\\d==\\(\\d+\\-\\d+\\+\\d+\\)/si', 'uncommon_function' => 'function\\s+_[0-9]{8,}\\((?<=\\().*?(?=\\))\\)', 'download_remote_code' => '/file_get_contents[\\s\\r\\n]*\\([\\s\\r\\n]*base64_url_decode[\\s\\r\\n]*\\([\\s\\r\\n]*@*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/i', 'download_remote_code2' => '/fwrite[\\s\\r\\n]*(\\(\\w+\\((?<=\\().*?(?=\\))\\))?[^\\)]*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'download_remote_code3' => '/(file_get_contents|fwrite)[\\s\\r\\n]*\\([\\s\\r\\n]*@?*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'php_uname' => '/php_uname\\(["\'asrvm]+\\)/si', 'etc_passwd' => '/(\\/)*etc\\/+passwd\\/*/si', 'etc_shadow' => '/(\\/)*etc\\/+shadow\\/*/si', 'explode_chr' => '/explode[\\s\\r\\n]*\\(chr[\\s\\r\\n]*\\([\\s\\r\\n]*\\(?\\d{3}([\\s\\r\\n]*-[\\s\\r\\n]*\\d{3})?[\\s\\r\\n]*\\).*?(?=\\))\\)/si'); public static $FUNCTIONS = array('il_exec', 'shell_exec', 'eval', 'system', 'create_function', 'exec', 'assert', 'syslog', 'passthru', 'define_syslog_variables', 'posix_kill', 'posix_uname', 'proc_close', 'proc_get_status', 'proc_nice', 'proc_open', 'proc_terminate', 'inject_code', 'apache_child_terminate', 'apache_note', 'define_syslog_variables'); public static $SIGNATURES = array('<\\?php\\s*eval\\(\\s*base64_decode\\(\\s*"ew0KaWYgKCFkZWZpbmVkKC[^"]{100,60000}"\\)\\);\\s*(\\?>)?', '<\\?php\\s*eval\\(base64_decode\\("ew0KaWYgKCFkZ.{100,1000}Qp9DQp9"\\)\\);\\?>\\s*', 'eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]{1000,20000}hbC8qbmxpcHlmbWNreSovKGliY2ticmJ2KCRzaXVyeGJyYSwgJHlkKSk7Cn0="\\s*\\)\\s*\\)\\s*;', '<script\\s*[^>]{0,40}>var\\s*(\\w{1,40})\\s*=\\s*\\[["\'][^\\]]{400,550}[\'"]\\];\\s*var\\s*url\\s*=\\s*String\\[\\1\\[\\d\\][^`]{700,950}var\\s*(\\w)\\s*=\\s*true;\\s*for\\(var\\s*i=scrpts\\[\\1\\[15\\]\\];\\w--;\\)\\{if\\(scrpts\\[\\w\\]\\[\\1\\[\\d+\\]\\]\\s*==\\s*\\1\\[\\d+\\]\\)\\{\\2\\s*=\\s*false\\}\\};if\\(\\2\\s*==\\s*true\\)\\{a\\(\\)\\}\\}</script>', '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*\\[(?:[\'"](?:\\\\x\\w{1,2}){1,40}[\'"]\\,?){1,40}\\]\\s*\\;\\s*.{700,1250}\\s*==\\s*\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*(\\w{1,40})\\s*=\\s*false\\s*\\}\\s*\\}\\s*;\\s*if\\s*\\(\\s*\\2\\s*==\\s*true\\s*\\)\\s*\\{\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\}\\s*\\}', '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;', 'var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;', '<script\\s+language=javascript>\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;</script>', '\\A\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.base64_dco]{15,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.creat_funio]{17,40}[\'"]\\s*;\\s*\\s*\\$\\w{1,40}\\s*=\\s*["\'][\'"\\s\\.gzuncompres]{15,40}\\s*\\;.{2500,3000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*//\\w{32}', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[["][^`]{40000,64000}\\}=create_function\\([\'"][\'"],@?gzuncompress\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)\\);\\$\\{\\$\\w{1,40}\\}\\(\\);\\s*\\?>\\Z', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"](Ratel)[\'"]\\s*\\)\\s*\\)\\s*\\{.{9000,9999}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*return\\s*TRUE\\s*;\\s*\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*new\\s*\\1\\s*;\\s*\\2->init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*@?preg_match\\s*\\(\\s*[\'"]/?(?:checkout|admin|\\|){1,3}/?[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,20}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?file_put_contents\\s*\\(\\s*.{1,200}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"]Ratel[\'"]\\s*\\)\\s*\\)\\s*\\{.{42000,44000}\\s*echo\\s*[\'"]\\$\\w{1,40}[\'"]\\s*;\\s*unset\\s*\\((?:\\s*\\$\\w{1,40}\\s*\\,?\\s*){1,9}\\)\\s*\\;\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*[\'"]\\s*\\)\\s*\\;\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\)\\;\\s*\\?>', '\\A\\s*<\\?php\\s*[^`]{1000,60000}\\s*\\?>\\s*(<\\?php\\s+/\\*\\*\\s*\\*\\sFront\\sto\\sthe\\sWordPress\\sapplication)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((?:\\s*[\'"][^\'"]{24,96}[\'"]\\s*,?){50,70}\\s*\\)\\s*;.{0,284}eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '@file_put_contents\\([\'"]\\w{1,40}\\.php[\'"]\\s*,\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/raw[^\\)]{1,40}\\)\\)\\;', '<\\?php\\s*(?:\\s*\\$\\w{1,9}\\s*=\\s*(?:\\s*chr\\(\\d+\\)\\.?){1,20}\\;|\\s*\\$\\w{1,9}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)(?:\\s*\\[\\s*[\'"][^\'"]{1,9}[\'"]\\s*\\])?\\s*;\\s*){1,20}(?:\\s*\\$\\w{1,9}\\s*[\\(,\\.\\)]\\s*){1,9}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\$\\w{1,9}\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*(?:\\s*(?:error_reporting|set_time_limit|ignore_user_abort)\\s*\\(\\s*\\w{0,40}?\\s*\\)\\s*;){3}(?:\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,210}?[\'"]\\s*;){2}\\s*do\\s*\\{.{100,300}@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*\\;\\s*chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*while\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*@?(echo)\\s*[\'"][^\\;]{15,250}[\'"]\\s*\\;\\s*if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]_upl[\'"]\\s*\\]\\s*==\\s*[\'"]\\w[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\@?copy\\s*\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\[[^\\{]{1,40}\\s*\\{\\s*\\1\\s*[\'"].{1,40}[\'"]\\;\\s*\\}\\s*else\\s*\\{\\s*\\1[^\\}]{1,40}(\\s*\\}\\s*){2}\\s*\\?>', '\\A\\s*<\\?php\\s+[^\\$]{0,10}\\$\\w{1,40}[^\\$]{0,10}\\=[\'"]\\w{1,40}[\'"]\\;.{10,150}\\s*;\\s*(\\$\\w{1,40})\\s*=\\$\\w{1,40}\\s*\\(\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\1\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*@?extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\&\\&\\s*@?(assert|eval)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\&\\&\\s*@?exit\\s*;\\s*', '\\*/@\\$\\w\\&\\&@\\$\\w\\s*\\(\\s*\\$\\w\\s*\\(\\s*\\$\\w\\s*,\\s*\\$\\w\\s*\\)\\s*\\)\\s*;/\\*', '\\*/extract\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;/\\*', 'if\\s*\\(isset(\\(\\$\\_REQUEST\\[)[^\\]]{1,40}\\]\\)\\s*\\&\\&\\s*isset\\1([^\\]]{1,40})\\]\\)\\s*\\&\\&\\s*\\1\\2\\]\\s*\\=\\=\\s*\\\'\\w{1,40}\\\'\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*([^\\;]{1,40})\\;\\s*switch\\s*\\(.{6000,8000}extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}(\\s*\\/\\/\\$?\\w{1,40}){0,3}', 'call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*\\w{1,40}\\s*\\,\\s*str_rot13\\s*\\(\\s*strrev\\s*\\(\\s*[\'"][^\']{1,400}\'\\)\\)\\)\\);', '\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if.{1,200}\\s*echo\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*@?file_put_contents\\s*\\(\\s*([\'"][^\'"]*[\'"])\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?unlink\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\?>', 'extract\\(\\$_(?:COOKIE|GET|POST|SERVER|REQUEST)\\);\\s*if\\s*\\(\\$\\w\\)\\s*\\{\\s*@\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\s*;\\s*@?\\$\\w\\(\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+echo\\s*[\'"]\\s*Priv8\\s+Home\\s+Root\\s+Uploader.{500,1000}echo\\s*[\'"]gagal\\s+upload[\'"];\\s*}\\s*\\}\\s*\\}\\s*\\?>', 'file_put_contents\\s*\\(\\s*[\'"][^,]{1,120}\\,\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmVjaG8gIlRoaXMgc2hpdCB3b3JrcyEiOw0KaWYgKGlzc2V0KCRfRklMRVNbImZpbGVuYW1lIl0pK[^,]{500,510}\\;(\\s/\\*[\'"]\\)\\;)?', '\\A\\s*<\\?php\\s*\\$\\w{1,40}="[^"]+";\\s*\\$\\w{1,40}=\'[^\']+\';\\s*(\\$\\w{1,40}=(\\$\\w{1,40}\\[\\d+\\]\\.?)+;\\s*){4,10}\\s*\\$\\w{1,40}=\\$\\w{1,40}\\([\'"]{2},\\$\\w{1,40}\\("[^"]+",\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\$\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40}\\(\\$\\w{1,40}\\),\\$\\w{1,40}(,\\d)?\\);\\s*\\?>', '<\\?php\\s*\\$[_0O]{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;[^`]{30000,38000}\\?>\\s*(<\\?php\\s+/\\*\\*\\s+\\*\\sCodeIgniter)', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGFyclswXT0[^"]{60000,}[\'"]\\)\\)\\;', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]wp_func_jquery[\'"]\\s*\\)\\s*\\)\\s*(?:\\{\\s*if\\s*\\(!current_user_can\\(\\s*[\'"]read[\'"]\\s*\\)\\))?\\s*\\{\\s*function\\s*wp_func_jquery\\s*\\(\\s*\\)\\s*{\\s*\\$host\\s*=\\s*[\'"]https?://[\'"]\\s*;.{100,500}?add_action\\([\'"]wp_footer[\'"]\\s*,\\s*[\'"]wp_func_jquery[\'"]\\);\\s*\\}\\s*\\}', 'error_reporting\\(0\\);\\s*ini_set\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+,\\s*\\d+\\);\\s*echo\\s+@?file_get_contents\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+\\);', 'set_time_limit\\(\\d+\\);\\s*error_reporting\\(\\d+\\);\\s*preg_replace\\([\'"]\\\\x[^\'"]+[\'"],[\'"].{50000,}[\'"],[\'"].{2,5}\\);', '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]{10,300};\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]{10,300};\\s*\\?>', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(isset\\(\\$_REQUEST\\[([^]]+)\\]\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'base64_decode.]+;\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\(\\$_REQUEST\\[\\2\\]\\);\\s*eval\\(\\4\\);\\s*\\}\\s*return;\\s*\\}\\s*add_action\\(\'after_setup_theme\'\\s*,\\s*\'\\1\'\\);', '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*(passthru|system|shell_exec|popen)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?>', '<\\?php\\s+\\$\\w{1,40}=\'[^;]+;if\\(isset\\(\\$\\{\\$\\w{1,40}\\[[^}]+}\\[\\$\\w{1,40}[^)]+\\)\\)\\{eval\\(\\$\\{[^)]+\\);\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval.+\'\\)\\);\\s*/\\*,\\*/\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\A<\\?php\\s*(?:\\$[O0_]{1,40}\\s*=[^;]{1,300};+\\s*){3,5}.{50000,};exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>', '\\A<\\?php\\s+\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{800,2000};\\}echo \\$_\\d+;exit;\\}\\s*/\\*', '<\\?php\\s*\\$[O0_]{1,40}=\'.{30000,}Content-Type:text/html;charset=utf-8\\\\\'\\);echo\\s+"\\$[O0_]{1,40}";exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>', '<\\?php\\s*@?(eval|assert)\\s*\\(\\s*\\$_(?:REQUEST|GET|POST|COOKIE|SERVER)\\s*\\[\'p\'\\]\\s*\\)\\s*$', '<\\?php\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65"\\s*,\\s*"[^"]+"\\s*,\\s*""\\s*\\);\\s*\\?>', '<\\?php\\s*\\$[O0_]{1,40}=\'.{10000,40000}ltrim\\(\\s*str_replace\\(\\s*\'index\\.php\'\\s*,\\s*\'\'\\s*,\\s*\\$_SERVER\\[\'REQUEST_URI\'\\]\\)\\s*,\\s*\'/\'\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=.{1,100}str_replace\\(\'[^\']+\'\\s*,\\s*\'\'\\s*,\\s*base64_decode\\(\\s*\'[^\']+\'\\s*\\)\\s*;\\s*call_user_func\\([^;]+;\\s*\\?>', '@include\\s+"(/|\\\\057|\\\\x2f).{20,300}(\\.|\\\\056|\\\\x2e)(i|\\\\x69|\\\\071|\\\\151)(c|\\\\143|\\\\x63)(o|\\\\157|\\\\x6f)"\\s*;', '\\$auth_pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$color\\s*=\\s*"[^"]*"\\s*;\\s*\\$default_use_ajax\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$links\\s*=\\s*new\\s+Get_links\\(\\);\\s*\\$links\\s*=\\s*\\$links->get_remote\\(\\);\\s*echo\\s*\\$links;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '<meta\\s+http-equiv="refresh"\\s+content="\\d+;\\s+url=[^"]+">\\s*<body\\s+onLoad="tiktak\\(\\);">', 'function (\\w{1,50})\\(\\)\\s*\\{\\s*(\\$a)=\'(\\w{1,50})\';\\s*if\\(stripos\\(@\\$_SERVER\\[\\2\\(\'\\w+\',\\d+\\)\\],\\2\\(\'\\w+\',\\d+\\)\\)!==false\\)\\s+return;\\s*\\$\\w=dirname\\(__FILE__\\)\\.\\2\\(\'\\w+\',\\d+\\);.{8000,10000}add_action\\(\\s*\\3\\(\'\\w+\',\\d+\\)\\s*,\\s*"\\1"\\s*\\);', 'if\\(md5\\(\\$bannermass\\)==\\$get_url_var\\)\\s*\\{\\s*\\$set_cookie\\(stripslashes\\(\\$check_category\\)\\);\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]+;\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]+;\\s*\\?>', '\\$USER->Authorize\\(1\\s*,\\s*true\\);\\s*\\?>', '\\$links\\s*=\\s*\\$client_lnk->build_links\\(\\);\\s*if\\s*\\(!\\$iKnowYou\\)\\s*\\{\\s*\\$bodyText\\s*=\\s*preg_replace\\(".\\(\\.\\*\\)\\(<\\(\\\\s\\*\\?\\)\\\\/\\(\\\\s\\*\\?\\)body\\(\\[\\^>\\]\\*\\?\\)>\\).s"\\s*,\\s*"\\$1\\\\r\\\\n<div>"\\s*\\.\\s*\\$links\\s*\\.\\s*"</div>\\$2"\\s*,\\s*\\$bodyText\\);\\s*\\}', '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{1,600}@eval\\(\\$_\\d+\\);exit\\(\\);\\}\\}', '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*"[^"]+";\\s*|\\$\\w{1,40}\\s*=\\s*str_replace\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*|\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*){6,}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([\'"]{2}\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\w+"\\s*,\\s*""\\s*,[^)]+\\)\\)\\)\\s*;.{1,30}\\?>', '<\\?php\\s*function\\s(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*&\\$\\w{1,40}\\s*;.{1,300};\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\$d\\]\\s*\\);\\s*\\?>', '<\\?php\\s*\\$[O0_]+=\'[^\']+\';\\s*\\$[O0_]+=\\("[^"]+"\\);\\$[O0_]+=\\$[O0_]+\\{.{20000,30000};\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\?>', 'function\\s+\\w{1,40}\\s*\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\)\\s*\\{\\s*\\$kses_str\\s*=\\s*str_replace\\s*\\(\\s*array.{2000,23000}setcookie\\(\\s*\'\\w+\'\\s*,\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*unset\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\1\\(\\);\\s*\\}', 'if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*eval\\(\\$_POST\\[\'\\w+\'\\]\\);\\s*else\\s*echo\\s*"<form.{1,70}</button></form>";', '<\\?php\\s*error_reporting\\(0\\);\\$[O0o]{1,40}=.{10000,20000}chr\\(hexdec\\((\\$\\w+)\\[(\\$\\w+)\\]\\.\\1\\[\\2\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>\\s*<\\?php\\s*/\\*\\*\\s+\\*', '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{1000,1500}\\);\\}\\s*echo\\s*\\$_\\d+;exit;\\}\\s*/\\*\\*\\s+\\*', 'if\\s*\\(isset\\(\\$_GET\\[\'view\'\\]\\)\\)\\s*\\{.{1,100}eval/\\*\\*/\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*join\\s*\\(\\s*"[^"]*"\\s*,\\s*file\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*die\\s*;\\s*\\}', 'if\\s*\\(isset\\((\\$_(?:(POST|GET|COOKIE))\\[[^]]+\\])\\)\\)\\{@?\\$_(?:POST|GET|COOKIE)\\[[^]]+\\]\\(stripslashes\\(\\1\\)\\);\\};', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"aWYoaXNzZXQoJF9SRVFVRVNUWy[^"]{400,1000}"\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>', '<\\?php\\s*error_reporting\\(0\\);(\\$\\w{1,40})="[^"]+";\\1=str_replace.{14000,19000}=chr\\(hexdec\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\.\\$\\w{1,40}\\[\\$\\w{1,40}\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*//header\\(.{30000,40000}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\}\\s*\\}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},0444\\);\\}\\}\'\\);\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\);\\s*\\?>', 'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', 'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\(preg_match_all\\(\'/\\\\\\$tmpcontent\\s*=\\s*@file_get_contents\\\\\\("http:\\\\/\\\\/\\(\\.\\*\\)\\\\/code20\\\\.php.{1,300}newdomain\'\\],\\s*\\$file\\);\\s*@file_put_contents\\(__FILE__,\\s*\\$file\\);\\s*print\\s*"true";\\s*\\}', 'function\\s*theme_temp_setup\\(\\s*\\$phpCode\\s*\\)\\s*\\{\\s*\\$tmpfname\\s*=\\s*tempnam\\(sys_get_temp_dir\\(\\)\\s*,\\s*"theme_temp_setup"\\);\\s*\\$handle\\s*=\\s*fopen\\(\\s*\\$tmpfname\\s*,\\s*"w\\+"\\);\\s*fwrite\\(\\s*\\$handle\\s*,\\s*"<\\?php\\\\n".{1,100}return\\s*get_defined_vars\\(\\);\\s*\\}', '\\$\\w{1,40}\\s*=\\s*""\\s*;\\s*(?:\\$\\w{1,40}\\s*.=\\s*"[^"]{0,2000}"\\s*;\\s*){3,}?.{100,7000}\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*null\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*unset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@?preg_replace\\(\'/[^/]{1,40}/e\'\\s*,\\s*\'[^,]+,\\s*\'[^\']+\'\\s*\\);\\s*\\?>', 'print_r\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;', 'print_r\\s*\\(\\s*call_user_func_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s+passthru\\(getenv\\("HTTP_\\w{1,50}"\\)\\);.{1,200}\\?>', '/\\*([^*]{1,40})\\*/\\s*ini_set\\(\'error_reporting\'\\s*,\\s*E_ALL\\);\\s*ini_set\\(\'display_errors\'\\s*,\\s*1\\);\\s*ini_set\\(\'display_startup_errors\'\\s*,\\s*1\\);\\s*@include\\s*"[^"]{10,250}";\\s*/\\*\\1\\*/', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"][^\'"]{1,40}[\'"]\\);\\s*eval\\(\\1\\);\\s*\\?>', '<\\?php\\s*(//header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?(\\s*\\$[O0_]+=(\'[^\']*\'|\\d+);){3,}\\s*\\$[O0_]+=array\\(.{300,500}\\?>', '@copy\\s*\\(\\s*\\$_FILES\\[file\\]\\[tmp_name\\]\\s*,\\s*\\$_FILES\\[file\\]\\[name\\]\\);\\s*exit;', '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_GET\\[\'check\'\\]\\)\\)\\s*\\{\\s*echo\\s*"checked.{300,600}echo\\s*\'<a href=\'\\.\\$file\\.\'>\'\\.\\$file\\.\'</a>\';\\s*\\}\\s*else\\s*\\{\\s*echo\\("FILE"\\);\\s*\\}\\s*\\?>\\s*</body>\\s*</html>', '\\A<\\?php\\s*eval\\(base64_decode\\(\'ZWNobyBmaWxlX2dldF9jb250ZW50cygiaHR0c.{1,100}\'\\)\\);\\s*\\?>', '<\\?php\\s*echo\\s*md5\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*system\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'SCRIPT_FILENAME\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*/\\*(\\w{1,40})\\*/\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*===\\s*"[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*/\\*\\1\\*/\\s*\\?>', '(include|include_once|require|require_once)\\s*\\(\\s*\\$_SERVER\\[\\s*\'DOCUMENT_ROOT\'\\s*\\]\\s*\\.\\s*\'[\\w/_0%]{0,200}\\.(jpg|gif|jpeg|bmp)\'\\s*\\)\\s*;', '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[^]]+\\]\\)\\s*&&\\s*@?preg_replace\\(\'/ad/e\',[^;]{1,200};\\s*\\?>', '<\\?php\\s+ob_start\\(\\s*\\);\\s*var_dump\\([^;]+;\\s*\\$output\\s*=\\s*ob_get_clean\\(\\);\\s*\\$fp\\s*=\\s*fopen.{10,100}eval\\(gzinflate\\(base64_decode\\("[^"]{10000,30000}"\\)\\)\\);\\s*\\?>', '<\\?php\\s+preg_replace\\("/\\.\\*/e","eval\\(gzinflate\\(base64_decode.{1500,3000}\\)\\)\\);",""\\);\\?>', '<\\?php\\s+echo\\s+\\d+[\\+\\-\\*\\/]\\d+;\\$\\w{1,40}=base64_decode.{100,2000}\\)]\\);};\\s*\\?>', '(\\$\\w{1,40})\\s*=\\s*[assert\'"\\. ]{7,};\\s*(\\$\\w{1,40})=[eval\'"\\. ]{5,};\\s*@\\1\\("\\2\\(\\\\\\$_(GET|POST|COOKIE|SERVER)\\[[^]]{1,40}\\]\\s*\\)"\\s*\\)\\s*;', '<\\?php\\s*\\$f\\s*=\\s*[create_function.\'" ]{15,};if.{10,200}print_r\\(\\s*\\$out\\s*\\);\\s*die\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*class\\s*(\\w{1,40})\\s*\\{\\s*public\\s*\\$data\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*function\\s*__destruct\\s*\\(\\s*\\)\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*data\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*"[^"]+";\\s*\\$payload\\s*=\\s*base64_decode.{900,1500}fputs\\(\\s*\\$f\\s*,\\s*\\$payload\\s*\\);\\s*fclose\\(\\$f\\);\\s*unlink\\(__FILE__\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}="[^;]+"\\s*;\\s*preg_replace\\s*\\(\\s*"/[^/]+/e"\\s*,\\s*\\$_\\s*\\(\\s*"[^"]{1,500}"\\s*\\)\\s*,\\s*0\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*@set_time_limit\\(0\\);\\s*\\$xmlname\\s*=\\s*\'\\w{1,40}\\.xml.{300,1000}\\};eval\\(\\$[O0]{1,20}\\("[^"]{5000,}"\\)\\);\\s*\\?>', '<\\?php\\s*@ini_set\\("display_errors.{1600,1900}fwrite\\((\\$\\w{1,40})\\s*,\\s*"<\\?php\\\\n\\$\\w{1,40}\\[1\\]\\\\n\\?>"\\);\\s*fclose\\(\\1\\);\\s*include\\(([^)]{1,50})\\);\\s*unlink\\(\\2\\);\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\}\\s*\\?>\\s*', '<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>\\s*<\\?php\\s*error_reporting\\(E_ALL\\);\\$DOMAIN.{2500,4500}enc\\(\\$str\\);fwrite\\(\\$file,\\$str\\);fclose\\(\\$file\\);\\}\\?>\\s*<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>', '<\\?php\\s*@ini_set\\("log_errors", false\\);@ini_set\\("display_errors.{500,1200}gzuncompress\\(base64_decode\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)\\);\\s*@fclose\\(\\$\\w{1,40}\\);\\s*include\\s*\\$\\w{1,40};\\s*\\};\\s*\\?>', 'if\\(isset\\(\\$_GET\\[\'bataboom.{100,300}Submit"/></form><\\?php\\s*\\}\\}', '\\A<\\?php\\s*/\\*\\w{1,42}\\*/\\s*\\$\\{"\\\\x.{100,4000}?"\\);\\}\\s*/\\*\\w{1,42}\\*/\\s*\\?><\\?php', 'if\\s*\\(!empty\\(\\$_REQUEST\\[\'ch2\'\\]\\)\\s*&&\\s*\\$_REQUEST\\[\'ch2\'\\]\\s*==.{400,650};fclose\\(\\$fp\\);include\\([^)]+\\);\\s*\\}\\s*\\}', '@preg_replace\\(\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\'\'\\s*\\);', '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\'ch\'\\]\\)\\s*\\{\\s*echo "OK";\\s*exit;\\s*\\}.{100,400}echo\\s*"An error occured";\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\'\\s*,\\s*strrev\\(\';\\)\\)\\]\\w{1,40}\\[REVRES_\\$\\(edoced_46esab\\(lave\'\\s*\\)\\s*\\);\\s*@\\$\\w{1,40}\\(\\s*\\);', 'include\\(\'/[0-9a-zA-Z_\\-/]{1,150}/bitrix/images/iblock/ib\\.gif\'\\);', '<\\?php\\s*echo\\s*"PHP\\s+Uploader.{200,500}echo "Failed to Upload\\.";\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*&&\\s*exit\\s*;', 'include\\s*"\\\\x2.{1,300}?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)"\\s*;', '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\\w{1,40}\\]\\)\\)\\s*\\{\\s*echo.{100,1000}-->"\\.\\$_FILES\\["\\w+"\\]\\["\\w+"\\];\\}else\\{echo"<b>";\\}\\}\\}\\s*\\?>', '<\\?php\\s*ini_set\\("log_errors", false\\);ini_set\\("display_errors", false\\);error_reporting\\(0\\);if\\s*\\(isset\\(\\$_REQUEST.{1,1000};file_put_contents\\(\\$tmp, "<\\?php "\\.gzuncompress\\(base64_decode\\(\\$_POST\\["\\w+"\\]\\)\\)\\);include \\$tmp;\\};\\s*\\?>', 'if\\s*\\(\\s*!empty\\s*\\(\\s*(\\$_(GET|POST|COOKIE|REQUEST))\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\w{1,40}=\\s*\'\';if\\(!empty\\(\\$_COOKIE\\)\\){foreach.{100,1000}Cookie\'\\s*\\)\\s*!==\\s*false\\s*\\)\\s*header\\(\\$\\w{1,40}\\);\\s*return\\s*strlen\\(\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*\\Z', '\\$payload\\s*=\\s*"[^"]{100,9000}"\\s*;\\s*preg_replace\\s*\\(\\s*\'/.*/e\'\\s*,\\s*"[^"]{1,300}"\\s*,\\s*\'\\.\'\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:system|exec|shell_exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'\\s*2>&1\\s*\'\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\([^)]{1,100}\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:assert|eval)\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"[^;]+;\\s*\\1\\s*\\.=\\s*"[^;]+;\\s*@\\1\\(.{100,3000}"\\)\\)\\)\'\\);', 'if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*\\{\\s*move_uploaded_file\\(.{100,400}\\$filename\\s*=\\s*\\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\$time\\s*=\\s*time\\(\\)\\s*-\\s*\\d+;\\s*touch\\(\\$filename\\s*,\\s*\\$time\\);', '<\\?php\\s*error_reporting\\(0\\);\\s*set_time_limit\\(\\d+\\);\\s*function id2str\\(\\$id\\)\\s*\\{.{1000,3000}curl_close\\(\\$curl\\);\\s*echo\\s*\\$content;\\s*\\?>', '\\$user\\s*=\\s*new\\s*CUser;\\s*(\\$arFields)\\s*=\\s*array\\([^)]+\\);\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\1\\);\\s*if\\(intval\\(\\$ID\\)\\s*>\\s*0\\)\\s*echo\\s*\'[^\']+\';\\s*else\\s*echo\\s*\\$user->LAST_ERROR;', '(/\\*[^*]{1,30}\\*/)\\s*error_reporting\\(0\\);\\s*@ini_set\\(\\s*\'error_log\'\\s*,\\s*NULL\\s*\\);\\s*@ini_set\\(\\s*\'log_errors\'\\s*,\\s*0\\);\\s*@ini_set\\(\\s*\'display_errors\'\\s*,\\s*\'Off\'\\);\\s*@eval\\(\\s*base64_decode\\(.{100,20000}\\1', '<\\?php\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;?\\s*\\?>', 'wp_load_cachers\\(\\);\\s*function.{1000,1300}strip_tags\\(\\$mdetailes\\(\\)\\);\\s*\\}', '<\\?=\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*stripslashes\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '\\A<\\?php\\s*\\$function\\s*=\\s*create_function\\(.{10,200}?\\);\\s*\\$function\\(\\s*\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*function\\s*encode\\(\\s*\\$string\\s*\\)\\s*\\{.{500,800}=\\s*function\\(\\s*\\)\\s*\\{\\s*\'\\.\\$b\\[\'code\'\\]\\.\'\\}\'\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*preg_replace\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){1,4}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*@md5\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_FILES\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*\\$_POST\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=[^;]{1,100};\\s*\\$\\w{1,40}\\s*=\\s*"[^"]{1,500}"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(system|shell_exec|exec|passthru|popen)\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*echo\\s*"<pre>"\\s*;\\s*(?:system|exec|eval|assert|shell_exec|passthru)\\(\\$_(?:GET|POST|COOKIE|REQUEST)\\[[^]]{1,20}\\]\\)\\s*;\\s*echo\\s*"</pre>"\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password.{6500,7500}?\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*(?:eval|assert|passthru|exec|system|shell_exec)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,10}\\s*=\\s*\'[^\']{1,10}\'\\s*\\.\\s*substr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\d+\\s*,\\s*\\d+\\);\\s*\\$\\w{1,10}\\s*=\\s*preg_replace\\(\\s*\\$\\w{1,10}\\s*,\\s*strtr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\)\\s*,\\s*\'[^\']{1,20}\'\\s*\\);', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST);.{100,300}var_dump\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*\\}\\s*\\?>', '\\$arr\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*foreach\\s*\\(\\s*\\$arr\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*end\\(\\$\\w{1,40}\\);.{1,100}echo\\s*\\$\\w{1,40};\\s*}\\s*}', '<\\?\\s*=\\s*\\(\\s*\\$(\\w{1,20})\\s*=\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]{1,10}\\s*\\]\\s*\\)\\s*\\.@?\\$\\1\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]{1,10}]\\s*\\]\\s*\\)\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\s*===.{100,1000},\\);array_walk\\(\\$\\w{1,40}\\s*,\\s*strval\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\s*,\\s*\'\'\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*var_dump\\((eval|assert|system|shell_exec|exec|passthru)\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\);\\?>', '<\\?php\\s*@set_time_limit\\(\\d+\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*system\\(base64_decode\\(\\$_\\1\\[\'.\'\\]\\)\\);\\s*\\?>', '<\\?\\s*if\\(\\$\\w{1,40}\\s*!=\\s*""\\)\\s*print\\s*Shell_Exec\\(\\$\\w{1,40}\\);\\s*\\?>', '<\\?php\\s*/\\*\\s*(.{1,40}?)\\s*\\*/\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\(\\s*\\$\\w{1,40}.{7000,9000}\\);\\s*/\\*\\s*/\\1\\s*\\*/', '\\$_(GET|POST|REQUEST|COOKIE)\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\?\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\(\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\)\\s*:\\s*null;', '<\\?php\\s*\\$\\w{1,40}="\\w{32}";.{20000,30000};\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>', '<\\?php\\s*@copy\\(\\$_FILES\\[\'\\w{1,40}\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'\\w{1,40}\'\\]\\);', '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\'ms-load\'\\]\\)\\s*&&.{100,1000}\\}\\s*\\}\\s*endif;\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=".{100,1000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"",[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(\\$\\w{1,10}=["\'][^"\']{0,5}["\'];){10,}.{50,300}eval\\(\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*"[^"]{2000,5000}"\\)\\)\\);\\s*\\?>', 'if\\(\\$_REQUEST\\["key"\\]\\s*!=\\s*""\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$_REQUEST\\["key"\\]\\s*==\\s*"[^{]+{\\$\\w{1,40}\\s*=\\s*copy\\(\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\.\\s*".{1,100}/restore\\.php"\\s*,\\s*\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\."[^"]{1,100}"\\)\\s*;\\s*if\\(\\$\\w{1,40}\\)\\s*{\\s*die\\(\\s*"ok"\\s*\\)\\s*;\\s*}\\s*else\\s*{\\s*die\\s*\\(\\s*"fail"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\};', '<\\?php\\s*(//\\w{1,40})?\\s*\\$\\{"[^"]+"\\}\\["[^"]+"\\]="[^"]+";\\$\\{".+;echo\\$\\{\\$\\w{1,30}};exit\\(\\);\\}\\}\\}\\}\\s*(//\\w{1,40})?\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[\\s*"ms-load"\\s*\\]\\s*\\)\\s*&&.{100,1000}print "Error:n";\\s*\\}\\s*\\}\\s*\\}', '\\A<\\?php\\s*\\$\\w{1,40}=\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\'\',.{1000,3000}\'\\);\\s*\\$\\w{1,40}\\(\\);\\s*\\Z', 'function\\s*sendCcNumber\\(\\s*\\)\\s*\\{.{2000,8000}curl_close\\(\\$ch\\);\\s*\\}', '<\\?\\s*if\\(!isBot\\(\\)\\)\\{\\s*if\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*\\{setcookie\\(".{300,7000}\\$botname\\s*=\\s*\\$bot;\\s*return\\s*true;\\s*\\}\\s*return false;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '\\$USER->Update\\(1\\s*,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*["\'][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*require\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/bitrix/footer\\.php"\\);', '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]+"\\s*,\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z', '\\A\\s*<\\?php\\s*/\\*[^*]{32}\\*/\\s*eval\\(base64_decode\\("[^"]{500,2000}"\\)\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);\\s*global.{100,40000}\\{eval(/\\*[^\\*]+\\*/)?\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\[\'\\w{1,40}\'\\]\\[\\d+\\]\\]\\)\\s*;\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}\\s*\\?>', '<\\?php\\s*(?:/\\*.{1,3000}\\*/\\s*)?@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?', '<\\?php\\s*(?://header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?\\s*\\$\\w{1,40}=\'\\d+\';\\s*\\$\\w{1,40}=urldecode\\("%.{20000,}\\}\\}\'\\);\\$\\{"[^"]{3,100}"\\}\\["[^"]{3,100}"\\]\\(\\);\\s*\\?>', 'eval\\(base64_decode\\("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl[^"]+"\\)\\);', '<\\?php\\s*\\$\\w{1,40}=gzinflate\\(base64_decode\\(\'[^\']{20000,}\'\\)\\);\\s*preg_replace\\([^\\?]{1,50}\\?>', '<\\?php\\s*\\$.{1,100}\\$\\w\\s*=\\s*"[^"]{50000,}";\\s*@\\$\\w\\([^)]+\\);"\\);\\s*\\Z', '<\\?php\\s*/\\*[^*]{1,100}\\*/\\s*\\$GLOBALS.{3000,5000}function\\s+\\w{1,40}\\(\\$a\\s*,\\s*\\$b\\){\\s*\\$c=\\$GLOBALS\\[\'\\w{1,40}\'\\];\\$d=pack\\(\'H\\*\',[^)]+\\);\\s*return \\$d\\(substr\\(\\$c, \\$a, \\$b\\)\\);};eval\\(\\w{1,40}\\(\\d+,\\d+\\)\\);};\\?>', '<\\?php\\s*/\\*[^*]{1,200}\\*/\\s*\\$auth_pass = ".{32}";\\s*\\$eval=\\("\\?>"\\.gzuncompress\\(base64_decode\\("[^"]{20000,}"\\)\\)\\);\\s*@?eval\\(\\$eval\\);\\s*\\?>', '<\\?php\\s*(?:system|passthru|shell_exec)\\(\\s*"\\$\\w{1,40}"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@ini_set\\(\'display_errors.{800,1300}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\$\\w{1,40}"\\)\\s*,\\s*\'wp_function\'\\s*\\)\\s*\\);\\s*preg_match\\(\\s*\'\\#gogo.{100,1000}unlink\\([^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\'\\w{1,40}\';\\s*}\\s*', '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]{5,100};\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\w{1,50}\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]{100,1000}"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\$z0\\s*=\\s*\\$_REQUEST.{10,300}?(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\1\\(\\);', '<\\?php\\s*preg_replace\\s*\\(\\s*"\\|\\.\\*\\|ie"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]+"\\s*\\)\\s*;', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{400,1000}?\\(\\d+\\)\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{20000,}"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', 'if\\s*\\(JRequest::getVar\\(\'get_product\',0,\'POST\'\\)\\|\\|JRequest::getVar\\(\'get_product\',0,\'COOKIE\'\\)\\){.{300,1000}?exit\\(\\);}', '\\A<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\?>\\s*', '<\\?\\s*eval\\(base64_decode\\(\'.{76}\'\\.\\s*\'.{76}\'\\.', '<\\?php.{100,2000};include\\s*\\$\\w{1,40}\\(\\$\\{\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\}\\)\\[\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\];\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w+;\\$GLOBALS\\[\'\\w+\'\\]=Array\\(\\);global\\s*\\$\\w{1,40};\\$\\w{1,40}=\\$GLOBALS;\\$\\{"\\\\x[^"]{10,100}"}\\[\'\\w+\'\\]="\\\\x.{4000,7000}\\);\\}\\}\\s*\\?>', '\\*/\\s*preg_replace\\s*\\(\\s*"\\\\[^"]{10,30}"\\s*,\\s*"\\\\[^"]{10,110}"\\s*,\\s*"\\\\[^"]+"\\s*\\)\\s*;\\s*/\\*', '<\\?php\\s+\\$.{6000,9000}"",\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*""\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>', '{\\s*move_uploaded_file\\s*\\(\\s*\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"true"\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*error_reporting\\s*\\(\\s*\\w+\\s*\\)\\s*;.{100,1000}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\'[^\']*\'\\s*\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\*/\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.{10000,15000};\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\}\\}\\}\\s*/\\*', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>\\s*<form.{50,200}</form>', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*is_file\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*include_once\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$(\\w{1,40})\\s*\\)\\s*\\{.{1500,2500}?include\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*unlink\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*\\$\\1\\s*=\\s*\'[^\']*\'\\s*;\\s*}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'/\\w+/e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '{\\s*\\$USER->Authorize\\(\\$_REQUEST\\[\'ID\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);\\s*}', '<\\?php.{5000,10000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;.{1,200}?\\?>', '\\$UnixTimeLastEdit\\s*=\\s*"[^"]{1,100}";\\s*\\$MenuAcoAuthor\\s*=\\s*"[^"]{1,100}";.{100,2000}?echo\\s*eval\\s*\\(\\s*base64_decode\\(\\s*\\$SystemJoCode\\s*\\)\\s*\\);', '\\$\\w{1,40}\\s*=\'[^\']*\'\\^\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\^\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'.\\w{1,30}.e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '<\\?php.{1,2000};}else\\{\\$\\w{1,40}="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";move_uploaded_file\\(\\$_FILES.{100,1000}";}}', '\\$USER->Authorize\\(\\$_(?:REQUEST|GET)\\[\'\\w+\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);', '<\\?php\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*@isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*tryyr\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}[^;]+;\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*@?\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '//\\#\\#\\#==\\#\\#\\#\\s*assert\\s*\\(.{1000,5000}\\)\\)"\\);\\s*//\\#\\#\\#==\\#\\#\\#', '@\\s*include(_once)?\\s*\\(\\s*\\$_SERVER\\[\\s*"DOCUMENT_ROOT"\\s*\\]\\s*\\.\\s*"/bitrix/.{1,200}?\\.gif"\\s*\\)\\s*;', '<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\s*\\(\\s*"\\#Ask\\\\s\\*Jeeves.{2000,4000}\\$_SERVER\\[HTTP_HOST]"\\s*\\)\\s*;\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\)\\s*;\\s*echo\\s*\\$result\\s*;\\s*}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\\$\\w{1,40}\'\\s*,\\s*".+?\'\\s*\\)\\s*;\\s*@?\\$\\w{1,40}\\("[^"]+"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^;]+\\s*;\\s*@?eval\\(\\$\\w{1,40}\\([^)]{5000,}\\)\\);', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;.+?curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*print\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*/\\*\\*[^*]{1,5000}\\*\\*/\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;(\\s*//\\s*Password\\s*)?\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '\\*/\\s*(include|require|include_once|require_once)\\s*/\\*', '(<\\s*\\?\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*){3,}', '<\\?php\\s*function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*\\)\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*:\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=.+eval\\s*\\(\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\?>)?', '<\\s*\\?\\s*require\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*[^)]+\\)\\s*;\\s*LocalRedirect\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*([\'"][^"\']*[\'"]\\s*\\.\\s*)+[\'"][^"\']+[\'"];.+?function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*', '\\$\\w{1,40}\\s*=\\s*[\'"][^;]+;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*}\\s*\\[\\s*\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*\\)\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}}\\[\\$\\w{1,40}\\s*\\((\\$\\w+\\[\\d+\\]\\s*\\.?){2,}\\)]\\);}', '<\\?php\\s*class\\s*\\w+\\s*\\{\\s*public\\s*function\\s*__construct\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*\\$\\w{1,40}\\s*,\\s*438\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\w+\\s*;\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;', 'define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*class_exists\\s*\\(\\s*[\'"]COM[\'"]\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'PHPINFO_IS\'\\s*,\\s*\\(\\s*!eregi\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*new\\s*Get_links\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*return_links\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*', 'class\\s+Get_links\\s*{\\s*var\\s*\\$host\\s*=.+?(return\\s*\'<!--link error-->\';\\s*}\\s*}|\\$data = file_get_contents\\(\\$file\\);\\s*return \\$data;\\s*}\\s*}\\s*})', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*eval\\s*\\(\\s*trim\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*sprintf\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\w+\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*[\'"][^\'"]+[\'"];\\s*preg_replace\\s*\\([\'"][^\'"]+[\'"]\\s*,\\s*["][^"]+["]\\s*,\\s*["][^"]+["]\\s*\\);\\s*\\?>', '<\\?php\\s*die\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\([^}]+\\s*}\\s*\\?>', '(/\\*[^\\*]+\\*/)?if(/\\*[^\\*]+\\*/)?\\s*\\((/\\*[^\\*]+\\*/)?\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*(/\\*[^\\*]+\\*/)?\\s*\\)\\s*(/\\*[^\\*]+\\*/)?\\s*\\)(/\\*[^\\*]+\\*/)?\\s*\\{\\s*(/\\*[^\\*]+\\*/)?\\s*(eval|assert)\\s*(/\\*[^\\*]+\\*/)?\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)(/\\*[^\\*]+\\*/)?;\\s*(/\\*[^\\*]+\\*/)?exit\\s*;(/\\*[^\\*]+\\*/)?\\s*\\}', 'if\\s*\\(\\s*isset\\(\\s*\\${\\s*[^}]+\\s*}\\s*\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*["\'evalbs64srtprglc\\s\\.]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\${[^}]+}\\s*\\[[^\\]]+\\]\\s*\\);\\s*exit;\\s*}', '<\\?php\\s*if\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\${(/\\*[^*]+\\*/)?"_.{1,250}?exit;[^}]+}', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*==["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*system\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*echo\\s*<\\s*<\\s*<\\s*HTML\\s*<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=__LINE__\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*eval\\s*\\(\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*return\\s*;\\s*\\?>', '\\*/\\s*["\'](\\\\x2f|/)[\\\\\\-\\*\\sa-zA-Z0-9_/\\.]+?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)["\'];\\s*/\\*', '<\\?php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"Pragma: hack"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\(\\s*string\\s*\\)\\s*\\(\\s*filesize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*readfile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;', '<\\?php\\s*/\\*[^*]+\\*/\\s*\\$\\w+\\s*=[\'"][^\'"]+[\'"];\\s*\\$\\w+\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w+\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*array_map\\s*\\(\\s*"[^"]*"\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*', 'isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*@preg_replace\\s*\\(\\s*[\'"][^\'"]*e[\'"]\\s*,\\s*[^,]+\\s*,\\s*[\'][^"\']*[\']\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*[\'"]\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*:["\'][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*foreach\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_start\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_end_flush\\s*\\(\\s*\\)\\s*;', 'print\\s*[\'"][^\']*["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*UPLOAD_ERR_OK\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*["\'][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\s*\\?\\s*if\\s*\\(\\s*\\$_FILES\\[\'F1l3\'\\]\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*["\']<\\?php\\s*\\(["\']\\s*;.+?\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*@fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$cookey\\s*=\\s*"[^"]*"\\s*;\\s*preg_replace\\s*\\(\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==\\s*["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(//header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;)?\\s*\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*.+?;\\${"(\\\\x[0-9a-fA-F]{2,3})+"}\\s*\\["(\\\\x[0-9a-fA-F]{2,3})+"\\]\\(\\);\\s*\\?>', '\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\w+\\s*\\(\\s*base64_decode\\s*\\(\\s*[^)]+\\)\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\]\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[^{]+{\\s*\\$\\w{1,40}\\s*=\\s*Array\\([^>]+>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*.+?\\s*,\\s*\\$\\w{1,40}\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^;]+;\\s*\\w+\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\.\\s*"[^"]*"\\s*;\\s*Smarty3::redirect\\s*\\(\\s*[^)]+\\s*\\)\\s*;\\s*\\?>', '^\\s*<\\?php\\s*header\\s*\\(\\s*\'Location:\\s*https?://[^/]+/\\?a=\\w+&c=\\w+\'\\s*\\)\\s*;\\s*\\?>\\s*$', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*header\\s*\\(\\s*"Location:\\s*http[^"]*"\\s*\\)\\s*;\\s*/\\*\\s*\\w+\\s*\\*/\\s*exit\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_exists.+?file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*@filemtime\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*@file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*FILE_APPEND\\s*\\)\\s*;\\s*@touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}-\\s*>\\s*sendCcNumber\\s*\\(\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;', 'class\\s*Ma\\w+\\s*extends\\s*Mage_\\w+\\s*\\{\\s*public\\s*function\\s*indexAction\\s*\\(\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*,\\s*["\'][^"\']*["\']\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\)\\s*;\\s*echo[^$]+\\$_FILES\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*(passthru|exec|shell_exec|popen|system|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\?>', '(\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*)+\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(.+?\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POST\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*/\\*\\*\\s*\\*\\s*Plugin\\s*Name:\\s*Login\\s*Wall.+?\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*1\\s*\\)\\s*;\\s*function\\s*str_between.+magento\\s*not\\s*found\'[^\']*\'Content-type:\\s*application/json\'\\s*\\)\\s*;\\s*echo\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*pi\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=["\'][^\'"]+["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@date_default_timezone_set\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\?\\s*l1HXxk0\\s*\\(\\s*\\)\\s*:l11x\\s*\\(\\s*\\)\\s*;\\s*l15Oe\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;.+?break\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*<\\s*0\\s*\\?\\s*abs\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}%=\\$\\w{1,40}\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*function\\s+getBot\\(\\s*\\$\\w{1,40}\\s*\\).+if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?(copy|move_uploaded_file)\\s*\\(\\s*\\$_FILES\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w+\\s*\\(.+?\\)\\);', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^"\']+[\'"]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\?>', '<\\s*\\?\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@import_request_variables\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*;\\s*return\\s*;\\s*\\?>', 'require_once\\s*\\(\\s*findsysfolder\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*;\\$\\w+=\'[^\']+\';\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*clearstatcache\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*return\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\}', '<\\?(php)?\\s*\\$\\w+\\s*=(\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*)+\\s*;\\s*(\\s*\\$\\w+\\s*=(\\$\\w+\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*){10,};\\s*){2,}\\$\\w+=\\$\\w+\\s*\\(\\s*["\']+\\s*,\\s*\\$\\w+\\s*\\)\\s*;\\s*@\\$\\w+\\(\\s*\\);\\s*\\?>', '<\\s*\\?\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\s*\\(\\s*\\)\\s*;\\s*Echo.+?<input\\s+type="submit" name="\\w+"\\s+value="go!"\\s+/></form>\\s*<\\?php\\s*}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*TRUE\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;.+?http_build_query\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*stream_context_create\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*return\\s*file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*[*+/-^]\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*exit\\s*;\\s*\\}', 'if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*==[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;', '\\$GLOBALS\\[[^]]+\\]\\s*=\\s*\\$_SERVER;\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*["\'][\'"]\\s*;\\s*global.+?\\(\\s*\\$url\\s*,\\s*FALSE\\s*,\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*\\);\\s*return\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*;\\s*}', '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"login"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;.+?<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"/\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"/\\s*>\\s*<\\s*/form\\s*>', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+\\$password=_\\d+\\(0\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\);', '\\#!/usr/bin/env.+?\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*9\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*;\\s*\\}', 'define\\s*\\(\\s*\'[^\']*\'/\'[^\']*\'\\s*,\\s*DIRECTORY_SEPARATOR\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*realpath\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*[^)]+\\)\\s*;\\s*if\\s*\\(\\s*!file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[^)]+\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[^)]+\\)\\s*;\\s*\\}\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*("[^"]*"\\s*\\.)?\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?', '<\\?php\\s/\\*\\s*--\\s*enphp.+unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\?>', '(\\$\\w+=[^;]+;)+@\\$\\w+\\(@\\$\\w+\\(@\\$\\w+\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]+\\]\\)\\)\\);die\\(\\);', '(\\$arr_word\\[\\d+\\]\\[\\]\\s*=\\s*"\\d+";){10,}', '//insta\\w+\\s*(require|include|require_once|include_once)\\(["\'][^\'"]+[\'"]\\);\\s*//insta\\w+', '<\\?\\s*php\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*global\\s+\\$\\w.+@\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*FALSE\\s*,\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\)\\s*;\\s*return\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*;\\s*\\}', '<\\?php\\s*\\$str\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$str\\);\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==["\'][^\'"]*["\']\\s*\\)\\s*\\{\\s*echo\\s*\\w+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'upload\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\w+[^)]{1000,}\\)\\s*\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){2,}\\s*\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*return\\s*;', 'include\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'/includes/_bb_press_plugin.class.php\'\\s*\\)\\s*;\\s*register_activation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*//\\s*M\\s*register_deactivation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*10\\s*,\\s*3\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*echo\\s*eval\\s*\\(base64_decode\\s*\\(\\s*(str_replace\\s*\\(\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*\\s*,)+\\s*[\'"][^\'"]+[\'"]\\s*(\\)\\s*)+;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*\\.\\s*"[^"]*".+?<\\s*form\\s*method\\s*="[^"]*"\\s*enctype\\s*="multipart/form-data"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"\\s*>\\s*<\\s*/form\\s*>\\s*<\\?php\\s*\\}\\s*\\?>', '<\\?php\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*1\\s*\\)\\s*;\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*,\\s*\\d+\\s*\\)\\s*;\\s*strripos\\s*\\(\\s*@sha1\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*\\d+\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,};\\s*\\$\\w+\\((\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*,\\s*\\$\\w+\\s*,\\s*[\'"]+\\s*\\);', '<\\?php\\s*\\$\\w{1,40}="[^"]{3000,}"\\s*;\\s*(\\$\\w+\\.?="[^"]+";\\s*){3,}\\s*@?\\$\\w+(?:\\(\\$\\w{1,40}){3,}\\){3,};\\s*(\\?>)?', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-\\d+\\s*;\\s*\\$\\w{1,40}\\+=\\s*\\d+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*hexdec\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\+\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*function\\s*clear_folder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*opendir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\).+\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*rmdir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*;\\s*else\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?', 'function\\s+css\\(\\$i\\)\\s*{\\s*\\$\\w+\\s*=\\s*"[^"]+";\\s*\\$xml_content=file_get_contents\\(\\$\\w+\\.\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*array\\((\\s*"[^"]+"\\s*,?)+\\);\\s*reset\\(\\$\\w+\\);.+?echo\\s*\\$xml_content;(\\s*exit\\(\\);)?\\s*}\\s*}\\s*}\\s*(css\\(\\s*\'[^\']+\'\\s*\\);)?', '<\\?php\\s*\\$\\w+=\'[^\']+\';\\s*\\$\\w+=(\\$\\w+\\{\\d+\\}\\.?){3,};(\\s*\\$\\w+\\s*=(\\$\\w+\\{\\d+\\}\\.?)+;)+\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*[\'"].[\'"]\\s*,?){1,}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(((\\s*[\'"].[\'"]\\s*\\.?)\\s*,\\s*?){1,}\\s*,\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?)+\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>', '@?file_get_contents\\("[^"]+"\\s*\\.\\s*\\$_SERVER\\[\'HTTP_REFERER\'\\]\\s*\\.\\s*"&\\w+=http://"\\s*\\.\\s*\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/[^"]+"\\);', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '(GIF\\d+a\\+\\s*)?<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\?>', 'copy\\(\'http://.+?\'\\s*,\\s*\'\\w+\\.php\'\\);exit;', '\\$wp_nonce=isset\\(\\$_POST\\[\\$_SERVER{\\$_SERVER{.+?unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s+\\$wp_auth_check;', '/\\s*\\*\\w+\\s*\\*/\\s*@include\\s*"[^"]*"\\s*;\\s*/\\s*\\*\\w+\\s*\\*/', '<\\?php(\\s*//.+?$)?(\\s*/\\*[^*]{1,5000}\\*/)?\\s*preg_replace\\s*\\(\\s*"/\\.\\*/e"\\s*,\\s*"[^"]+"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*(\\?>)?', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*(\\$\\w{1,40}\\s*\\.?){2,}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*', '<div\\s+id="\\w+">\\s*(<a\\s+href=\'[^\']+\'\\s+title=\'[^\']+\'>[^<]+</a>\\s*){20,}<script>\\s*eval.+?</script>\\s*</div>', '<\\?\\s*php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!=\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}', '<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\).+?echo\\s*\\$\\w{1,40}\\s*;\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\s*\\?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(?:GET|POST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.{1000,5000}/>\\s*</form>\\s*<\\?php\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*success\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case.+?print\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*->\\s*content\\s*\\)\\s*;\\s*get_search_form\\s*\\(\\s*\\)\\s*;\\s*get_sidebar\\s*\\(\\s*\\)\\s*;\\s*get_footer\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*.+?preg_split\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*-1\\s*,\\s*PREG_SPLIT_NO_EMPTY\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\$\\w{1,40}\\s*=>\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-3\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*4\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*0\\s*;\\s*\\$\\w{1,40}<\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*\\d+\\+\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^;]+;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^\\]]+\\]\\s*==\\s*base64_decode\\s*\\([^}]+\\{\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*base64_decode\\s*\\(.+?\\)\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){3,}\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*\\$\\w{1,20}\\s*=(?:\\$\\w{1,20}\\[\\s*\\d{1,5}\\s*\\]\\s*\\.?\\s*){3,}.+?include[^?]+\\?>', '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\s*\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\);\\s*}', '\\$\\w{1,40}="\\w{1,20}";if\\(!empty\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\){\\$[^@]+@\\$\\w+\\(stripslashes\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\);}else\\s*@unlink\\(__FILE__\\);', '<\\?php\\s*\\$\\w{1,20}=\\$_POST\\[\\w{1,20}\\];echo\\s*eval\\(\\$\\w{1,20}\\);echo "404 Not Found";\\s*\\?>', '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[[\'"]\\w{1,20}[\'"]\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)(/\\*[^*]+\\*/)?\\[[\'"]\\w{1,20}[\'"]\\]\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\["\\w{1,20}"\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?exit(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?', '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?["\'][assert\'".\\s]+["\'];(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?exit;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?', '\\$\\w{1,}\\s*=\\s*[\\s_.GET"\']+;\\s*if\\s*\\((!empty|isset)\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\(\\s*[^,]+\\s*,\\s*[\\s"e.\'Val]+\\(\\s*\\$\'\\s*\\.\\s*\\$\\w+\\s*\\.\\s*\'\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\)[\'"]\\s*,\\s*[\'"][\'"]\\);', '<\\?php\\s*if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\) && \\(md5\\(\\$_POST\\[\'\\w+\'\\]\\) == \'\\w{32}\'\\)\\)\\s*{\\s*\\$sc = \\(empty\\(\\$_POST\\[\'\\w+\']\\)\\).+<br/>Security Code: <br/><input name="\\w+" value=""/>\\s*<br/>Name:\\s*<br/><input name="name" value=""/>\\s*<br/>\\s*<input type="submit" value="Sent" />\\s*</form>\\s*</body>\\s*</html>\';', '<\\?php\\s*\\${"\\\\x[^"]+"}\\["[^"]+"\\]=.+?\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\?>', '<title>\\s*ol\\s+Erivfvhz', 'if \\(!defined\\(\'ALREADY_RUN.+eval\\s*(/\\*\\w+\\*/)?\\s*\\(\\s*\\w+\\s*\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\s*\\);\\s*}', '(\\$\\w{1,20}\\s*=\\s*\'[^\']+\'\\s*;\\s*){6,}.+(\\$\\w{1,20}\\[\\s*[\'"]?\\d+[\'"]?\\s*\\]\\s*\\.?\\s*){5,}\\);', 'if\\(\\$\\w+===0\\){@\\${\\w+}\\(\\$\\w+\\);}', 'if\\(isset\\(\\$_COOKIE\\[[^]]+]\\)\\s*&&\\s*isset\\(\\$_COOKIE\\[[^]]+\\]\\)\\)\\s*{.+include\\(\\$f\\);\\s*}', 'echo\\s+file_get_contents\\(\'index\\.html(\\.bak)+\'\\);', '/\\*(\\w+)\\*/\\s*@(include|require|include_once|require_once)\\s*"[^"]+";\\s*/\\*\\1\\*/', '\\A\\s*<\\?echo\\s+\\d+\\s*[+*/-]\\s*\\d+;\\?>\\Z', '<\\?php\\s*(\\$arrUrlId\\[\'[^\']+\'\\]=\'[^\']+\';\\s*)+', 'if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["test_url"\\]\\s*\\)\\s*\\)\\s*{\\s*echo "file test okay";\\s*}.+\\$f\\s*=\\s*\\$a\\("",\\s*\\$array_name\\(\\$string\\)\\);\\s*\\$f\\(\\);', '<\\?php\\s+(\\$\\w+=base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\);)+eval\\(\\$\\w+\\(\\$_POST\\[base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)\\]\\)\\);.+base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)]\\);\\s*};\\s*\\?>', 'ini_set\\(\'display_errors\',\'Off\'\\);\\s*error_reporting\\(\'E_ALL\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'u\'\\]\\)\\s*&&\\s*isset\\(\\$_POST\\[\'n\'\\]\\)\\)\\s*move_uploaded_file\\(\\$_FILES\\[\'u\'\\]\\[\'tmp_name\'\\],\\$_POST\\[\'n\'\\]\\);\\s*setcookie\\(\'server\',1,time\\(\\)\\+1e6\\);\\s*\\$s=\\$_SERVER;\\s*if\\(\\$server!=1\\s*&&\\s*\\$s\\[\'HTTP_REFERER\'\\]\\s*&&\\s*strpos\\(\\$s\\[\'HTTP_REFERER\'\\],\\$s\\[\'HTTP_HOST\'\\]\\)===false\\s*&&\\s*\\$_COOKIE\\[\'server\'\\]!=1\\)\\s*{\\s*\\$server=1;\\s*eval\\(file_get_contents\\(base64_decode\\(\'\\w+\'\\)\\.\\$s\\[\'HTTP_HOST\'\\]\\)\\);\\s*}', '(\\$\\w{1,30}\\s*=\\s*[^;]+;){1,}\\s*@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w+\\(\\$_POST\\[[^\\]]+\\]\\)\\)\\);\\s*die\\(\\s*\\);', 'if\\(isset\\(\\$_POST\\[.+@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(\\$_POST.+<h2>Error 404</h2>\\s*</body>\\s*</html>', 'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*[\'"](\\w+)[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*@?eval\\(\\s*stripslashes\\(\\s*\\$_POST\\[\\s*["\']\\1["\']\\s*\\]\\s*\\)\\s*\\);\\s*};', '<?php\\s*\\$jquery_start\\s*=\\s*true;.*?\\$jquery_end\\s*=\\s*true;.*?>', 'RewriteEngine\\s+On\\s*(RewriteCond\\s*%{HTTP_REFERER\\}\\s*\\.\\*[^.]+\\.\\*\\$\\s*\\[NC(,OR)?\\]\\s*)+RewriteRule\\s*\\.\\*\\s*http://[^[]+\\[R,L\\]', 'RewriteEngine\\s+On\\s*RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?br=\\$1\\s+\\[L\\]', '<IfModule mod_rewrite\\.c>\\s*RewriteEngine On\\s*RewriteCond %{HTTP_REFERER}\\s+\\^\\.\\*\\([^)]+\\)\\\\.\\(\\.\\*\\)\\s*RewriteCond\\s*%{HTTP_USER_AGENT}\\s*\\^\\.\\*\\(msie\\|opera\\)\\s*\\[NC\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!/index\\.php\\s*RewriteRule\\s*\\(\\.\\*\\)\\s*/index\\.php\\?query=\\$1\\s*\\[QSA,L\\]\\s*</IfModule>', 'RewriteEngine\\s+on\\s*RewriteCond %{HTTP_ACCEPT} "text/vnd\\.wap\\.wml\\|application/vnd\\.wap\\.xhtml\\+xml"\\s*\\[NC,OR\\].+?RewriteCond\\s*%{HTTP_USER_AGENT}\\s*!windows-media-player\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+http[^]]+\\[L,R=302\\]', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s*\\^\\.\\*Android\\.\\*\\$\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\$[^[]+\\[L,R=302\\]', 'RewriteEngine\\s+on\\s+RewriteCond\\s+%{HTTP_USER_AGENT}\\s+acs.+?RewriteRule\\s+\\^\\(\\.\\*\\)\\$[^\\[]+\\[L,R=302\\]', '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^<]+</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*</script>\\s*</body>', '<html>\\s*<head>\\s*<script type="text/javascript" src="http://ajax\\.googleminiapi\\.com/angular\\.min\\.js">\\s*</script>\\s*<META HTTP-EQUIV="REFRESH" CONTENT="1;URL=[^"]+">\\s*</head>\\s*<body>\\s*</body>\\s*</html>', '<script>\\s*window\\.top\\.location\\.href="http://[a-zA-Z0-9-._ +"]{1,100}?"\\s*</script>', 'DirectoryIndex\\s*index\\.php\\s*RewriteEngine On\\s*RewriteBase\\s*/\\w+/\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*index\\.php\\.\\* -\\s*\\[L\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\s*index\\.php\\?id=\\$1', '\\A<script\\s+type="text/javascript">\\s*location\\.replace\\("http://[^"]+"\\);\\s*</script>\\s*\\Z', '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://.+?\\s*r = Math\\.floor\\(Math\\.random\\(\\) \\* 10000\\);\\s* .+?document\\.write\\("<img src=\'" \\+ l \\+ "\'>"\\);\\s*</script>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*</html>\\s*', '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://[^"]+">\\s*</head>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*', '\\A(?:\\s*<\\?php\\s*@?include(?:_once)?\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\?>){3,5}\\s*(<\\?php\\s*/\\*\\*\\s+\\*\\s+CodeIgniter)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,60}\\);\\s*foreach\\(\\s*\\2\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s\\1\\s*\\[\\3\\];\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*strrev\\([^)]{20,60}\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\4\\s*\\([^)]{20,60}\\)\\s*\\);\\s*\\5\\(\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}[\'"][\'"]\\.\\$[\\w]{1,40};\\$[\\w]{1,40}\\((?:\\1\\[\\d+\\]\\.?){5},\\s*\\$[\\w]{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '<\\?php\\s*\\$\\{[\'"][^\\?]{1000,60000}eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\[\\w{1,40}\\]\\]\\);\\s*\\}\\s*exit\\(\\);\\s*\\}\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s+[^\\[]{1,600}\\s*function\\s+\\w{1,40}\\(\\s*\\$ip,\\s*\\$array\\) \\{[^`]{60000,}<\\?php\\s+@?chdir\\(\\s*\\$lastdir\\s*\\);\\s*c99shexit\\s*\\(\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;\\s*function\\s+(\\w{1,40})\\s*\\([^\\?]{99,200}\\?[^\\?]{60000,}=\\s*array\\((?:\'[^\']\'=>\'[^\']\'\\s*,?\\s*){50,70}\\);\\s*eval(?:/\\*\\w{1,40}\\*/)?\\(\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '<\\?(?:php)?\\s*\\$USER->Authorize\\([\'"]1[\'"]\\);(?:\\s*//\\s*[^/]{0,39})?\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"].{300,450}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*(\\$\\w{1,40})\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\3\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\4\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '/\\\\x65"\\s*,\\s*"\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)"', '\\A<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>\\s*\\Z', '(<\\?php\\s*)?if\\s*\\(\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*(\\?>)?', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\${.+?;\\s*@\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\?>', '@(require|include|include_once|require_once)\\([\'"][^/]+/\\d+[\'"]\\);', '<\\?php\\s*@include_once\\("index\\.php"\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*"[preg_replace\\s\\.\\"]+";\\s*\\$\\w+\\("/\\[discuz\\]/e",\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],"[^\\"]+"\\);', '<\\?php\\s*\\$\\w+=\\".+?\\";\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\${(\\$\\w+\\[\\d+\\]\\.?)+};\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*(\\$\\w+\\[\\d+\\]\\.?)+;if\\s*\\(!empty\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\$GLOBALS\\[.+?echo\\s+(\\$\\w+\\[\\d+\\]\\.?){10,};', '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0444\\);', '<\\?php\\s*\\$\\w+\\s*=\\s*"\\w+";\\s*if\\(isset\\(\\$_REQUEST\\[\\$\\w+\\]\\)\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\$\\w+\\]\\)\\);\\s*exit\\(\\);\\s*};\\s*\\?>\\s*', '<\\?php eval\\("[^"]+"\\.\\$_REQUEST\\[\'.\'\\]\\."[^"]+"\\);\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\(\\s*\\$www\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*&&\\s*@preg_replace\\(\\s*\'.ad.e\'\\s*,\\s*\'@\'\\s*.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$www\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*exit;\\s*}', '<\\?php\\s+\\$[a-z].+?strtoupper.+?isset.+?eval\\s*\\(\\s*\\${\\s*\\$[a-z0-9]+\\s*}\\s*\\[\\s*\'[a-z0-9]+\'\\s*\\]\\s*\\);\\s*}\\s*\\?>\\s*', 'if\\s*\\(\\$_REQUEST\\[.param1.\\]&&\\$_REQUEST\\[.param2.\\]\\)\\s*{\\$f.+?array\\(\\$_REQUEST\\[.param2.\\]\\);.+?array_filter.+?OK.;\\s*Exit;}', 'if\\s*\\(\\$_FILES\\[.F1l3.+?\\$_POST\\[.Name.\\]\\);\\s*echo\\s*.OK.; Exit;}', '<\\?php global \\$[a-z0-9]+; \\$[a-z0-9]+=array\\(.+?\\)\\);\\};unset\\(\\$[a-z0-9]+\\);', '<\\?php\\s*\\@preg_replace\\(./\\(\\.\\*\\)/e.+?, ..\\);', '<\\?php\\s+\\$GLOBALS.+?\\[\\d+\\]\\]\\);}exit\\(\\);\\}\\s+\\?>', '<\\?php\\s+\\$sF="\\w+_.+?\\)\\);\\}\\?>\\s*', '<\\?php\\s+\\$qV="stop_.+?\\]\\);\\}\\?>\\s*', '\\A\\s*<\\?(?:php)?\\s*require\\(\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]\\.[\'"]/bitrix/header\\.php[\'"]\\);[^`]{60,80}\\$user\\s*=\\s*new\\s+CUser;\\s*\\$arFields\\s*=\\s*Array\\([^\\;]{350,400};\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\$arFields\\);\\s*[^\\\']{170,200}\\s*\\?>\\s*\\Z', '<\\?php\\s+include(?:_once)?\\s*\\([\'"][^\'"]{1,40}\\.(png|gif|jpg|jpeg|ico)[\'"]\\);\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,100}[\'"][\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{2000,4000}[\'"]\\)\\)[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,100}[\'"];\\s*\\s*(\\$\\w{1,40})\\s*=\\s*[\'"](.).{0,40}\\3e\\w?[\'"];\\s*\\1\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\);\\s*(?:\\Z|\\?>)', '\\A\\s*(<\\?php)\\s*@?eval\\s*(?:\\(\\s*(?:base64_decode|gzuncompress|gzinflate|str_rot13)\\s*){0,6}\\(\\s*[\'"][^\'"]{1000,60000}[\'"]\\s*\\)\\s*\\);(\\s*\\/\\*\\*\\s+\\*\\s+Front\\sto\\sthe\\sWordPress\\sapplication\\.)', '\\A\\s*(<\\?php)\\s+/\\*[^\\?]{1,80}Not\\s+Found[^\\?]{1,80}\\?>\\s*\\*/[^\\?]{1000,1500}\\?/[^\\$]{1,40}\\s*\\$\\w{1,40}\\s*=\\s*strrev[^\\?]{100,400}\\?>\\s*\\1', '\\A\\s*<\\?php\\s+(?:(?:(?:else)?(?:if)?)\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\)\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*){1,2}if\\s*\\(isset\\s*\\(\\2\\)\\s*\\)\\s*\\{\\s*@?eval\\s*(\\(\\s*str_rot13|\\(\\s*base64_decode|\\(\\s*gzinflate){1,3}\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php(?:\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\s*\\{return\\s*str_replace\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\}){3}[^\\?]{200,1500}[\'"]\\)\\);[\'"]\\);\\s*\\$\\w{1,40}\\([\'"]ZXZhbChiYXNlNjRfZGVjb2Rl[^\'"]{1500,5000}[\'"]\\);\\s*(?:\\?>|\\Z)', '(</body>\\s*)<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{400,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)', '\\A\\s*<\\?php\\s*(?:/\\*\\*[^/]{1,600}/)?\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,\\s*str_replace\\([\'"][^\\)]{800,1500}\\)\\s*,\\s*[\'"]\\w{1,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s*header\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@?set_time_limit\\(\\d+\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*){2}\\s*\\$[O0]{5,12}\\s*=\\s*urldecode\\([\'"][^>]{5000,6000}[\'"]\\)\\);\\s*\\?>(<\\?php\\s/\\*\\*\\s+\\*)', '(<\\/body>)\\s*<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{600,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)', '\\A\\s*<\\?php\\s*function[^`]{1000,1500}[\'"];\\s*preg_replace\\(\'/\\.\\*/e\',"(\\\\x\\w{2}){40,78}[\'"],\'\\.\'\\);\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\[[\'"]\\w{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<form\\s*action\\s*[^\\?]{1,600}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*\\s+\\*)', '(\\*/\\s*)@?(?:require_once|include|include_once|require)\\(\\s*[^;]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|js)[\'"]\\s*\\);(\\s*/\\*\\*\\s+\\*)', '\\A\\s*<\\?php(?:\\s*echo\\s*["\']<[^;]{1,200}[\'"];){0,5}\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]\\w{0,9}up\\w{0,9}[\'"]\\]\\s*(?:=|!)=\\s*[\'"]\\w{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{1,200}\\s*else\\s*\\{?\\s*echo\\s*[\'"][^;]{1,80}[\'"];\\s*\\}?\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s+\\$_\\[\\]=@!\\+_;\\s*\\$__=@\\${_}>>\\$_;[^`]{1,400}\\$_=\\$\\s*\\$_\\[\\$__\\+\\s*\\$__]\\s*;\\$_\\[@-_\\]\\(\\$_\\[@!\\+_\\]\\s*\\);\\s*\\?>', '\\A\\s*<\\?php\\s*ignore_user_abort\\s*\\((1|true)\\)\\s*;\\s*set_time_limit\\s*\\(0\\)\\s*;\\s*if\\s*\\(\\s*@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*,\\s*basename\\s*\\(\\s*\\$_FILES[^`]{1,200}type\\s*=\\s*[\'"]submit[\'"]\\s*value\\s*=\\s*[\'"]\\w{0,40}[\'"]s*>\\s*</form>\\s*[\'"];\\s*\\Z', '\\A\\s*<\\?php(?:\\s*echo\\s*[^`]{1,250};){0,3}\\s*if\\s*\\(\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '(public\\s*function\\s*\\w{1,40}\\(\\)\\s*{\\s*)@?eval\\(\\$_POST\\[[\'"]\\w[\'"]\\]\\);(\\s*\\}\\s*\\})', '<\\?php\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s\\}\\s*else\\s*\\{\\s*[^`]{0,200}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?(?:include|include_once|require|require_once)\\s*\\(?\\s*[\'"]https?://[^`]{1,200}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip)[\'"]\\s*\\)?\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[[\'"]\\w{1,4}[\'"]\\]\\)\\)\\s*\\{\\s*echo\\s*[\'"]<form[^`]{200,400}\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*)', '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\)\\{\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*\\$\\1\\s*=\\s*\\(?\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\s*\\)\\s*;\\s*(system|shell_exec|passthru|exec|popen)\\(\\$\\1\\);\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*die;\\s*\\}\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\([\'"]?aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw[^\\)]{1,160}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*===\\s*[\'"][^\'"]{24,40}[\'"]\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?([^\'"]{1,40})[\'"]?\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\1\\s*\\[\\s*[\'"]?\\2[\'"]?\\s*\\]\\s*;\\s*preg_replace\\s*\\(\\s*[\'"](.)[^`]{0,40}\\4e[\'"]\\s*,\\s*\\3\\s*,\\s*[\'"]\\w{1,10}[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\)\\s*\\(\\$\\w{1,40}\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\)\\s*\\.@?\\$_\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\);\\s*\\?>', '(</body>\\s*</html>)\\s*<\\?php\\s*\\$\\w{1,12}\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\(isset\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\$\\w{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*system\\(\\$_REQUEST\\[\\$\\w{1,40}\\]\\);\\s*\\}\\s*\\?>\\s*\\Z', '<\\?(?:php)?(?:\\s*(?:(\\s*?echo)?\\s*(ini_get|ini_restore)\\([\'"](?:open_basedir|safe_mode)[\'"]\\);\\s*){0,4}\\s*include\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);){1,2}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_POST\\[([\'"]\\w+[\'"])\\]\\s*\\)\\s*\\)\\s*@eval\\(\\s*\\$_POST\\[\\1\\]\\);\\s*(?:\\?>|\\Z)', '\\$\\s*\\{\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\}\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*=\\s*[^`]{1300,1600}\\]\\}\\);\\}catch\\(Exception\\$e\\)\\{\\}echo\\$\\w{1,40};define\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{1,4}[\'"]\\);\\}', '<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}\\]\\}=trim\\(urldecode\\(\\$_REQUEST\\["f"\\]\\)\\);\\$\\{\\$\\{[^`]{1000,4000}"\\]\\}\\)\\{exit\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\}\\);\\}else\\{@header\\("[^"]{1,80}"\\);\\}\\}\\s*\\?>', '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}[^\\x00-\\x7F]{20,25}";[^`]{300,500}mail\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^\'"]{1,40}"\\}\\["[^\'"]{1,40}"\\]\\}\\);\\s*\\?>', '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}[\'"]\\]\\};if\\(@?file_exists\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)and\\s*empty\\(\\$_REQUEST\\[[\'"][^`]{1000,4000}\\]\\}\\)\\{exit\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}else\\{@?header\\([\'"][^\'"]{1,200}[\'"]\\);\\}\\}\\s*\\?>', '\\$\\{[\'"][^`]{1000,8000}\\]\\}\\(\\$\\{\\$\\{["\'][^\']{1,40}["\']\\}\\[["\'][^\']{1,40}["\']\\]\\}\\);break;\\}CASE\\s+\\d+:\\{call_user_func_array\\(["\'][^\']{1,40}["\'],array\\(\\$_REQUEST\\[["\'][^\']{1,40}["\']\\]\\)\\);break;\\}\\}\\}\\}', '<\\?php\\s*\\$\\{[\'"][^`]{1000,8000}if\\(preg_match\\(["\']/["\']\\.\\$\\{\\$\\{["\'][^"\']{1,40}["\']\\}\\[["\'][^"\']{1,40}["\']\\]\\}\\.["\']/["\'],\\$_SERVER\\[["\'][^"\']{1,40}["\']\\]\\)\\)\\{header\\(["\'][^"\']{1,80}["\']\\);die\\(["\']<[^"\']{1,300}["\']\\);\\}\\}\\}\\s*\\?>', '\\A\\s*<\\?php[ ]{100,1000}/\\*[^\\*]{1,40}\\*/\\s*\\$\\w{1,40}\\s*=\\s*\\d+;\\s*if[^\\>]{3000,4000}\\s*\\$[I1l]{1,12}\\s*=\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\);\\s*\\$[I1l]{1,12}\\([\'"]/[I1l]{1,12}/\\w[\'"],\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\),\\s*"[I1l]{1,12}[\'"]\\s*\\);\\s*\\};\\s*\\?><\\?php', '\\A\\s*<\\?php\\s+(?:Error_Reporting\\(0\\);)?\\s*\\$\\w{1,40}=[\'"][^\'"]{7000,8000}[\'"];\\s*preg_replace\\([\'"]/\\.\\*/e[\'"],[\'"][^"\']{1,120}[\'"][^\'"]{1100,1600}[\'"][^\'"]{1,40}[\'"],[\'"]\\.[\'"]\\);\\s*return;\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"e/\\*\\./";\\s*preg_replace\\(strrev\\(\\1\\),"[^"]{2000,12000}","\\."\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\{[\'"][^`]{500,2000}\\?>[""];file_put_contents\\([\'"][^\'"]{1,20}\\.php[\'"],\\$\\{\\$\\{[""][^\'"]{1,40}[""]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>', '<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}(\\$\\w{1,40})=base64_decode\\(\\$\\{\\$\\w{1,40}\\}\\[\\d+\\]\\);(\\$\\w{1,40})=create_function\\(\\s*[\'"][\'"],\\1\\);\\2\\(\\);\\}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*isset\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{4000,5500}\\)\\);\\s*\\}\\s*\\}\\s*\\}(?:\\s*\\/\\/[^/]{1,40}){3}\\s*\\?><\\?php', '(\\$\\w{1,40})\\s*=\\s*range\\(\\s*\\d+,\\s*\\d+\\s*\\);\\s*(\\$\\w{1,40})\\s*=(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10};\\s*\\2\\s*\\(\\s*\\$\\{\\s*(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10}\\s*\\}\\[\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\]\\s*\\);\\s*(?:\\?>)\\s*\\Z', '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w{1,40}[\'"]\\s*\\])\\s*\\)\\s*\\)\\s*@?(system|exec|passthru|shell_exec|popen)\\s*\\(\\s*\\1\\s*\\s*\\)\\s*;\\s*\\?>', 'error_reporting\\(0\\);\\s*\\$strings = "as";.+?\\)\\);\'\\)\\);', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?\\s*\\w{1,40}\\s*[\'"]?\\s*\\]\\s*\\)?\\s*\\)\\s*;?\\s*(?:\\?>)?\\s*\\Z', '\\$auth_pass="\\w{32}";\\s*function\\s+\\w{2,30}\\(\\$\\w{2,30}\\)\\s*{\\s*\\$YM\\s*=\\s*\\d+;.+"\\)\\)\\);', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);.+x[a-fA-F0-9]+"\\)\\)\\);\\s*}', '//\\#\\#\\#=CACHES START=\\#\\#\\#\\s*error_reporting\\(0\\);\\s*assert_options\\(ASSERT_ACTIVE\\s*,\\s*1\\);\\s*.+//\\#\\#\\#=CACHES END=\\#\\#\\#', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*.+die\\(\\$\\w{2,30}\\);\\s*}\\s*}\\s*}', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){3,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*include_once\\(\\s*\\$\\w{1,30}\\s*\\);', 'if\\s*\\(\\s*\\$_REQUEST\\[\\s*[\'"]\\w{1,20}[\'"]\\s*\\]\\s*\\)\\s*{\\s*//\\s*debug\\s*message.+?preg_replace\\("/\\w{1,30}/e", "[eval\'"\\.]+\\s*\\(\'"\\.\\$_REQUEST\\[[\'"]\\w{1,20}[\'"]\\]\\."\'\\)"\\s*,\\s*[\'"].+?[\'"]\\s*\\);', '//\\#\\#\\#====\\#\\#\\#\\s*@error_reporting\\(E_ALL\\);\\s*@ini_set\\(["\']error_log["\'],NULL\\);.+?\\"\\)\\);\'\\);\\s*\\$\\w{1,20}\\(\\$\\w{1,20}\\);\\s*//\\#\\#\\#====\\#\\#\\#', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\)\\s*{\\s*\\$\\w{1,30}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\'\\w{1,30}\'\\]\\s*;\\s*\\$\\w{1,30}\\s*=\\s*fopen\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\s*,\\s*\'w\\+\'\\)\\s*;\\s*fwrite\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*}', '(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+"\\s*;\\s*(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+";.+?\\)\\)\\).(\\1\\(\\2\\(){3,}.+\\1\\(\\2\\("[\\\\xa-zA-Z0-9]+"\\)\\)\\);\\s*}', 'add_action\\(\\s*\'wp_head\',\\s*\'(\\w+)\'\\s*\\);\\s*function\\s*\\1\\(\\)\\s*{\\s*if\\s*\\(\\s*\\$_GET\\[\'\\w+\'\\]\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\( !username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$(\\w+)\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$(\\w+)\\s*=\\s*new\\s*WP_User\\(\\s*\\$\\2\\s*\\);\\s*\\$\\3->set_role\\(\\s*\'administrator\'\\s*\\);\\s*}\\s*}\\s*}', '<\\?php\\s*function\\s*_verifyactivate_widgets\\(\\)\\{.*?}\\s*function\\s*_get_allwidgets_cont\\(\\$\\w+,\\$\\w+=array\\(\\)\\){.*?}\\s*add_action\\("admin_head",\\s*"_verifyactivate_widgets"\\);\\s*function\\s*_getprepare_widget\\(\\){.*?}\\s*add_action\\("init",\\s*"_getprepare_widget"\\);\\s*.*?\\?>', 'if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\s*&&\\s*\\(md5\\(\\$_POST\\[\'\\w+\'\\]\\)\\s*==\\s*\'[0-9a-f]{32}\'\\)\\)\\s*{\\s*\\$security_code\\s*=\\s*\\(empty\\(\\$_POST\\[\'security_code\'\\]\\)\\)\\s*\\?\\s*\'\\.\'\\s*:\\s*\\$_POST\\[\'security_code\'\\];\\s*\\$security_code\\s*=\\s*rtrim\\(\\$security_code,\\s*"/"\\);\\s*@move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\],\\s*\\$security_code\\."/"\\.\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\s*\\?\\s*print "<b>Message sent!</b><br/>"\\s*:\\s*print\\s*"<b>Error!</b><br/>";\\s*}\\s*print\\s*\'<html>\\s*<head>[^\']*\';(//\\d+)?', 'if\\s*\\(isset\\(\\$_GET\\[\'\\w+\'\\]\\)\\)\\s*{\\s*header\\(\\s*\'Content-Type: image/jpeg\'\\s*\\);\\s*readfile\\(\'[^\']+\'\\);\\s*exit\\(\\);\\s*}\\s*header\\(\'Location: [^\']+\'\\);\\s*exit\\(\\);', '(if\\s*\\(@\\$_GET\\[\'\\w+\'\\]==\\d+\\)\\s*{exit\\(\'\\d+\'\\);})\\s*if\\s*\\(!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\s*&&\\s*!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\)\\s*{\\s*if\\s*\\(!\\$(\\w+)\\s*=\\s*fopen\\(\\$_GET\\[\'\\2\'\\],\\s*\'a\'\\)\\)\\s*{exit;}\\s*if\\s*\\(fwrite\\(\\$\\4,\\s*file_get_contents\\(\\$_GET\\[\'\\3\'\\]\\)\\)\\s*===\\s*FALSE\\)\\s*{exit;}\\s*fclose\\(\\$\\4\\);\\s*exit\\(\'OK\'\\);\\s*}', 'if\\(!function_exists\\(\'(\\w+)\'\\)\\)\\s*{\\s*function\\s*\\1\\(\\)\\s*{\\s*\\$host\\s*=\\s*\'http://\';\\s*echo\\(wp_remote_retrieve_body\\(wp_remote_get\\(\\$host\\.\'ui\'\\.\'jquery\\.org/jquery-1\\.6\\.3\\.min\\.js\'\\)\\)\\);\\s*}\\s*add_action\\(\'wp_footer\',\\s*\'\\1\'\\);\\s*}', 'if\\s*\\(stristr\\(\\$_SERVER\\[\'HTTP_USER_AGENT\'\\],\\s*\'(google|yandex)\'\\)\\)\\s*\\{echo\\s*\\("<a href=\'[\\w/]+\' ?(style=\'[^\']+\')>\\w+</a>\\s*<br>"\\);}\\s*@?include\\(\\$_REQUEST\\[\'\\w+\'\\]\\);', 'function\\s*error_handler\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*,\\s*array\\s*\\(\\s*[\'"][\'"]\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\s*\\(\\s*[\'"]error_handler[\'"]\\s*\\)\\s*;', 'array_map\\s*\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\)\\s*\\)\\s*{\\$\\w+\\s*=\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']\\w+["\']\\s*,\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\)\\s*;\\s*}', '@?array\\s*\\(\\s*\\(\\s*string\\s*\\)\\s*stripslashes\\s*\\(base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*=>2\\s*\\),\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\);', '\\$PASS=".{32}";\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*array\\(\\);\\s*\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*=\\s*0;\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);.+?eval\\(\\w+\\(\\$_\\w+\\("[^"]+"\\)\\)\\);', '@?error_reporting\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*if\\s*\\(count\\(\\$_POST\\)\\s*<\\s*2\\)\\s*{\\s*die\\(PHP_OS.+\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);\\s*\\$\\w+\\+\\+\\)\\s*\\$\\w+\\s*\\.=\\s*chr\\(ord\\(\\$\\w+\\[\\$\\w+\\]\\)\\s*\\^\\s*2\\);\\s*return\\s*\\$\\w+;\\s*}', '\\$hash\\s*=\\s*"\\w+";//\\w+\\s*\\$search\\s*=\\s*\'\';.+?\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)", \\$search\\."\\.@"\\.\\$wp_file_descriptions\\[\'\\w+\\.css\'\\]\\);', '\\$\\w{1,40}\\s*=\\s*str_ireplace\\("\\w+"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*"[^"]+"\\s*;\\s*function\\s*\\w+\\(\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\(.+?;user_error\\(\\$ugsceyysfy,E_USER_ERROR\\);', '\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$[O0]+=urldecode\\("[^"]+"\\);\\$\\w+=\\$\\w+\\{\\d+\\}.+?KSkpOw=="\\)\\);\\s*\\?>', '<\\?php\\s*eval\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*chr\\(\\d+\\)\\s*\\]\\s*\\)\\;\\s*\\?>', 'echo\\(\'<form\\s+method="post"\\s*enctype="multipart/form-data"><b>UPLOAD FILE:</b>\\s*<input type="file" size="25" name="upload"><br><b>FILE NAME:</b> <input type="text" name="filename" size="25"> <input type="submit" value="UPLOAD"></form>\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'upload\'\\]\\)\\s*and\\s*isset\\(\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*if\\(copy\\(\\$_FILES\\[\'upload\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*echo\\(\'[^\']+\'\\.\\$_POST\\[\'filename\'\\]\\);\\s*}\\s*else\\s*{\\s*echo\\(\'[^\']+\'\\);\\s*}\\s*}', '\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\$_SERVER;\\s*function\\s+\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*"";\\s*global\\s*\\$\\w+;\\s*for\\(\\$\\w+=intval\\(\'\\w+\'\\);.+?\\${\\w+\\([^}]+}\\s*\\s*=\\s*@?\\${\\w+\\([^}]+}\\(\\$\\w+,\\s*FALSE,\\s*\\${\\w+\\([^}]+}\\);\\s*return\\s*\\${\\w+\\(\\s*[^}]+};\\s*}', '\\$\\w{1,40}="\\s*";\\$\\w=substr\\(0,1\\);for\\(\\$i=0;\\$i<\\d+;\\$i=\\$i\\+\\d+\\)\\s*{\\$\\w+\\.=chr\\(bindec\\(str_replace\\(chr\\(9\\),1,str_replace\\(chr\\(32\\),0,substr\\(\\$d,\\$i,\\d+\\)\\)\\)\\)\\);}eval\\(\\$s\\);', '<\\?php\\s*\\$([a-zA-Z0-9-_]+)=base64_decode\\("[^"]+"\\);\\s*eval\\(\\s*"return\\s*eval\\(\\\\"\\$\\1\\\\"\\s*\\);\\s*"\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\\d{1,10};\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\);\\s*global\\s*\\$\\w{1,30}\\s*;\\s*\\$\\w{1,30}\\s*=\\s*\\$GLOBALS;\\s*\\$\\{".{5000,25000}eval(?:\\s*/\\*[^*]{1,50}\\*/)?\\s*\\(\\s*\\$\\w{1,30}\\[\\s*\\$\\w{1,30}\\[\\s*\'\\w{1,30}\'\\s*\\]\\[\\s*\\d+\\s*\\]\\s*\\]\\s*\\);\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}+', 'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\)\\s*{\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\s*\\)\\s*;\\s*}', 'function\\s*fs_login_session\\s*\\(\\)\\s*{\\s*session_start\\(\\);\\s*\\$_SESSION\\[\'login\'\\]=rand\\(\\d+,\\d+\\);\\s*\\$_SESSION\\[\'wall\'\\]\\s*=\\s*rand\\(\\d+,\\d+\\);\\s*\\$type\\s*=\\s*rand\\(\\d+,\\d+\\);', '(\\$\\w{1,40}\\[chr\\(\\d+\\)\\]\\(\\w+\\("[a-zA-Z0-9_/=]+"\\)\\);\\s?){3,}\\s*if\\s*\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*\\|\\|\\s*isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*OR\\s*strpos\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\)\\s*{', '<\\?php\\s*\\$\\w+\\s*=\\s*"[base64_decode".\\s]+";\\s*assert\\(\\$\\w+\\(\'[^\']+\'\\)\\);\\s*\\?>', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\'\',\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\$\\w+="[^"]+";if\\(isset\\(\\$_POST\\["[^"]+"]\\)\\)\\${\\${"[^"]+"}\\["[^"]+"\\]}=base64_decode.+?else{echo"[^"]+";exit;}if\\(mail\\(\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]}\\)\\)echo"[^"]+";else echo"[^"]+";', '\\$app=JFactory::getApplication\\(\\);\\s*\\$option5=\\$app.+\\(\\$layout5==\'default\'\\)\\){echo\\s*base64_decode\\(\'[^\']+\'\\);\\s*}', 'print\\s*\'<form\\s*enctype=multipart/form-data\\s*method=post><input\\s*name=\\w+\\s*type=file><input\\s*type=submit\\s*name=g>\\s*</form>\';\\s*if\\(\\s*isset\\(\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*{\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*\\)\\s*\\)\\s*{\\s*@?copy\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\);\\s*}\\s*}\\s*exit;', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?else{echo"<b>\\w+";}}}', '\\$hostname = gethostbyaddr\\(\\$_SERVER\\[\'REMOTE_ADDR\'\\]\\);\\s*\\$blocked_words = array\\([^)]+\\);\\s*foreach\\(\\$blocked_words as \\$word\\)\\s*{.+!==\\s*false\\) {\\s*header\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\);\\s*exit;\\s*}', '\\$\\w{1,40}=strrev\\(\'edoced_46esab\'\\);\\$\\w+=gzinflate\\(\\$\\w+\\(\'[^\']+\'\\)\\);create_function\\(\'\',"}\\$\\w+//"\\);', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?echo\\s*\\$subject;', '<\\?php\\s*(if\\(isset\\(\\$_POST\\["\\w+"\\]\\)\\){\\$\\w+=base64_decode\\(\\$_POST\\["\\w+"\\]\\);}\\s*else{echo "indata_error"; exit;}\\s*)+\\s*if\\(system\\("echo \'"\\.\\$MessageBody\\."\' \\| mail -s \'"\\.\\$MessageSubject\\."\' "\\.\\$MailTo\\.""\\)\\){\\s*echo "sent_ok";\\s*}\\s*else{echo "sent_error";}', '\\${"[^"]+"}\\["[^"]+"]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";(\\$\\w+="[^"]+";){2,}\\${\\$\\w+}.+"\\)\\);return;', '@(require|include)_once\\(("[^"]*"\\s*\\.?\\s*|chr\\(\\d+\\)\\s*\\.?\\s*){10,}\\);', '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\\$_REQUEST\\[\\1\\(\\d+\\)\\],\\1\\(\\d+\\)\\);exit;}(/\\*\\w+\\*/)?}', '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\'eval;\\3\',\\s*\'params\':\\s*\\[\'\\3\'\\]}', '<\\?php\\s*\\$(\\w+)\\s*=\\s*base64_decode\\("[^"]+"\\);\\s+eval\\("return\\s+eval\\(\\\\"\\$\\1\\\\"\\);"\\)\\s+\\?>', '\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,\\d+,strpos\\(\\$absolutepath,\\$localpath\\)\\);\\$\\w+=\\$root_path\\.\'/\\w.+touch\\(dirname\\(\\$\\w+\\)\\s*,\\s*time\\(\\)\\s*-\\s*mt_rand\\(\\d+\\*\\d+\\*\\d+\\*\\d+, \\d+\\*\\d+\\*\\d+\\*\\d+\\)\\);\\s*}', 'error_reporting\\(0\\);\\s*eval\\("if\\s*\\(\\s*isset\\(\\s*\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\s*&&\\s*\\(md5\\(\\\\\\$_REQUEST\\[[\'"]ch[\'"]\\]\\)\\s*==\\s*[\'"]\\w+[\'"]\\s*\\)\\s*&&\\s*isset\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\)\\s*{\\s*eval\\(stripslashes\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\);\\s*exit\\(\\);\\s*}"\\s*\\);', '(\\$\\w+)=[preg_replace\'.\\s]+;\\s*(\\$\\w+)\\s*=.*?\\1\\(["\']\\2["\']\\s*,.*?,\\s*["\']\\w+["\']\\);', 'error_reporting\\(0\\);@?ini_set\\(["\']display_errors["\']\\s*,\\s*0\\);\\$var=\\s*\\$_SERVER\\[["\']PHP_SELF["\']\\]\\."\\?";\\$form\\s*=["\']<form\\s*enctype="multipart/form-data"\\s*action=["\']["\']\\.\\$var\\.["\']["\']\\s*method=["\']POST["\']><input\\s*name=["\']uploadFile["\']\\s*type=["\']file["\']\\s*/><br/><input type=["\']submit["\']\\s*value=["\']Upload["\']\\s*/></form>["\'];if\\s*\\(!empty\\(\\$_FILES\\[["\']uploadFile["\']\\]\\)\\)\\s*{\\$self=dirname\\(__FILE__\\);move_uploaded_file\\(\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']tmp_name["\']\\]\\s*,\\s*\\$self\\.DIRECTORY_SEPARATOR\\.\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']name["\']\\]\\);\\$time\\s*=\\s*filemtime\\(\\$self\\);print\\s*["\']OK["\'];\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}', '\\$localpath\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$absolutepath\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$root_path\\s*=\\s*substr\\(\\$absolutepath,\\s*0,\\s*strpos\\(\\$absolutepath, \\$localpath\\)\\);\\s*\\$xml\\s*=\\s*\\$root_path\\s*\\.\\s*\'/xm1rpc\\.php\'.*?\\$chr1\\s*=\\s*\\$chr2\\s*=\\s*\\$chr3 =\\s*"";\\s*\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*\\s*strlen\\(\\$input\\)\\);\\s*return\\s*\\$output;\\s*}', '\\A\\s*(<\\?php\\s)\\s{50,}(\\/(?:\\*|/)[^\\n/]{1,40}(?:\\n|/))\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\(]{1,40}\\([^\\)]{10000,}\\)\\s*\\)[^\\n]{1,40};\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*\\2', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\?]{1,200}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*if\\s*\\(\\s*[^\\w]?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\}]{40,200}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\\\\\'"\\s\\.aceglpr_]{12,80}\\s*;\\s*@?\\1\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[^\\}]{1,40}\\s*\\}\\s*(?:\\?>|\\Z)', 'if\\(isset\\(\\$_REQUEST\\[\'?\\w{1,40}\'?\\]\\)\\)\\s*assert\\(stripslashes\\(\\$_REQUEST\\[\\w{1,40}]\\)\\);', '<\\?(?:php)?\\s*if\\s*\\(\\s*realpath\\s*\\(\\s*\\$_SERVER\\[[\'"]?SCRIPT_FILENAME[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*__FILE__\\s*\\)\\s*\\{\\s*echo\\s*\\(?[\'"][^\\(]{0,39}php_uname\\(\\s*\\)[^\\(]{40,250}\\s*if\\s*\\(\\s*\\$_POST\\[[^\\}]{20,250}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*echo\\s*[^;]{1,40}\\s*;(?:\\s*\\}\\s*){3}\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*\\);\\s*\\2\\(\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("PD9waHAgDQovL0xPRw0K[^"]{3000,4000}"\\)\\s*\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*@?md5\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', 'error_reporting\\((?:0|false)\\);\\s*if\\s*\\(\\s*eregi\\s*\\(\\s*[\'"]mainlink\\|\\w{1,40}[\'"],\\s*@?\\$_SERVER\\[[\'"]HTTP_REFERER[\'"]\\]\\s*\\)\\s*&&\\s*!\\$_COOKIE\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\s*\\{\\s*@?setcookie\\(\\s*[\'"]\\1[\'"],\\s*[\'"](\\w{1,40})[\'"]\\s*\\);\\s*\\}', '/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*[^\\?]{700,1500}/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*function\\s*fiy\\(\\)\\s*\\{\\s*linnk\\(\\);\\s*\\}\\s*(\\?>)\\s*\\Z', '(<\\?php)\\s*[^\\[]{0,99}\\s*foreach\\(\\s*\\[(?:,?\\d+){1,9}\\]\\s*as\\s*(\\$\\w{1,40})\\s*\\)[^\\?]{800,1500}\\2\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"\\s\\.creat_funio]{15,200}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*[\'"]{2},\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\);\\s*\\3\\(\\);\\s*(?:exit\\(\\s*\\);)?\\s*\\}', '<\\?(?:php)?\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://[^\\)]{3,}\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\$wp_\\w{1,9})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_FILES\\[[\'"](wp_\\w{1,9})[\'"]\\]\\)\\)\\s*\\{\\s*\\$wp_\\w{1,40}\\s*=\\s*basename\\(\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\\$]{1,40}\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],\\s*\\1([^\\?]{200,300})\\?path\\s*=\\s*\\1[^\\;]{1,200};', '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){1,5};\\s*){1,5}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*[\'"][^\'"]{14000,16000}[\'"]\\s*\\)\\s*\\);\\s*echo\\s*[\'"]\\{\\s*\\$\\{\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\}\\s*\\}[\'"];\\s*(?:\\?>|\\Z)', '\\$\\w{1,40}\\s*=\\s*\\$_COOKIE;\\s*\\$[a-z]+\\s*=\\s*\\$[a-z]+\\[\\s*[a-z]+\\s*\\];\\s*if.+?\\$[a-z]+\\(\\s*\\)\\s*;\\s*}', '<\\?(?:php)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{30000,}[\'"];\\s*[^\\%]+%\\d+\\)\\s*\\)\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*@?gzinflate[^\\{]{40,100}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"]\\$\\w{1,40}[\'"],\\1\\);\\s*\\2\\([\'"][^\'"]{40,99}[\'"]\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\("\\?>"\\s*\\.\\s*base64_decode\\("[^"]{15000,}"\\)\\s*\\);\\s*\\?>\\s*(<\\?php\\s+\\/)', '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("(PD9waHANCiAgICRkaXppbj|PD9waHANCi8vPCEt)[^"]{99,999}"\\)\\s*\\);\\s*\\?>', '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\((\\s*\\$\\w+\\[\\s*\\d+\\s*]\\s*\\.?)+\\)\\s*;\\s*if\\s*\\(\\s*isset[^\\{]+\\{\\s*eval\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}', 'function\\s*\\w{1,40}\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{0,39}[\'"];\\s*(\\$\\w{1,40})\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*new\\s*MLClient\\(\\2\\);\\s*[^\\?]{1,600}\\}\\s*else\\s*\\{\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{0,39}[\'"];\\s*\\}\\s*return\\s*\\1;\\s*\\}\\s*(\\?>)\\Z', '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev|urldecode)\\s*\\(){0,5}\\s*[\'"][^\'"]{15,600}jHlWmpGf0vFDI1gBalH[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*"\\?>"\\s*\\.\\s*base64_decode\\("PD9w[^"]{100,}"\\)\\);\\s*\\?>\\s*(<(?:!DOCTYPE)?\\s*html>|<\\?php\\s*/\\*\\*)', '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"][^\'"]{1,40}[\'"]\\)?\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,20}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,150}[\'"];)?\\s*if\\s*\\(\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)\\]\\s*[^\\w]{1,2}=[^`]{200,600}\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '(;)\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);\\s*/(?:/|\\*)[\'"]\\);', '<SCRIPT\\s+Language\\s*=\\s*VBScript\\s*>\\s*(?:<!--)?\\s*DropFileName\\s*=\\s*[\'"]svchost\\.exe[\'"]\\s*WriteData\\s*=\\s*[\'"][^\\?]{64000,}</SCRIPT>\\s*(?:<!--[^\\r]{1,615})?', '\\A\\s*<\\?php\\s*\\$[0O_]{1,40}\\s*=[^`]{36000,38000};@?eval\\((\\$[0O_]{1,40})\\);unset\\(\\1,\\$url_format,\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'\']{1,60}[\'"]\\}\\[[\'"][^\'\']{1,60}[\'"]\\]\\(\\);\\?>', 'if\\s*\\(\\s*filesize\\s*\\(\\s*(MAGENTO_ROOT)\\s*\\.\\s*[\'"]/includes/config\\.php[\'"]\\)\\s*!=\\s*\\d+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\([^\\$]{1,400}copy\\(\\s*\\3\\s*\\.\\s*[^,]{1,40}\\s*,\\s*\\1[^\\}]{1,400}\\s*\\}', '\\$ip\\w{0,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\`]{200,600}\\s*magento[^\\?]{1,1500}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\1\\s*\\);', '<\\?php\\s*@?(?:include|include_once|require)\\(\\s*[^;\\?]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|key)[\'"]\\s*\\);\\s*\\?>', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][^`]{25000,35000}(\\$\\w{1,40})\\s*=\\s*["\'\\.strev\\s]{10,40};\\s*@?eval[^\\(]{0,9}\\(\\s*\\2\\s*\\(\\s*@?preg_replace\\s*\\(\\s*[^,]{1,40}\\s*,\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)if\\s*\\(?\\s*empty\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\)\\s*\\)?\\s*\\{\\s*@?mail\\s*\\(\\s*base64_decode\\(\\s*[\'"]\\w{1,40}[\'"]\\s*\\),\\s*[\'"][^\'"]{0,40}Shell[^\'"]{0,40}[\'"]\\s*\\.\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*\\.\\s*[^\\}]{1,200}\\s*\\}', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGRvICA9ICRfR0VUWydkbyddOw0KaWYoJGRvPT0gJ2l0Jyl7DQokZG9zaGVsbC[^\'"]{500,1000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*[^\\$]{1,99}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{300,600}\\s*(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\s*\\.?\\s*){5,10};\\s*\\$\\w{1,5}\\(\\s*(\\$\\w{1,5}),\\$\\w{1,5}\\s*\\.\\s*\\$\\w{1,5}\\(\\$\\w{1,5}\\)\\);\\s*include\\(\\2\\);\\s*\\1\\(\\2\\);\\s*\\}\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\s*[\'"]\\s*\\.\\s*base64_decode\\([\'"][^\'"]{50000,}[\'"]\\s*\\)\\s*\\);\\s*(\\?>|\\Z)', '<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]{1,3000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*&&\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\2[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\);\\s*(?:exit;)?\\s*\\}\\s*\\?>', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*;\\s*(\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*exit;\\s*\\}\\s*\\?>', '(\\*/)\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\[]{1,200}<form[^;]{1,400}</form>";\\s*if\\s*\\(\\s*[^\\{]{1,400}\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*[^{]{1,400}\\s*\\{[^\\}]{1,400}\\s*\\}\\s*\\}\\s*exit;\\s*\\}', '(\\$\\w{1,40})\\s*=\\s*MAGENTO_ROOT\\s*\\.\\s*[\'"]/includes/config\\.php[\'"];\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\1\\)\\s*&&\\s*\\(\\s*filesize\\(\\1\\)\\s*==\\s*\\d+\\)\\s*\\)\\s*\\{\\s*include\\s*\\1;\\s*\\}\\s*else\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*[^\\?]{1,600}\\s*\\1;\\s*\\}', '\\A\\s*<\\?php\\s+[^\\(]{1,40}php_uname\\(\\)[^\\$]{1,400}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php echo\\s*\'[^\']+\';@preg_replace\\(\'/\\[\\w+\\]/e\',\\$_REQUEST\\[\'\\w+\'\\],\'error\'\\);\\?>', '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"]\\s*<form\\s*[^>]{1,49}\\s*method\\s*=\\s*[\'"]post[\'"][^\\$]{100,200}\\s*if\\s*\\(\\s*@?\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,99}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^\\?]{1,200}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s+(\\$btt)\\s*=[^\\?]{200,400}\\s*if\\s*\\(\\s*!is_user_logged_in\\(\\)\\s*[^\\w]{1,3}\\s*get_option\\s*\\(\\s*[\'"]ame_ip[\'"]\\s*\\)\\s*[^\\w]{1,3}\\s*\\$ip\\s*&&\\s*\\1\\s*[^\\w]{1,3}\\s*(?:false|0)\\s*\\)\\s*\\{[^\\}]{1,99}\\}\\s*\\?>', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)(?:\\s*==\\s*[\'"]\\w{1,40}[\'"])?\\s*\\)?\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\1\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password[^\\?]{1000,4000}?(?:WP_V\\w?CD|WP_CD)\\s*[\'"]\\s*;\\s*\\}\\s*die\\([\'"]?[\'"]{0,39}[\'"]?\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!@?(\\$\\w{1,40})\\s*!=\\s*false\\s*\\|\\|\\s*!@?\\1\\s*!=\\s*null\\s*\\)\\s*[^j]{5000,6000}\\s*file_put_contents\\([^,]{9,99},\\$[li]{1,40}\\)\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\}\\s*\\?>', '//\\w{1,40}\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[^\\)]{400,1700},\\s*[\'"]\\.[\'"]\\);\\s*//\\w{1,40}', '@preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){11,40}[\'"]\\s*,\\s*[\'"]\\\\(x65|145)\\\\(x76|166)\\\\(x61|141)\\\\(x6c|154)(?:\\\\\\w{2,3}){80,99}[\'"]\\s*,\\s*[\'"](?:\\\\\\w{2,3}){99,110}[\'"]\\);', '\\A\\s*<\\?php\\s+\\$[O_0]{1,40}\\s*=[^`]{21000,27000}\\$[O_0]{1,40}\\.\\$[O_0]{1,40},\\$[O_0]{1,40}\\);\\}[\'"]\\);\\$\\{[\'"][^\'"]{27,29}[\'"]\\}\\[[\'"](?:\\\\x4f|\\\\x30|\\\\x5f|117|060|137){1,40}[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:/\\*[^\\*]{0,39}\\*/)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmKGZ1bmN0aW9uX2V4aXN0cygnb2Jfc3RhcnQ[^\'"]{2500,2700}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]http(s)[^"\']*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(\\?>)?', '<\\?php\\s*header\\s*\\(\\s*"Cache-Control:[^"]*"\\s*\\)\\s*;.{1,1000}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\|\\|preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*4\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+"\\s*;\\s*\\$\\w{1,40}=@?\\$\\w{1,40}\\(.+?\\)\\s*;\\s*@?\\$\\w{1,40}\\(\\s*"[^"]+"\\);', '\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"c[^;]+;\\$\\w{1,40}=@\\$\\w{1,40}\\([^@]+@\\$\\w{1,40}\\("[^"]{2000,}"\\s*,\\s*\\$\\w+\\);', '<\\?php\\s*\\#\\d{1,32}\\#\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"<script.{10,200}?"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\#/\\d{1,32}\\#\\s*\\?>\\s*', 'error_reporting\\(0\\).{100,1000}?sprintf\\("%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\("\\s*"\\s*\\s*,\\s*\\$\\w{1,40}\\([^)]{1,300}\\)\\);\\s*\\$\\w{1,40}\\(\\s*\\);', '\\$droot=\\$_SERVER\\[\'DOCUMENT_ROOT\'\\];\\s*\\$link="<\\?php\\s*setcookie.{500,}?unlink\\(\\s*\\$path\\s*\\.\\s*"/footer\\.php"\\s*\\);\\s*rmdir\\s*\\(\\s*\\$path\\s*\\);', 'if\\(!empty\\(\\$_COOKIE\\[_\\w{1,40}\\(\\d+\\)\\]\\)\\)\\s*die.{2000,5000}?\\{\\s*eval\\(\\$GLOBALS\\[\'_\\w{1,40}_\'\\]\\[\\d+\\]\\(\\$_REQUEST\\["\\w{1,40}"\\]\\)\\)\\s*;\\s*}\\s*\\}\\s*//\\#\\#\\#=\\#\\#\\#', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\s*\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$GLOBALS.{4000,}?\\$\\w{1,40}\\s*\\[\\d+\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*(\\$\\w{1,40}\\{\\s*\\d+\\s*\\}\\s*\\.\\s*)+\'.{1,300}?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\(\\s*\\)\\;', '@?error_reporting\\(0\\);@?(?:include|include_once)\\(urldecode\\("%[^"]{2,200}"\\)\\);', '\\$_S=".{3000,20000}\\);\\$\\w{1,40}=strrev\\([^)]+\\)[^(]+\\("[^)]+\\);\\$\\w{1,40}=\\$\\w{1,40}\\(\'\\$_S\',\\$_X\\);\\$\\w{1,40}\\(\\$_S\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{["\']_(?:GE|PO|CO|SE|RE)[^)]+\\}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\s*\\{[^)]+\\}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*\'Submit\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*\\$filedir\\s*=\\s*""\\s*;\\s*\\$maxfile\\s*=\\s*\'\\d+\';\\s*\\$userfile_name\\s*=\\s*\\$_FILES\\[\'image\'\\]\\[\'name\'\\];.{300,}?Submit" value="Submit"></form>\';\\s*}', 'echo\\s*\\(\\s*php_logo_guid\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*fl\\s*\\]\\s*\\[\\s*[^]]+\\]\\s*,\\s*\'[^\']+\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^;]+;\\s*@\\$\\s*\\{\\s*a\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\'.{500,6000}\';\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']+\'\\s*,\\s*\'\'\\s*,[^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\$\\w{1,40}\\s*\\(\\);', '<\\?php\\s*(?:eval\\((?:\\$\\w{1,40}\\(){1,3}"[^"]+"\\){1,3};\\s*){4,}', '\\$\\w{1,40}=\'[^;]+;\\$\\w{1,40}=(?:\\$\\w{1,40}\\[\\d+\\]\\.?){4,};if\\(isset\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\){eval\\(\\$\\w{1,40}\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+\\}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\);\\}', '<\\?php\\s*function\\s*strcode\\(\\$str\\s*,\\s*\\$passw=""\\)\\s*{\\s*\\$salt.+?lmp_client\\(strcode\\(base64_decode\\("[^"]{1,100}"\\)\\s*,\\s*\'\\w{1,100}\'\\)\\);\\s*\\?>', '(?:include|include_once)\\s*(?:\\(\\s*)?["\']\\\\x2f(?:ho|va).{1,200}(php|jpg|png|txt|jpeg)["\']\\s*(?:\\)\\s*)?;', 'if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\).{5000,}?@file_get_contents_tcurl\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*stripos\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*phpinfo\\s*\\(\\s*\\)\\s*;\\s*\\}', '<script\\s*language\\s*="php"\\s*>\\s*\\$\\w{1,40}\\s*=\\s*.{1,1000}\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;\\s*<\\s*/script\\s*>', 'if\\s*\\(\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==["\'][^\'"]{0,500}["]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*.{0,8000}\\$\\w{1,40}\\s*=\\s*new\\s*OneG\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*(?://debug\\s*message\\s*)?echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_GET\\[[\\s\\.\\w\']+]\\s*\\)\\s*\\)\\s*{\\s*copy\\s*\\([^)]+\\)\\s*;\\s*exit;\\s*}\\s*\\?>', 'eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*;', '(?:include_once|include|require|require_once)\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'/bitrix/[^\']*\\.(?:gif|jpg|jpeg|png|ico)\'\\s*\\)\\s*;', 'if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</body>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</html>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*"[^"]*"\\s*\\.\\s*@\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};', '<\\?php\\s*(?:\\$\\w{1,30}\\s*=[^;]+;\\s*){2,}error_reporting\\(0\\);\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(.+echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\$_GET\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*switch\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*case\\s*"[^"]*":\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*break\\s*;\\s*\\}\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*ord\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?>', '<\\?php\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,3}@eval\\(.{12000,14000}\\)\\)\\s*;\\s*/\\*,\\*/', '\\$rq\\s*=\\s*\\$_GET;\\s*\\$sid\\s*=\\s*"\\w+";.{2000,3000}?echo\\s*"<a\\s*href=\\\\\\\'\\$link\\\\\\\'>\\$name</a><br>";\\s*}\\s*}\\s*}', '<\\?\\s*((if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*copy\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*(print|echo)\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\})){2,}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*/\\*[^*]+\\*/\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*if\\s*\\(\\s*\\$_REQUEST\\["array.{10,300}is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"(?:true|ok|1)"\\s*;\\s*\\}(?:\\s*\\?>)?', '<\\?php\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*ASSERT_WARNING\\s*;\\s*.{1000,8000}\\)\\s*\\);\'\\s*\\);\\s*\\$\\w+\\(\\$\\w+\\);\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'.{300,2000}switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case\\s*\'upload\':\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*break\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}', '\\$(\\w{1,40})\\s*=[^;]+;\\s*\\$\\1\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE)\\s*\\[[^]]+\\]\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="create_function"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$server\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).{100,300}exec\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*substr_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*1\\s*\\)\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}', '<\\?php.{7100,9000}if\\s*\\(\\$\\w{1,10}\\s*->\\s*is_robots\\(\\)\\)\\s*\\{\\s*\\$\\w{1,10}\\s*\\[\\s*\'cache_code\'\\s*\\]\\s*=\\s*\\$\\w{1,10}\\s*->\\s*code\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*//\\s*\\w{300,}\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'preg_replace\\s*\\(\\s*[\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;', '\\(\\s*\\$(\\w{1,40}\\s*)=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*@?preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*(\'[^\']*\'\\s*\\.\\s*)?str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*,\\s*\'\\w+\'\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*imagecreatefrompng\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*imagepng\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*imagedestroy\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\'blink\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{.+fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*){2,}\\$\\w+\\(\\$\\w+\\([^)]+\\)\\s*\\)\\s*;\\s*}', '<\\?php\\s*@ini_set\\(\'display_errors\'\\s*,\\s*\'0\'\\);\\s*error_reporting\\(0\\);\\s*if\\s*\\(!\\$npDcheckClassBgp\\)\\s*{.+include\\("{\\$eb}\\.\\$algo"\\);\\s*unlink\\("{\\$eb}\\.\\$algo"\\);\\s*\\$npDcheckClassBgp = \'aue\';\\s*}\\s*\\?>', '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*unlink\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*(\\?>)', '<\\?php\\s*function\\s*get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"].{1,200}[\'"];\\s*){2,}\\$\\w{1,40}\\s*=.{1,1000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+(\\$\\$\\w{1,40}\\s*=\\s*[^;]+;.+?$\\s*)+(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\([^)]+\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*=\\s*["\'][^"\']*["\']\\s*;\\s*(//\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*pass\\s*\\))?\\s*\\)\\s*\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([^;]+;\'\\);\\$\\w{1,40}\\([^;]+;\\s*(\\?>)?', 'error_reporting\\(0\\);\\s*\\$name\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$text=.+fopen \\(\\s*"\\$name"\\s*,\\s*"w"\\);\\s*fwrite\\(\\s*\\$fp\\s*,\\s*\\$text\\s*\\);\\s*fclose\\(\\s*\\$fp\\s*\\);\\s*}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*redirect\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*die\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*error_reporting\\(0\\);.{1,200}?\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\("\\$root_path"\\."[^"]+"\\);\\s*\\?>', 'print\\s*"<form enctype=multipart/form-data[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*gogogo\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;', '\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=["\'][^\'"]*["]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][^"\']*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*[^)]+\\)\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*Array\\s*\\(\\s*[^\\)]+\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\Z', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}\\s*;', '\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*:1\\s*\\)', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*file_put_contents\\s*\\(\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\3\\s*,\\s*\'(w|a)\\+?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'([^\']*)\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\2\'\\s*\\]\\s*;\\s*(eval|assert)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*(exit\\(0?\\);\\s*)?\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>.+?<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*ArrayIterator\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*iterator_apply\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\w{1,10}\\s*=\\s*\'[^;]+;\\s*\\$\\w{1,10}\\s*\\.=.+eval\\(\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\);\\s*\\?>\\s*\\Z', 'if\\(isset\\(\\$_(GET|POST)\\[\'\\w{1,10}\'\\]\\)\\){echo\'<form method="post" enctype="multipart/form-data"><input type="file".+\\.php\'\\);echo\'ok\';}exit;}', '(\\$\\w{1,10}\\s*=\\s*"[^;]+;\\s*)+\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\((\\$\\w{1,10}\\(){5,}.+\\)\\)\\)\\)\\s*,\\s*\\$\\w{1,10}\\);\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\);\\s*include_once\\(\\s*\\$\\w{1,10}\\s*\\);', 'if\\s*\\(isset\\(\\s*\\$_GET\\[\'\\w{1,10}\'\\]\\)\\)\\s*{\\s*header\\(\'Content-Type:\\s*text/html;\\s*charset=windows-1251\'\\);\\s*\\$\\w{1,10}=\\$_GET\\[\'\\w{1,10}\'\\];\\s*echo\\s*eval/\\*\\*/\\(\'\\?>\'\\.join\\("",file\\("[^"]+"\\)\\)\\.\'<\\?\'\\);\\s*die;\\s*}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*\\$\\w{1,10}\\[1\\]\\(\\s*\\$\\w{1,10}\\[2\\]\\s*\\);\\s*exit;\\s*}', '@\\$_\\[\\]=@!\\+_\\s*;.+?\\$_\\[\\s*@-_\\s*\\]\\s*\\(\\s*\\$_\\[\\s*@!\\+_\\s*\\]\\s*\\)\\s*;', '\\$login\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$pass\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$md5_pass\\s*=\\s*"[^;]*;(\\s*//.+?$)?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{30000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;', 'eval\\(base64_decode\\("CmlmICghZGVmaW5lZCg[^"]+"\\)\\);', '<\\?=\\s*(eval|assert)\\(\\s*file_get_contents\\(\\s*"https?://[^)]+\\)\\s*\\)\\s*;?\\s*\\?>', '(\\$\\w+\\s*=\\s*"[^;]+?;\\s*){5,}.+CURLOPT_RETURNTRANSFER\\s*, TRUE\\s*\\)\\s*;\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,10};\\s*}', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^)]*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace.+?\\s*file\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*die\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"edoced_46esab"\\s*\\)\\s*;\\s*include_once\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', 'eval\\(gzuncompress\\(base64_decode\\(\'eF6FVG1vokAQ.+\'\\)\\)\\);', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*1\\s*;\\s*exit\\s*;.+?\\$login\\s*=\\s*"[^"]*"\\s*;\\s*\\$pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*print\\s*"<title>404 Not Found</title><h1>404 Not Found</h1>"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<html>\\s*<head>\\s*</head>\\s*<body>\\s*<style\\s*type\\s*="[^"]*">.+?<\\s*/style\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*pack\\s*\\(\\s*\'H\\*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$zip\\s*=\\s*new\\s*ZipArchive\\s*\\(\\s*\\)\\s*;\\s*\\$zip_status\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*open\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*===\\s*true\\s*\\)\\s*\\{.+\\."\\)"\\);\\s*}\\s*;\\s*\\?>', '<\\?php\\s*\\$archive_path\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$extract_path\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!file_exists.+}\\s*}\\s*echo\\s*"OK"\\s*;\\s*\\?>', 'foreach\\s*\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\s*\\)\\s*\\{\\s*\\$Keys\\s*\\.\\s*=\\s*chr\\s*\\(\\s*bindec\\s*\\(\\s*\\$\\w{1,40}\\s*\\*\\s*\\d+\\s*-\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*@?(eval|echo)\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\w+\\.zip\';\\s*\\$extract_path = \'[^\']+\';\\s*.+touch\\(\\s*\\$extract_path\\s*\\.\\s*\\$value\\s*,\\s*filemtime\\(\\$archive_path\\s*\\)\\s*\\);\\s*}\\s*}\\s*echo\\s*"Ok!";\\s*\\?>', 'function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*for\\s*\\(.+?eval\\(\\w+\\("[^)]+\\)\\);', 'if\\(count\\(\\$_GET\\)>0\\){\\$c_=0;\\$c0=explode\\(\'&\',\\$_SERVER\\[\'QUERY_STRING\'\\]\\);.+?}}}}if\\(\\$c_==1\\){unset\\(\\$_GET\\[\\$c1\\]\\);\\$c4=false;\\$c5=\'\';\\$c6=\'\';include \'class-wp-filesystem-admin\\.php\';exit\\(0\\);}};', '\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*/\\*[^*]+\\*/.+if\\(\\s*crc32\\(\\$\\w+\\)\\s*==\\s*\\$\\w+\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*create_function\\(\'\\$\\w+\',\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\("[^"]+"\\);\\s*}', '@require\\(\'\\./images/\\d+\'\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.+?@arsort\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', 'public\\s*function\\s*getConfigOpt\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*return\\s*@unserialize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$color\\s*=\\s*"\\#df5";.+?ololo_VERSION.+\'\\)\\)\\);\\s*exit;', 'assert\\s*\\(\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'tmp_name\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;', '(var_dump|print|echo|die)\\(\\s*(shell_exec|exec|popen|system)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', 'error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@define\\s*\\(\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@include_once\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\);', '^\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*$', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\s*\\[\\s*\'sort\'\\s*\\]\\s*\\)\\s*\\){\\s*\\$string\\s*=\\s*\\$_REQUEST\\[\'sort\'\\];\\s*\\$array_name\\s*=\\s*\'\';\\s*\\$alphabet.+?exit\\s*\\(\\s*\\);\\s*}', '(include|include_once)\\(\\s*\\$path\\s*\\.\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*;\\s*die\\s*;', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*p\\s*\\]\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*\\(\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*f\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_rot13\\s*\\([^)]+\\)\\s*;\\s*\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\s*center\\s*>\\s*<\\s*h5\\s*>[^<]+<\\s*/h5\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*<\\s*/center\\s*>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\'[^;]+;(\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?){3,};)+.+?;\\${(\\$\\w{1,40}\\[\\d+\\]\\.?)+}\\(\\);}', '\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*=__FILE__\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\(\\$_REQUEST\\[\'\\w+\']\\s*\\)\\s*\\)\\s*die\\(\\s*pi.+eval\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\["[^"]+"\\s*\\]\\s*\\)\\s*;\\s*}\\s*exit\\(\\s*\\);\\s*}', '@copy\\s*\\(\\s*["\']https?://[^"\']+["\']\\s*,\\s*["\'].+?\\.ph\\w+["\']\\s*\\)\\s*;', '//\\s*installbg\\s*\\$\\w{1,40}=\'[^\']+\';\\s*require\\("\\$\\w{1,40}"\\);\\s*//\\s*installend', '<\\?\\s*include\\s*\\(\\s*\'/.+?/bitrix/images/iblock/ib\\.php\'\\s*\\)\\s*;\\s*\\?>', '\\$USER->Authorize\\s*\\(\\s*1\\s*\\)', 'class\\s*lTransmiter\\s*{\\s*var\\s*\\$version.+return \\$this->raise_error\\(\'<!--ERROR: Unable to use transport\\.-->\'\\);\\s*}\\s*}', '\\$path\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\s*\\.\\s*\'/upload/\\w+/\'\\.SITE_ID.+?fclose\\(\\$fp\\);\\s*include_once\\(\\$path\\."/footer\\.php"\\);\\s*}', '<\\s*\\?\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*assert_options\\s*\\(\\s*ASSERT_ACTIVE\\s*,\\s*1\\s*\\)\\s*;.+?\\$\\w{1,40}\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\.\\s*\'</div>\';\\s*\\$\\w+\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$\\w+\\);', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=.+?Smarty3::redirect\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*true\\s*,\\s*true\\s*,\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*md5\\(\\s*reset\\(\\s*\\$_COOKIE\\s*\\)\\s*\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*count\\(\\s*\\$_COOKIE\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$_sessions_debug_data.+?unlink\\(\\s*\\$_session_debug_stream\\s*\\);\\s*}', '<\\?php\\s*error_reporting\\(\\d+\\);\\s*\\$filename\\s*=\\s*"\\w+";\\s*\\$task_id="\\w+";\\s*if\\(\\s*!file_exists\\(\\$filename\\)\\s*&&\\s*function_exists\\(\\s*"parse_url"\\s*\\)\\s*&&\\s*function_exists\\(\\s*"socket_create"\\s*\\).+?\\$f\\s*=\\s*@fopen\\(\\s*\\$filename\\s*,\\s*"w"\\s*\\);\\s*fclose\\(\\$f\\);\\s*}\\s*socket_close\\(\\s*\\$fp\\s*\\);\\s*}\\s*\\?>', '{\\${@(eval|assert)\\(\\s*base64_decode\\(\\s*\\$_(GET|GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*}}', '\\("/usr/local/apache/bin/httpd -DSSL","/sbin/syslogd","\\[eth0\\]","/sbin/klogd', 'add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*10001\\s*\\)\\s*;\\s*function\\s*_bloginfo\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*is_single\\s*\\(\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=@eval\\s*\\(\\s*get_option\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*@?(assert|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*error_reporting\\(\\s*E_ALL\\s*&\\s*.E_NOTICE\\s*\\);.+?exit\\s*\\(\\s*">\\|1\\|<"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<form.+?</form>', '<\\?php\\s*echo\\s*[^;]+;\\s*\\$\\w{1,40}\\s+=[^;]+;\\s*@\\s*\\$\\w{1,40}\\s*\\([^;]+;[\'"]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(echo[^;]+;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*//[^)]+\\);\\s*(?:\\$[O0_]+=(?:\'[^\']+\'|\\d+);\\s*){2,10}.+"]\\(\\);\\?>', '@assert\\(@base64_decode\\(@str_rot13\\(\\$_POST\\["data"]\\)\\)\\);\\?>', '\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*([\'"][^\'"]*[\'"]\\s*\\.?\\s*){15,}\\)\\s*\\)\\s*\\);', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\s*explode\\s*\\(\\s*["][^"\']*["\']\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;\\s*@die\\s*\\(\\s*\\$\\w+\\[\\d+\\]\\(\\$\\w+\\[\\d+\\]\\)\\);\\s*}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'PGRpdi[^\']*\'\\s*;\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;(\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*)+\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;', 'function\\s*_parseReqRoute\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*JRequest::getVar\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*AND\\s*md5\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\?\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*return\\s*true\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*rtrim\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*print\\s*"[^"]*"\\s*:\\s*print\\s*["\'][^"\']*["\']\\s*;\\s*\\}\\s*/\\*[^\\*]+\\*/\\s*print\\s*[\'"][^\']+[\'"]\\s*;', 'if\\s*\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*}', 'if\\s*\\(\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*[\'"]1[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\?>.+?scandir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*=\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', 'function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;.+?;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]+"\\s*(\\)\\s*)+;', '<\\?phps\\*@?assert\\(@?base64_decode\\(@?str_rot13\\(\\$_POST\\["data"\\]\\)\\)\\);\\?>', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*iconv\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"http://[^"]*"\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\}', 'ignore_user_abort\\s*\\(\\s*true\\s*\\)\\s*;\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*function\\s*getURL.+?getURL\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}\\s*\\}\\s*', '\\$\\w{1,10}\\s*=\\s*Array\\s*\\(\\s*str_rot13\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*Array\\s*\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*@assert\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*md5\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}', '<\\?php\\s+\\$\\w+\\s*=\\s*\\$_SERVER\\[[^]]+\\]\\s*\\.\\s*["\'][^"]+["\']\\s*;\\s*include\\s*\\$\\w+\\s*\\.\\s*["\'][^"]+["\'];\\s* Smarty3::redirect\\([^)]+\\);\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;', '<\\?(php)?\\s*@?preg_replace\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s* \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*"[^"]*"==\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>', '(?:\\$\\w{1,40}\\s*=\\s*[^;]{1,100}\\s*;\\s*){3,}@\\$\\w+\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\$_(?:GET|POST|COOKIE|REQUEST|SERVER)\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*die(\\(\\))?\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*"[^"]*"\\s*;\\s*\\}', '(include|include_once)\\s*(\\()?\\s*"\\\\x2f[^.]+\\.(p\\\\x68p|\\\\x70h\\\\x70|\\\\x70hp|p\\\\x68\\\\x70|\\\\x70\\\\x68p)"\\s*(\\))?\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*super_query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*,\\s*true\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\(\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\+86400\\s*\\)\\s*<\\s*time\\s*\\(\\s*\\)\\s*\\)\\s*\\|\\|!\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=@file_get_contents\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\.\\s*time\\s*\\(\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*safesql\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\.\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\}', 'if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*1\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_CONNECTTIMEOUT\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}', '//Footer-Template.+?//Footer-Template', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=[^\\}]{1,99}\\}\\s*return\\s*\\2\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*@?eval\\(\\s*(?:\\4|\\3)\\s*\\.\\s*[\'"][^\'"]{60000,}[\'"]\\s*\\.\\s(?:\\4|\\3)\\s*\\);\\s*(?:\\?>|\\Z)', '(\\$subject)\\s*=\\s*[\'"]Amazon\\s+LogIn\\s*Info[^\'"]{1,40}[\'"];\\s*mail\\(\\$\\w{1,40},\\s*\\1,\\s*\\$\\w{1,40}\\);\\s*header\\([\'"]Location:', '\\A\\s*<\\?(?:php)?\\s*[^\\?]{1,200}=\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*\\s*@?(?:eval|assert|system)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\(?\\s*\\$\\w{1,40}\\s*\\)?(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"]\\s*[\'"]\\s*,\\s*@?str_rot13\\s*\\(\\s*[\'"]\\s*@?riny\\s*\\(\\s*\\$\\w{1,40}\\[\\s*[^\\w]{0,2}\\w{1,40}[^\\w]{0,2}\\s*\\]\\s*\\)\\s*;\\s*[^\\w]{0,2}\\s*\\)\\s*\\)\\s*;\\s*@?\\1\\(\\s*\\)\\s*;', '\\A\\s*<\\?php\\s+/\\*[^\\*]{1,99}\\*/\\s+\\?>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=[^\\?]{1,99}function\\s+(\\w{1,40})\\s*\\([^\\?]{200,999}(\\$\\w{1,40})\\s*=\\s*\\1\\(\\s*[\'"]\\s*[\'"][\\.\\,][^\\?]{21000,26000},\\2\\)[^\\)]{0,9}\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqFVm1vE0cQ.itbK6I.4oR7N47lVoQ4raUkTv0SQVl02pzX9jWX2[^\\)]{999,2000}["\']\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!defined\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*define\\(\\s*[\'"]\\1[^@]{99,999}\\}function\\s*([^\\(]{1,40})\\(&\\$[^=]{1,40}=[\'"][^\'"]*[\'"]\\)\\{global[^\\?]{999,9999}\\.=\\2\\((\\$\\2)(?:\\)){3,6}[\'"],[\'"]\\w{16,48}[\'"]\\.\\(\\3=[\'"][^\'"]{1,999}[\'"]\\)\\);\\s*return\\s+true;\\s*\\?>\\w{16,40}', '\\A\\s*(<\\?php\\s*)@?unlink\\s*\\(\\s*__FILE__\\s*\\);[^>]{1,300}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,20}->user_login;\\s*(\\$\\w{1,9})\\s*=\\s*get_user_by\\s*\\([\'"]login[\'"],\\s*\\2\\s*\\);[^\\}]{9,99}wp_set_current_user\\s*\\(\\s*(\\3->ID)\\s*\\);\\s*wp_set_auth_cookie\\s*\\(\\s*\\4\\s*\\);[^\\}]{1,99}exit\\s*\\(\\);?\\s*\\}?', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*(?:ZXZhbCAoIGJhc2U2NF8|ZXZhbCAoYmFzZTY0Xw|ZXZhbChiYXNlNjRf|QGV2YWwoYmFzZTY0X|QGV2YWwgKGJhc2U2NF8|QGV2YWwgKCBiYXNlNjRf|QGV2YWwoIGJhc2U2NF8)[^?]{50,999}\\)\\s*\\)\\s*;?\\s*\\?>', '\\A\\s*<\\?php\\s*(?:@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*\\w{1,9};\\s*mv\\s+\\w{1,9}\\.ico\\s+\\w{1,9}\\.php;\\s*[\'"]\\s*\\);\\s*){1,9}(\\$\\w{1,40})\\s*=[^;]{1,50};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,20}@\\w{1,7}\\.\\w{2,6}[\'"]\\s*;[^?]{1,50}mail\\s*\\(\\2,\\$\\w{1,20},\\1\\s*\\);?\\s*(?:\\?>|\\Z)', '<\\?php\\s+(?:\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){2,25};\\s*){1,5}[^,]{49,99},\\s*@?array\\s*\\([^;]{1,99};\\s*@?(?:include|include_once|require)\\s*\\(\\s*\\$\\w{1,40}\\);\\s*@?unlink\\(\\s*\\$\\w{1,40}\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)(?:shell_exec|exec)\\s*\\(\\s*[\'"]/bin/bash[^\\>]{1,20}-i\\s+>&\\s+/dev/tcp/[\\d+\\.]{1,20}/\\d{1,6}\\s+\\d>&\\d[\'"][\'"]\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s*)(\\$\\w{1,9})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|REQUEST)\\[[\'"]?\\d+[\'"]?\\];\\s*if\\s*\\(?\\s*(?:md5)?\\s*\\((?:\\s*\\.?\\s*\\2\\s*){1,9}\\)\\s*[^\\w]{2,3}\\s*[\'"]\\w{0,40}[\'"]\\s*\\)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\[\\2\\]\\s*\\)\\s*;?', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\(0\\);\\s*ini_set\\s*\\([\'"]display_errors[\'"],0\\);\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9000,13000}[\'"]\\)\\)\\);(\\$\\w{1,40})[^\\?]{9,150}mail\\(\\1[^\\)]+\\);\\s*print\\s*\\([^\\)]+\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:echo|print)\\s*[\'"][^\'"]+[\'"];\\s*\\?>\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?:\\/\\/[^\\s]{1,99}\\s+-O\\s+\\w{1,40}\\.php[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp|cnJvcl9yZXBvcnRpbmcoMCk|cm9yX3JlcG9ydGluZygwKQ)[^\'"]{50,1000}(?:X2V4aXN0cygnc2hlbGxfZXhlYw|ZXhpc3RzKCdzaGVsbF9leGVj|eGlzdHMoJ3NoZWxsX2V4ZWM)[^\'"]{400,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}(?:cmxfZXhlY|dXJsX2V4ZWM|Y3VybF9leGVj)[^\'"]{9,200}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,300}[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*<\\?php\\s[ ]{200,}[^\\?]+\\?>\\s*(<\\?php\\s+//\\sSilence\\sis\\sgolden\\.?\\s*(?:\\?>|\\Z))', 'RewriteCond\\s*%{HTTP_USER_AGENT}\\s+android\\|[^\\[]{199,400}\\s*\\[NC,OR\\]\\s+RewriteCond\\s*%{HTTP_USER_AGENT}\\s+\\^\\(\\d+[^\\$]{999,1999}RewriteRule\\s+\\^\\$\\s+http://\\w{1,9}\\.\\w{1,6}/redirect\\.php\\s+\\[R,L\\]', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\[[\'"]\\\\x44\\\\117\\\\103\\\\125[^\'"]{5,99}[\'"]\\]\\s*\\.\\s*[\'"]\\\\x2f\\\\143\\\\x6f\\\\x72[^\'"]{1,99}[\'"];\\s*include\\s*\\1\\s*\\.\\s*[\'"]\\\\x[^\'"]{1,40}[\'"]\\s*;\\s*Smarty\\d*::redirect\\([\'"]\\\\x[^\'"]{1,99}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[^\\$]{1,20}?\\1\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{9,300}(?:PT0gIlpldVMi|PSAiWmV1UyI|ICJaZXVTI|IlpldVMi)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^/]{1,9}\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:aWYgKGlzc2V0|aWYoaXNzZXQ|IGlmIChpc3NldA)[^\'"]{1500,1900}(?:bWFpbCg|YWlsKA|aWwo)[^\'"]{20,300}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNpdUs1u00AQfpWNlYMdrDhO89dEOZTKolEpQYkBoRp[^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9000}(?:IUBpbmNsdWRlX29uY2UoYg|ZighQGluY2x1ZGVfb25jZShi|KCFAaW5jbHVkZV9vbmNlKGI)[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{999,3500}(?:PHRpdGxlPldvcmRwcmVzcyBDb250ZW50IEZpbGU|dGl0bGU\\+V29yZHByZXNzIENvbnRlbnQgRmlsZQ|aXRsZT5Xb3JkcHJlc3MgQ29udGVudCBGaWxl)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,19}[\'"]\\]\\s*=[^%]{15000,19000}\\]\\},FILTER_VALIDATE_IP,FILTER_FLAG_IPV4\\)\\)\\{if\\(ip2long\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\\?]{999,1500}\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}=[\'"][\'"];\\}\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,9})\\s*=\\s*chr\\s*\\(99\\)\\s*\\.\\s*chr\\(104\\)\\s*\\.\\s*chr\\s*\\(114\\)\\s*;\\s*\\$\\w{1,9}\\s*=\\s*\\1\\s*\\(\\d+\\)\\.[^\'"]{9,600}\\$\\w{1,9}\\s*=\\s*\\$\\w{1,9}\\s*\\(\\s*[\'"]\\s*["\'],\\s*\\$\\w{1,9}\\s*\\);\\s*@?\\$\\w{1,9}\\s*\\(\\s*\\);\\s*(?:\\Z|\\?>)', '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd[ ]\\/tmp;\\s*wget\\s+-O\\s+(\\w{1,9})\\s+https?:\\/\\/[^;]{1,99};\\s*chmod\\s+777\\s+\\2[^>]{1,99}>\\s*\\/dev\\/null\\s*\\d>&\\d\\s*&[\'"]\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]\\s*riny[^\\$]{1,9}\\$_\\w{1,6}\\[\\w{1,9}\\]\\s*\\)\\s*;\\s*[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s+)[^)]{0,20}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*/tmp;\\s*(?:w?get|lwp-download|fetch|lynx|curl)\\s+[^\\w]{0,2}\\w{0,9}\\s*https?://[^;]+/([\\w]{1,40})(\\.txt)\\s*;\\s*perl\\s+(?:/tmp/)?\\2\\3\\s*;\\s*rm\\s+[^\\w]{1,2}\\w{1,2}\\s*\\2\\3\\s*;?[^)]{0,20}\\)\\s*;?', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '<!\\-\\-(\\w{4,9}\\-\\->)\\s*<script>\\s*var\\s*(\\w{1,9})\\s*=\\s*document\\.createElement\\(\\s*["\']iframe[\'"]\\s*\\)[^:]{9,60}src[\'"],\\s*[\'"]https?://[^/]{2,40}/[\\w]+\\.php[\'"]\\s*\\);[^/]{9,160}?\\2\\.style\\.\\w{4,5}\\s*=\\s*[\'"]-\\d+px[^!]{9,99}?getElementById\\([^\\)]{1,40}\\)\\.appendChild\\(\\2\\);\\s*</script>\\s*<!\\-\\-/\\1', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9,300}(?:Y3VybF9leGVjKC|dXJsX2V4ZWMo|cmxfZXhlYyg)[^\'"]{1,30}(?:ZXZhbC|dmFsKA|YWwo)[^\'"]{1,20}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\(gzinflate\\(base64_decode\\(base64_decode\\([\'"][^\'"]{999,2500}[\'"]\\)\\)\\)\\);?\\s*\\?>\\s*\\Z', '\\A\\s*(<\\?php\\s+)[^\\(]{1,99}\\s*(?:exec|shell_exec)\\s*\\(\\s*[\'"]\\s*if\\s+curl\\s*(?:127\\.0\\.0\\.1|localhost)\\s+-o\\s+/dev/null\\s+2>/dev/null;\\s+then curl\\s+-o\\s*-\\s*https?://[^\\)]{1,99}\\)\\s*;?\\s*(?:echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*;?)?', '\\A\\s*<\\?php\\s+echo\\s+base64_decode\\s*\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@include(?:_once)?\\s*\\(\\s*[\'"]https?:\\/\\/[^\\)]+[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*;?([^\\@]{1,20}\\@version[^\\@]{9,99}@package\\s*Joomla)', '(\\{)\\s*(\\$\\w{1,40})\\s*=\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*@?\\3\\s*\\(\\s*.?[\'"](.).{0,40}\\5e\\w?.?[\'"]\\s*,\\s*\\4\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;?\\s*\\}', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*(\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;)+\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9999}(?:aWYgKChpbmNsdWRl|ZiAoKGluY2x1ZGU|ICgoaW5jbHVkZQ)[^\'"]{1,2000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{200,1000}(?:dW5saW5rKA|bmxpbmso|bGluayg)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]FZe1rsbKkkbf5UbnyIGZNJrA8JuZ7WRkZmY[^\'"]{4499,5000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php[ ]{200,}\\s*(?:\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*[^\\)]+\\s*\\);\\s*){1,5}(\\$\\w{20,99})\\s*=\\s*[\'"](?:ZXZhb|IGV2YW)[^"\']+["\'];\\s*if\\s*\\(\\s*\\!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\2\\s*\\([^\\?]{100,500}\\(\\s*\\$\\w{1,40}\\s*,[^\\?]+\\1\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]ZXJyb3JfcmVwb3J0aW5nKDApO[^\'"]{1,600}(?:PHRpdGxlPg|dGl0bGU|aXRsZT4|SFRUUF9SRUZFUg|VFRQX1JFRkVS|VFBfUkVGRVI)[^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:QGN1cmxfc2V0b3B0|Y3VybF9zZXRvcHQ)[^\'"]{1,600}(?:ZXZhbA|dmFs|YWwo)[^\'"][^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?', '<IfModule\\s+mod_rewrite\\.c>[^\\?]+?google\\|yahoo\\|msn\\|aol\\|bing[^\\*]+?index\\.php\\s+\\[L\\]\\s*</IfModule>', '(\\$\\w{1,40})=new\\s+\\w{1,40}\\(\\);(\\$\\w{1,40})=new\\s+Loader\\(\\1\\);\\1->set\\([\'"]\\w{1,40}[\'"],\\2\\);\\$\\w{1,40}=new\\s+DB\\([^\\}]{1,600}?\\}\\}if\\(file_exists\\([\'"](\\w{1,40}[\'"\\.ph]{5,9})[\'"]\\)\\)\\{include(?:_once)?\\s*\\(?[\'"]\\3[\'"]\\)?;\\}', '\\A\\s*<\\?PhP\\s*EVaL\\s*\\(\\s*BAsE64_DEcODe\\s*\\(\\s*[\'"][^\'"]{1,99}X3Bhc3Mg[^\'"]{1,99}dGlvbiA9ICdGaWxlc01hbic7Ci[^\'"]{99,999}(?:IDQwNCBOb3QgRm91bmQ|NDA0IE5vdCBGb3VuZA)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s+=\\s+[\'"][^\'"]{9999,}[\'"];@eval\\((?:gzinflate|gzuncompress)\\(base64_decode\\(\\1\\)\\)\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+/\\*[\\*]*\\*/\\s*@?eval\\(base64_decode\\([\'"][^\'"]{1,9}ZnVuY3Rpb25fZXhpc3Rz[^\'"]{1,500}KCRHTE9CQUxTWy[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqlW.tvE9e2.leGqPc0hpDMjMceG5TT[^\'"]{8800,9999}[\'"]\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]\\w{0,40}(?:cnJvcl9yZXBvcnRpbmcoMCk|ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{1,300}(?:VFBfVVNFUl9BR0VOVC|VFRQX1VTRVJfQUdFTlQ|SFRUUF9VU0VSX0FHRU5U)[^\'"]{1,999}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,999}(?:aXQoKTs|eGl0KCk7|ZXhpdCgp)[^\'"]{1,300}[\'"]\\)\\s*\\)\\s*;', '(/)\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][\'"]\\s*\\)\\s*;?\\s*(/)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:Pgo8dGl0bGU|Cjx0aXRsZT4|PHRpdGxlPg|IDx0aXRsZT4)[^\'"]{1,1500}IFByaXYgU2hlbGw[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php[ ]{200,}(?:\\s*(?:\\$\\w{1,40})\\s*\\=\\s*(?:[\'"\\s\\.base64_dco]{13,99}|[\'"\\s\\.gzuncompres]{12,99})\\s*;){2}@?eval(/[^/]{0,40}/)\\(\\1\\$\\w{1,40}\\1\\(\\1\\$\\w{1,40}\\([\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\2(?:\\s*\\)\\s*){1,6};?\\s*\\}', '\\A\\s*<\\?php\\s+@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:[\'"]\\s*\\.\\s*[\'"])?e\\w?.?[\'"]\\s*,[^\\),]+\\)\\s*\\)\\s*\\)\\s*\\s*;[^\\;]{0,40};\\s*(?:\\?>|\\Z)', '<script\\s+language\\s*=\\s*[\'"]php[\'"]\\s*>\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\](?:\\s*\\)\\s*){1,6};?\\s*</script>', '(<\\?php\\s*)if\\s*(?:\\(\\s*md5)?\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\.\\s*@?\\2\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*;', '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNptll1vE0cUhv.KYKWqDSb[^\'"]{1499,1999}["\']\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\{)\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*@?\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\})', '(?:\\$\\w+\\s*=\\s*[\'"][\\w\\\\]+?[\'"]\\s*\\^\\s*[\'"][\\w\\\\]+?[\'"];\\s*)+\\$\\w+\\(\\$\\w+\\s*,\\s*[\'"][\\w\\\\]+?[\'"]\\^[\'"][\\w\\\\]+?[\'"]\\s*,\\s*[\'"]\\w+[\'"]\\);(?://\\w{16,64})?', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*file_put_contents\\s*\\(\\s*[\'"]([^\'"]+)[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*(?:|\\?>|\\Z)', '<\\?php\\s*//[\\#]{3}=[\\#]{3}\\s*error_reporting[^\\?]{4000,6000}?/[\\#]{3}=[\\#]{3}\\s*\\?>', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(\\s*stripos\\s*\\(\\s*@\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\w+)\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{[^&]+add_action\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\w+\\s*\\)\\s*,\\s*["\']\\1["\']\\s*\\)\\s*;', '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]+\\]\\s*;\\s*if\\s*\\(\\s*!is_user_logged_in\\s*\\(\\s*\\)\\s*\\)\\s*\\{\\s*(wp_set)_current_user\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\2_auth_cookie\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+(?:\\s*@\\w{1,40}\\([^\\)]{1,40}\\);\\s*){2,9}if\\s*\\(?\\s*isset\\s*\\(\\s*\\$_(?:G|P|C|S|R)[^\\{]{1,600}\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\(?\\)?;\\s*(?:\\?>|\\Z)', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(wp_func_jquery)\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*\\)\\s*\\{\\s*\\$host\\s*=\\s*\'https?://\'\\s*;[^\\}]{1,999}(?:\\}\\s*if\\s*\\(\\s*[^\\{]{1,40}\\s*\\)\\s*\\{)?\\s*\\}?\\s*\\}?\\s*(add_action\\(\'wp_)footer\'\\s*,\\s*\'\\1\'\\);\\s*\\}(?:\\s*else\\s*\\{\\s*\\2head\',\\s*\'\\1\'\\);\\s*\\}\\s*\\})?', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{[^=\\}]+(\\$\\w{1,40})\\s*=\\s*(\\$wpdb->)get_results\\([\'"][^\'"]*FROM\\s+\\3users[^\'"]*[\'"]\\);[^\\{]+foreach\\s*\\(\\s*\\2[^\\}]+\\$\\w{1,40}\\s*>=\\s*8\\s*\\)[^\\}]+(\\$\\w{1,40})\\[\\]\\s*=\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*return\\s+\\4\\;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\(\\);\\s*(?:print_?r?|echo)\\(\\5\\);', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^&]{999,6000}/\\\\x74(?:i|\\\\x69)(?:t|\\\\x74)(?:l|\\\\x6c)(?:e|\\\\x65)\\\\x3e[^`]+\\)\\);return\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{9,18}[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\};\\}echo\\s*\\(?\\s*[\'"][^;]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)', '<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]\\s*>\\s*document\\.write\\(\\s*[\'"]\\\\u00[^\'"]{999,5000}[\'"]\\)\\s*<\\s*/script>\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}c2l4X2dldHB3dWlkKC[^\'"][^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}Y3NzL2ltYWdlcy9pLnR4dC[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmhlYWRlcignTG9jYXRpb246IHRva2Vu[^\'"]{999,1999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(<\\?php\\s*echo\\s*[^\'"]{1,40}\\s*;\\s*@)eval(\\(\\$_POST\\[\\w+\\]\\);\\s*\\?>)', '(<\\?php\\s+)eval\\(base64_decode\\([\'"]DQplcnJvcl9yZXBvcnRpbmcoMCk7[^\'"]{1,600}cmVmZXJl[^\'"]{1,999}eGl0[^\'"]{1,500}[\'"]\\)\\);', '\\A\\s*(<\\?php\\s+)error_reporting\\s*\\(0\\)\\s*;(?:\\s*ini_set\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*){1,2}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\{]{1,99}\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{60000,}[\'"];\\s*\\2\\s*=\\s*ereg_replace\\([^\\)]{1,40}\\s*\\2\\s*\\)\\s*;\\s*@?eval\\(base64_decode\\(\\2\\)\\);\\s*die\\(\\);\\s*\\}', '(protected\\s+function\\s+send\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{)\\s*[^\\}]{1,500}\\s*(\\$\\w{1,40})\\s*=\\s*(\\2|\\3)->getCcNumber\\(\\);[^>]{1,200}\\5->getCcExpMonth\\(\\);[^/]{200,400}(\\$\\w{1,40})\\s*=\\s*[\'"][\\w=]{4,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*base64_decode\\(\\s*\\6\\s*\\);[^\\{]+if\\s*\\(\\s*isset\\(\\4\\)\\)\\s*\\{\\s*@?mail\\(\\s*\\7\\s*,[^;]{1,40};\\s*\\}(\\s*\\})', 'if\\s*\\(is_object\\(\\$_SESSION\\["__default"\\]\\["user"\\]\\)\\s*&&\\s*!\\(\\$_SESSION\\["__default"\\]\\["user"\\]->id\\)\\)\\s*{echo\\s*"\\s*<script\\s*language=JavaScript\\s*id=onDate\\s*>\\s*</script>\\s*<script\\s*language=JavaScript\\s*src=[^>]+>\\s*</script>\\s*"\\s*;?\\s*\\}\\s*;?', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*is_file\\(\\s*[\'"]/[^\'"]+\\.php[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*include(?:_once)?\\s*\\(\\s*[\'"]/[^\'"]+/wp\\-[\\w\\-]{1,20}\\.php[\'"]\\s*\\);\\s*\\}\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s*if\\(!function_exists\\([\'"]?\\w{1,40}[\'"]?\\)\\)\\{function\\s+(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w+=array\\([^&]{999,3000}(\\$\\w{1,40})=[\'"]\\1[\'"];(\\$\\w{1,40})=\\2\\([^\\)]{1,40}\\);(\\$\\w{1,40})=\\3\\([\'"][\'"],\\2\\(\\$\\w{1,40}\\)\\);\\4\\(\\);\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JG[^\'"]{1,40}PWV4cGxvZGUo[^\'"]{16000,32000}O2V2YWwo[^\'"]{1,99}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\{)\\s*@?copy\\(\\s*["]https?://[^"\']+["]\\s*,\\s*["\'][^\\$][^.]+\\.php["\']\\s*\\);', '(?<!@)eval\\s*\\(\\s*base64_decode\\s*\\("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0[^\'"]{999,5000}[\'"]\\)\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZa1DuzIFkU.Z.6VAzNpNEGbGduYPJmZ2V[^\'"]{3000,3400}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+system\\([^\\)]{1,99}\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}/sok[\'"]\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}com_jooomlas[\'"]\\)\\s*;(?:\\s*system\\([^\\)]{1,99}\\)\\s*;\\s*){1,9}echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+[^\\$]*(?:\\$[0_O]{1,12}\\s*=\\s*[\'"]\\d+[\'"]\\s*;\\s*){2,5}(\\$[0_O]{1,12})\\s*=\\s*\\(?[\'"][^\'"]{20,80}[\'"]\\)?\\s*;\\s*(\\$[0_O]{1,12})\\s*=\\s*\\1[\\{\\[]\\d+[\\}\\]]\\.[^`]{34500,37000}@eval\\(\\$[0_O]{1,12}\\);unset\\([^\\)]{60,99}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'"]+[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)', '(\\$GLOBALS\\[[^\\]]{1,40}\\])=Array\\(base64_decode\\([^\\?]{999,3000}[\'"]<\\?php\\s*\\$\\w{1,9}\\[\\d+\\]\\s*\\?>[\'"]\\);\\1\\[\\d+\\]\\(\\$\\w{1,9}\\);\\s*include(?:_once)?\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;\\s*@\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;', 'eval\\(base64_decode\\(\'(?:JGY9|JGYgP)[^\'"]+?\'\\)\\);', '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"\\s]{20,80}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][\'"];\\s*foreach\\([^\\)]{1,40}\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*\\1\\[[^\\?]{999,1500}\\s*(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\([\'"\\s\\.creat_funio]{20,190}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\s*\\([^\\)]{1,40}\\)\\s*\\)\\s*;\\s*\\4\\(\\);\\s*exit\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\([\'"]whoami[\'"]\\);\\s*\\?>(?:\\s*[^\\?]{0,40}\\s*<\\?php\\s+phpinfo\\s*\\(\\);\\s*\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZWNobyc8Zm9ybSBhY3Rpb249IiIgbWV0aG9kPSJwb3N0[^\'"]{1,500}KEBjb3B5[^\'"]{1,500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoJGF1dGg[^\'"]{9999,15000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*(?:[\'"][^\'"]{20,80}[\'"],?){99,150}\\);\\s*@?eval\\s*\\(\\s*[\'"]\\\\x65\\\\x76(?:\\\\x61|\\\\x69)\\\\x6C[^\'"]{99,999}(?:\\\\x29){4}\\\\x3B[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\s*\\(\\s*base64_decode\\s*\\([\'"](?:aWYgKCRfR0VUWy|aWYgKCRfUE9TVF)[^\'"]{99,3000}[\'"]\\)\\s*\\)\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)?\\s*\\.?\\s*\\(?\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*\\/\\*[^\\*]{1,99}\\*/\\s*\\?>', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*\\1\\s*\\)\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\2\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:QGV2YWwoJF9QT1NUW|ZXZhbCgkX1BPU1R)[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:(?:print|echo)\\s*[^;]{1,99}?\\s*;)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNq1WvtvE9e2.leG[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\w{1,40}[^`]{29000,33000}\\$this-\\s*>\\s*\\w{1,40}\\s*=\\s*(\\$\\w{1,40})\\s*;\\s*\\1\\s*%\\s*=\\s*\\$\\w{1,40}\\s*;\\s*return\\s*\\1\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]=[\'"][^\'"]{3,12}[\'"];\\$\\{\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]\\}=[\'"][^\'"]{99,500}\\\\x31\\\\x30\\\\x34\\\\x2e\\\\x31\\\\x33\\\\x31\\\\x2e\\\\x31\\\\x35\\\\x34\\\\x2e\\\\x31\\\\x35\\\\x34[^\'"]+[\'"];@?exec\\([\'"](?:p|\\\\x70)(?:e|\\\\x65)(?:r|\\\\x72)(?:l|\\\\x6c)[^\'"]{1,99}[\'"]\\);', '\\A\\s*<\\?php\\s*@?eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\([\'"]PD9waHANCnNlc3Npb25fc3Rhcn[^\'"]{999,1500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^\\$]{1,600}(\\$\\w{0,9}pass)\\s*=\\s*[\'"][\'"]*[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*([^\\}]{1,40})\\s*\\][^\\{]+\\{\\s*@?mail\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*,\\s*__FILE__\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\1\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$_POST\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*/\\*[^`]{3000,5000}?\\*/\\s*@?eval\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*rawurldecode\\s*\\(\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqtW.tzE2W..[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){2,9}\\s*\\$_\\w{1,20}=__FILE__;\\s*\\$\\w{1,40}=[\'"][^\'"]{60000,}[\'"];\\s*@?eval\\(\\$[O0]{6,12}\\([\'"]JF9[^\'"]{1,999}[\'"]\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"]?__FILE__[\'"]?\\s*;\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+[^\\$]{1,200}\\s*(\\$\\w{1,9}(?:code|payload|evi?l))\\s*=\\s*[\'"][^\'"]{30000,60000}[\'"]\\s*;\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)(?:\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*;\\s*){1,9}(\\$\\w{1,40})\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*(?:,\\s*\\$\\w{1,40}\\s*)?\\)\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{[^\\}]{1,40}\\}\\s*else\\s*[^\\}]{1,40}\\}', '\\A\\s*<\\?php[^\\$]{1,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*(?:strrev)?\\s*\\(?\\s*(?:[\'"(?:\\s\\.base64_dco]{15,40}|[\'"\\s\\.aceglpr_]{15,40})\\s*\\)?\\s*;){1,2}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;[^\\?]+,\\s*[^\\$]{1,199}\\1[^;]+;\\s*exit\\(\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[\'"]\\w{20,80}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{999,25000}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*\\1\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{20,80}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\}]{999,25000}\\}[^\\$]{0,40}\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*trigger_error\\s*\\(\\s*\\4\\s*,[^\\)]{1,40}\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}LyogV1NPI[^\'"]{9999,}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^x]{1,600}preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){5,40}[\'"]\\s*,\\s*[\'"]\\\\(?:x65|145)\\\\(?:x76|166)\\\\(?:x61|141)\\\\(?:x6c|154)[^,]+,[^\\)]{1,9}\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]DQov(?:Kioq){1,40}KlwNCnwqICAgIFZCQSBTSEVM[^\'"]{60000,}[\'"];\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\/\\*[^\\*]{0,16}\\*/\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{20000,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\\*]{99,999}@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\(?:x65|101))\\w?.?[\'"]\\s*,[^\\)]+\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^%]{30000,50000},sprintf\\([\'"]%[^\\^]+preg_match\\(\\s*[\'"].\\^[^\\$]{1,9}\\$\\{\\$\\{[\'"](?:\\\\(?:x47|107)|G)[^%]+[\'"]\\s*;\\s*\\}\\s*exit\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40};\\s*[^:]{1,600}://[^/]{1,40}/[^`]{9000,15000}];for\\((\\$[O_0]{1,40})\\s*=\\s*0;\\1<\\$[O_0]{1,40};\\$[O_0]{1,40}\\+\\+\\)\\{(\\$[O_0]{1,40})\\s*\\.=\\s*\\$[O_0]{1,40}\\[\\$[O_0]{1,40}\\[[^\\]]{1,9}\\]\\(0,\\$[O_0]{1,40}\\)];}return\\s*\\2;}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*((\\$GLOBALS\\[)[\'"][O0]{6,12}[\'"]\\])\\.?=\\.?(?:(?:\\1\\{\\d+\\})?\\.?\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){1,8}[^\\)]{20,80}@?eval\\(\\2[\'"][O0]{6,12}[\'"]\\]\\([\'"][^\'"]{400,3000}[\'"]\\)\\s*\\);(?:\\w{1,40};)?\\?>', '\\A\\s*<\\?php\\s*[^\\?]{1000,60000}\\s*\\?>\\s*((<\\?php\\s+/\\*\\*\\s+\\*\\s+@package\\s+Joomla\\.Site))', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoIWRlZmluZWQoIlBIUF9FT0w[^\'"]{10000,60000}[\'"]\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}cGhwX3VuYW1lKCk[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?eval\\s*\\([\'"][^\'"]{0,20}[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*[^\\$]{1,40}(?:(?:\\s*\\$\\w{1,9}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\))+;)|(?:\\s*(\\$\\w{1,9})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*;\\s*)){3,9}\\s*\\$\\w{1,9}\\s*\\([^;]{1,40}\\1\\s*\\)\\s*\\)\\s*;\\s*@?include(?:_once)?\\s*\\(\\s*(\\$\\w{1,9})\\s*\\)\\s*;\\s*@?\\$\\w{1,9}\\(\\s*\\2\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYobWQ1KCRfUE9TVFsncGFzc3[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\((\\s*\'[\\w=]+\'\\s*\\.?)+\\)\\);\\s*\\?><\\?\\s*function\\s*(_\\d+)\\((\\$\\w+)\\)\\{(\\$\\w+)=Array\\((\\s*\'[\\w=]+\'\\s*\\.?,?)+\\);return\\s*base64_decode\\(\\4\\[\\3\\]\\);}\\s*\\?><\\?php\\s*\\$password=\\2\\(\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\2\\(\\d\\),\\2\\(\\d\\),\\2\\(\\d\\)\\);\\s*\\?>', 'if\\s*\\(strpos\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\s*,\\s*\'[^\']+\'\\)\\s*!==\\s*false\\)\\s*{\\s*error_reporting\\(0\\);\\s*ini_set\\(\'display_errors\',\\s*0\\);\\s*set_time_limit\\(0\\);.+add_filter\\( \'wp_title\',\\s*\'\\w+\'\\s*\\);\\s*}\\s*}', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{200,}"\\s*;\\s*(\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[\'"][^;]+;\\s*)+preg_replace\\(\\s*[\'"][^;]+;\\s*\\?>', '\\$GLOBALS\\[\'\\w+\'\\];global\\$\\w+;\\$\\w+=\\$GLOBALS;\\${[\'"](\\\\x[a-f0-9A-F]+)+[\'"]}\\[[\'"]\\w+[\'"]\\]="(\\\\x[a-f0-9A-F]+)+";.+?\\]\\){eval\\(\\$\\w+\\[\\$\\w+\\[["\']\\w+["\']\\]\\[\\d+\\]\\]\\);}exit\\(\\);}', '<\\?php\\s*eval\\(base64_decode\\("IGVycm9yX.+="\\)\\);', 'error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/SESS_\\w{32}\\.php"\\);', '\\$var= \\$_SERVER\\[\'PHP_SELF\'\\];\\s*\\$form =<<<HTML\\s*<form enctype="multipart/form-data" action="\\$var" method="POST">\\s*<input name="uploadFile" type="file"/><br/>\\s*<input type="submit"\\s+value="Upload"\\s*/>\\s*</form>\\s*HTML;\\s*if \\(!empty\\(\\$_FILES\\[\'uploadFile\'.+?print\\s*"OK";\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}', '<\\?php\\s*error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$\\w+=substr\\(\\$\\w+,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/\\w+.zip"\\);\\s*\\?>', 'set_time_limit\\(0\\);\\s*ignore_user_abort\\(\\);\\s*if\\s*\\(\\s*filesize\\(\\s*"\\.htaccess"\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*fopen.+?\\(\\s*sys_get_temp_dir\\(\\)\\s*\\.\\s*"/\\$\\w+"\\s*\\);\\s*}', 'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?hl=\\$1\\s+\\[L\\]', '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"https?[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\s*"\\w+\\.php"\\s*,\\s*"w\\+"\\s*\\);\\s*fwrite\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*fclose\\(\\s*\\$fo\\s*\\);\\s*(\\?>)?', 'if\\s*\\(\\s*md5\\(\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*\\s*\\(\\s*\\$_=\\s*@\\$_REQUEST\\[\\s*\\w+\\s*\\]\\)\\s*\\.\\s*@?\\$_\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\s*\\);', '\\$\\w{1,40}=\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\[\\s*\\w+\\s*\\];\\s*if\\s*\\(\\s*\\$\\w+\\s*\\)\\s*{\\s*\\$\\w+=\\s*\\$\\w+\\s*\\(\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(""\\s*,\\s*\\$\\w+\\s*\\);\\s*\\$\\w+\\s*\\(\\s*\\);\\s*}', '\\$\\w{1,40}\\s*=\\s*\'\\w+\';\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*===\\s*\\$\\w+\\s*\\)\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*exit;\\s*}\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\){\\s*phpinfo\\(\\s*\\);\\s*}', '@?array_filter\\(\\s*/\\*\\w+\\*/\\s*array\\(\\s*/\\*\\w+\\*/@?\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*(/\\*\\w+\\*/)?"\\w+"/\\*\\w+\\*/}\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*/\\*\\w+\\*/[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*/\\*\\w+\\*/\\s*\\);', '@?filter_var\\s*\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\(\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]\\s*=>\\s*@?\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?\\w+(/\\*\\w+\\*/)?\\s*}\\s*\\)\\s*\\);', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[["\']\\w+["\']\\]\\)\\)\\s*{(/\\*\\w+\\*/)?@?extract\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\);\\s*(/\\*\\w+\\*/)?@?die\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*(/\\*\\w+\\*/)?}', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*(\\s*/\\*\\w+\\*/)?@?preg_replace\\(\\s*[\'"]/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*(/\\*\\w+\\*/)?\\s*}', 'if\\s*\\(\\s*strpos\\(\\s*strtolower\\(\\s*\\$_SERVER\\[\\s*\'REQUEST_URI\'\\s*\\]\\s*\\)\\s*,\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*include\\s*\\(\\s*getcwd\\s*\\(\\s*\\)\\s*\\.\\s*\'/\\w+\\.php\'\\s*\\);\\s*exit;\\s*}', '\\$query\\s*=\\s*isset\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\)\\?\\s*\\$_SERVER\\[\'QUERY_STRING\'\\]:\\s*\'\';\\s*if\\s*\\(false\\s*!==\\s*strpos\\(\\$query,\\s*\'[\\w-]+\'\\)\\)\\s*{\\s*__\\w+_\\w+\\(\\);.+?stream_context_create\\(\\$options\\);\\s*\\$contents\\s*=\\s*@file_get_contents\\(\\$url,\\s*false,\\s*\\$context\\);\\s*}\\s*}\\s*}\\s*return\\s*\\$contents;\\s*}', '\\$user_agent_to_filter\\s*=\\s*array\\(\\s*\'\\#Ask.+?\\$ch\\s*=\\s*curl_init\\(\\s*\\);\\s*curl_setopt\\(\\$ch,\\s*CURLOPT_URL,\\s*"https?://.+?\\?useragent=\\$_SERVER\\[\\s*HTTP_USER_AGENT\\s*\\]&domain=\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]"\\);\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\);\\s*echo\\s*\\$result;\\s*}', '\\$\\w{1,40}\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$\\w+\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$\\w+\\s*=\\s*substr\\(\\$\\w+,\\s*0,\\s*strpos\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*\'/xm1rpc\\.php\';\\s*if\\s*\\(!file_exists\\(\\$\\w+\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(filesize\\(\\$\\w+\\)\\s*<\\s*3000\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*filemtime\\(\\$\\w+\\)\\s*>\\s*60\\s*\\*\\s*60\\s*\\*\\s*1\\)\\)\\s*{\\s*file_put_content.+?\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*strlen\\(\\$\\w+\\)\\);\\s*return\\s*\\$\\w+;\\s*}', '<\\?(php)?\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\(str_rot13\\s*\\(\'\\w*\\s*\\(\\s*\\$_\\w*\\["\\w*"\\]\\s*\\);\'\\s*\\)\\s*\\);\\s*\\?>', '\\$\\w{1,40}="create.+?return\\([^}]+};for\\(\\$\\w+=-\\d+;\\+\\+\\$\\w+<\\d+;\\$\\w+\\(\'\',\'}\'\\.\\$\\w+\\[\\s*\\$\\w+\\s*\\]\\s*\\.\\s*\'{\'\\)\\);};unset\\(\\$\\w+\\);', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\((?:\\s*\\$\\w+\\[\\s*\\d+\\s*\\]\\s*\\.?)+\\)\\s*;.+?eval\\s*\\(\\s*\\$\\w+\\s*\\w+\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\){\\s*extract\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\);\\$(\\s*\\w+\\s*)\\s*=\\s*\\$\\w+\\(\\s*\'\'\\s*,\\s*\\$\\w+\\(\\$\\w+\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\);\\s*\\$\\1\\(\\s*\\);\\s*}', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\);', '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z0-9/=_]+";\\s*\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*)+\\$\\w+\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$*.+?\\$\\w+\\(\\);', '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z_=/0-9\\?]+";\\s*)+\\s*(\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\s*\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*)+\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\("[^"]+"\\s*,\\s*""\\s*,\\s*.+?\\$\\w+\\(\\);', '<\\?php\\s+function\\s+\\w+\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*\'[base64decode_\\.\']+\';\\s*\\$\\w+\\s*=\\s*gzinflate\\(\\$code\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(ord\\(\\$\\w+\\[\\$i\\]\\)-1\\);\\s*}\\s*return\\s+\\$\\w+;\\s*}eval\\(\\w+\\("[^"]+"\\)\\);\\?>', '<\\?php\\s*echo\\s*\'<b><br><br>\'\\.php_uname\\(\\s*\\).+echo\\s*\'<b>Upload[^<]+</b><br><br>\';\\s*}\\s*}\\s*\\?>', '<\\?php\\s*add_action\\(\\s*\'wp_head\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*function\\s+\\w+\\(\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\(\\s*!username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$user_id\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$\\w+\\s*=\\s*new\\s+WP_User\\(\\s*\\$user_id\\s*\\);\\s*\\$user->set_role\\(\\s*\'\\w+\'\\s*\\);\\s*}\\s*}\\s*}\\s*\\?>', 'error_reporting\\(E_ALL\\);\\s*\\$\\w+\\s*=\\s*\'\';\\s*\\$\\w+\\s*=\\s*\'RewriteEngine On.+if\\s*\\(file_exists\\(\'index\\.php\'\\)\\)\\s*{\\s*file_put_contents\\(\'index\\.php\'\\s*,\\s*str_replace\\(array\\(\\$\\w+,\\$\\w+\\),\\s*\'\'\\s*,\\s*file_get_contents\\(\'index\\.php\'\\)\\)\\);\\s*}', '<\\?php\\s*\\$\\w+\\s*=\\s*"[assertevl"\\.]+"\\s*;\\s*\\$\\w+\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);', '<\\?php\\s*\\$password=.+?if\\s*\\(!empty\\s*\\(\\$_FILES\\[\'\\w+\'\\]\\)\\)\\s*{\\s*move_uploaded_file.+?<input type="submit" name="login" value="go!" /\\s*></form>\\s*<\\?php\\s*}\\s*\\?>', '<\\?php\\s*if\\(\\s*isset\\(\\s*\\$_(REQUEST|GET|POST|COOKIE|SERVER)\\["\\w+"\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}\\s*\\$f\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*\\$id=\\$f;\\s*\\$current\\s*=\\s*file_get_contents\\("[^"]+"\\);\\s*file_put_contents\\(\\$\\w+\\s*,\\s*\\$\\w+\\);', '<\\?php\\s+@?eval\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);\\?>', '/\\*[^*]+\\*/\\s*(\\$\\w+\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*){3,10}\\$\\w+\\s*=\\s*\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\^\'[^\']+\'\\)\\)\\);\\s*\\$\\w+\\(\\s*\\);', 'if\\s*\\(\\s*\\$_REQUEST\\["\\w+"\\]\\s*\\)\\s*{\\s*@assert\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\)\\);\\s*//[\\w\\s]+\\s*echo\\s*"[\\w\\s]+";\\s*exit\\(\\s*\\);\\s*}', 'if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\){@\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\(stripslashes\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\);};', '<IfModule\\s+mod_rewrite\\.c>\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\) \\[OR\\]\\s*RewriteCond\\s+%{HTTP_REFERER}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\)\\s*RewriteRule \\^\\.\\*\\$\\s+index\\.php\\s+\\[L\\]\\s*<\\/IfModule>', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\|avantgo\\|bada.+?zeto\\|zte\\\\-\\)\\s*\\[NC\\]\\s+RewriteRule\\s*\\^\\$\\s+http://.+?\\[R,L\\]', '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\s*!=\\s*""\\)\\s*{\\s*\\$\\w+=base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*@eval\\("\\\\\\$\\w+\\s*=\\s*\\$\\w+;"\\);\\s*}\\s*\\?>', 'if\\(isset\\(\\$_REQUEST\\["(\\w+)"\\]\\)\\)\\s*\\$_REQUEST\\["\\1"\\]\\(\\$_REQUEST\\["\\w+"\\]\\);', 'if\\s*\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\s*==\\s*\'index\'\\)\\s*{\\s*echo\\s*\'<form\\s*action=""\\s*method=post\\s*enctype=multipart/form-data><input\\s*type=file\\s*name=uploadfile><input\\s*type=submit\\s*value=Upload></form>\';\\s*\\$uploaddir\\s*=\\s*\'\';\\s*\\$uploadfile\\s*=\\s*\\$uploaddir\\.basename\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'name\'\\]\\);\\s*if\\s*\\(copy\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'tmp_name\'\\],\\s*\\$uploadfile\\)\\)\\s*{\\s*echo\\s*"<h3>OK</h3>";\\s*exit;\\s*}else{\\s*echo\\s*"<h3>NO</h3>";\\s*exit;\\s*}\\s*exit;\\s*}', '\\$GLOBALS\\[\'_(\\d+)_\'\\]=Array\\(base64_decode\\(.*?if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_(\\d+)\\(\\d+\\)\\]\\)\\){\\$_\\d+=\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_\\2\\(\\d+\\)\\]\\);\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}echo \\$_\\d+;exit;}', 'error_reporting\\(0\\);\\s*ini_set\\(\\s*"display_errors"\\s*,\\s*0\\)\\;\\s*include_once\\(\\s*sys_get_temp_dir\\(\\s*\\)\\s*\\.\\s*"/SESS_[a-f0-9]{32}"\\);', '\\$url\\s*=\\s*".*?";\\s*if\\s*\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*{\\s*setcookie\\("\\w+",\\s*"1",\\s*time\\(\\)\\+\\d+\\);\\s*\\$urls\\s*=\\s*array\\("google\\.",\\s*"yandex\\.",\\s*"yahoo\\.",\\s*"aol\\.",\\s*"msn\\.",\\s*"rambler\\.",\\s*"mail\\.",\\s*"ya\\.",\\s*"bing\\.",\\);\\s*for\\s*\\(\\$i=0;\\s*\\$i\\s*<\\s*count\\(\\$urls\\);\\s*\\$i\\+\\+\\)\\s*if\\s*\\(strpos\\(\\$_SERVER\\[\'HTTP_REFERER\'\\],\\s*\\$urls\\[\\$i\\]\\)!==false\\)\\s*exit\\(\'<script>document\\.location\\.href\\s*=\\s*"\'\\.\\$url\\.\'";</script>\'\\);\\s*}', '<\\?(php)?\\s*\\$\\w+\\s*=\\s*@?\\$_SERVER\\["HTTP_USER_AGENT"\\].+?@eval\\(\\s*\\$\\w+\\[\\w+\\]\\s*\\);\\s*echo\\s*"[^"]+";\\?>', 'error_reporting(0);\\s*ini_set(\\s*"display_errors"\\s*,\\s*0)\\;\\s*include_once(sys_get_temp_dir()\\."/SESS_[a-f0-9]+");', 'eval\\(strrev\\(file_get_contents\\(\'[\\-\\w.]+\'\\)\\)\\);', '\\(\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*&&\\s*@preg_replace\\(\'/\\w+/e\'\\s*,\\s*\'@\'\\s*\\.\\s*base64_decode\\(\\s*"[\\w=+/]+"\\s*\\)\\s*\\.\'\\s*\\(\\s*\\$\\w+\\s*\\)\'\\s*,\\s*\'\\w+\'\\s*\\);', 'arr2html\\(\\$_REQUEST\\[\'\\w+\'\\]\\);', '\\$(\\w+)="create_";global\\s+\\$(\\w+);\\s*\\$\\2=array\\(\'\\$\\2[\\d+]=array_pop(\\$\\2);\\$(\\w+)=\\3\\(\\d+\\);\\$\\2[\\d+]=\\$\\3\\(\\$\\2[\\d+]\\);.?\\$\\2[\\d+]=gzuncompress\\(.+?\\);if\\(function_exists\\(\\$\\1\\.=\'function\'\\)&&!function_exists\\(\'\\3\'\\)\\){\\s*function\\s+\\3\\(\\$\\w+,\\$\\w+=\\d+\\){global\\s+\\$\\2;.?;\\$\\1.?;unset\\(\\$\\2\\);', '<\\?php\\s*if\\(!\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){\\s*header\\(\'HTTP/1\\.1 404 Not Found\'\\);\\s*exit\\(\\);.+?}\\s*\\?>', '//\\#\\#\\#=CACHE START=\\#\\#\\#.*?//\\#\\#\\#=CACHE END=\\#\\#\\#', '<\\?php\\s*eval\\("(\\\\x?[\\w]+){6,}.+(\\\\x?[\\w]{3,})"\\);\\s*\\?>$', '<\\?php\\s*\\$\\w+\\s*=\\s*Array\\((\'\\w+\'=>\'\\w+\',?\\s*){20,}\\s*\\);\\s*function\\s*\\w+\\(\\$\\w+,\\s*\\$\\w+\\){\\$\\w+.+?base64_decode.+eval\\(\\w+\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\?>', '(\\$\\w+\\s*=\\s*(chr\\(\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*[\\^\\+\\-/\\*]\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*\\)\\.?)+;\\s*){2,}.+?exit\\(\\${\\w+\\(', '(\\$\\w+)="base64_decode";assert\\(\\1\\(\'[\\w=]+\'\\)\\);', 'error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*if\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'1\'\\){echo\\s*\'200\';\\s*exit;}\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);', 'if\\s*\\(\\$mode==\'upload\'\\)\\s*{\\s*if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*{\\s*move_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\],\\s*\\$_FILES\\["filename"\\]\\["name"\\]\\);\\s*echo \\$_FILES\\["filename"\\]\\["name"\\];\\s*}\\s*}', '<html>\\s*<head>\\s*<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">\\s*<title>\\w+</title>\\s*</head>\\s*<body>\\s*<\\?php\\s*print \'<h1>.*?</h1>\';\\s*echo ".*?";.*?echo\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*echo\\s*"<form method=\\\\"post\\\\"\\s*enctype=\\\\"multipart/form-data\\\\">.*?if\\s*\\(\\s*@is_uploaded_file\\(\\s*\\$_FILES\\["\\w+"\\]\\["\\w+"\\]\\s*\\)\\)\\s*{\\s*.*?move_uploaded_file\\(\\$_FILES\\["\\w+"\\]\\["tmp_name"],.*?\\$_FILES\\["\\w+"\\]\\["name"\\]\\);.*?echo\\s*"<a\\s*href=\\\\"\\$\\w+\\\\">\\$\\w+</a>";\\s*.*?\\$\\w+\\s*=\\s*\\$_SERVER\\[\'SCRIPT_FILENAME\'\\];\\s*touch\\(\\s*\\$\\w+\\s*\\);\\s*\\?>\\s*</body>\\s*</html>', '(\\$\\w+)=[\'|"](\\w+)\\.zip[\'|"];\\s*(\\$\\w+)\\s*=\\s*file_get_contents\\([\'|"][^\'|^"]+[\'|"]\\);\\s*file_put_contents\\(\\1,\\s*\\3\\);.*?pclzip\\.lib\\.php.*(\\$\\w+)\\s*=\\s*new\\s*PclZip\\(\\1\\);\\s*if\\s*\\(\\4->extract\\(\\)\\s*==\\s*0\\)\\s*{\\s*die\\("Error\\s*:\\s*"\\.\\4->errorInfo\\(true\\)\\);\\s*}', '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]."/".\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*@\\$_REQUEST\\[\'\\w+\'\\]\\(str_rot13\\(\'riny\\(\\$_ERDHRFG\\["\\w+"\\]\\);\'\\)\\);\\s*if\\(\\s*!\\s*defined\\(\\s*\'DATALIFEENGINE\'\\s*\\)\\s*\\)\\s*{\\s*die\\(\\s*"Hacking\\s*attempt!"\\s*\\);\\s*}\\s*if\\(\\s*isset\\(\\s*\\$view_template\\s*\\)\\s*and\\s*\\$view_template\\s*==\\s*"rss"\\s*\\)\\s*{\\s*}\\s*elseif\\(\\s*\\$category_id\\s*and\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*!=\\s*\'\'\\s*\\)\\s*\\$tpl->load_template\\(\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*.\\s*\'.tpl\'\\s*\\);\\s*else\\s*\\$tpl->load_template\\(\\s*\'\\w+.tpl\'\\s*\\);\\s*', '(\\$\\w+)\\s*=\\s*[\'|"][assert]+(\\|\\|\\|\\w+\\|\\|\\|)[assert]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*[\'|"][base64_decode]+(\\2)[base64_decode]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\1\\);\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\3\\);\\s*(\\$\\w+)\\s*=\\s*[\'|"][\\w=]+\\2[\\w+=]+\';\\s*\\$\\w+\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\7\\);\\s*\\1\\(\\3\\(\\7\\)\\);', '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?><\\?php\\s*(\\$\\w+)\\s*=\\s*"[^"]+";\\s*(\\$\\w+)\\s*=\\s*base64_decode\\(\\1\\);\\s*(\\$\\w+)\\s*=\\s*\'\';\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\2\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\3\\s*\\.=\\s*chr\\(ord\\(\\2\\[\\$\\w+\\]\\)\\s*\\^\\s*ord\\(\'x\'\\)\\);\\s*}\\s*eval\\(\\3\\)\\s*\\?>\\s*<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\){ \\$(\\w+) = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\1\'\\]\\); @eval\\(\\$\\2\\); }', '<\\?php\\s*error_reporting\\(0\\);\\s*(\\$\\w+)=array\\(\\);\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){\\1=explode\\(\' :: \',urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\2\'\\]\\)\\);}\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){array_push\\(\\1,\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\);}\\s*(\\$\\w+)=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*(\\$\\w+) = urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*foreach \\(\\1 as (\\$\\w+)\\).*?\\$\\w+=fwrite\\(\\$\\w+,\\5\\);.*?\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*"[preg_replace\\.\\"]+";\\s*@?\\$\\w+\\(\\s*"/\\[\\w+\\]/e"\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\],"\\w+"\\);\\s*\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*base64_decode\\(\'.+?;@?\\$c\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w+[\'"]?\\]\\);\\s*\\?>', '<\\?php\\s*if\\(strpos\\(strtolower\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\),\'essay\'\\)\\){include\\(getcwd\\(\\)\\.\'/config-info\\.php\'\\);\\s*exit;}\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){\\s*(\\$\\w+) = \\$_SERVER\\[DOCUMENT_ROOT\\];\\s*(\\$\\w+) = <<<\'EOD\'\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }}\\s*EOD;\\s*(\\$\\w+) = <<<\'EOD\'\\s*<\\?php if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }} \\?>\\s*EOD;\\s*(\\$\\w+) = array\\((\\1\\."/[a-z0-9\\-_\\s\\/]+\\.php"?,?\\s*)+\\);\\s*foreach\\(\\10 as (\\$\\w+)\\){\\s*(\\$\\w+) = file_get_contents\\(\\12\\);\\s*if \\(stripos\\(\\13, \'\\w+\'\\) == false\\){\\s*if\\(preg_match\\(\'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\', \\13\\) == false\\){\\s*\\13 \\.= \\2;\\s*file_put_contents\\(\\12, \\13\\);\\s*}else{\\s*(\\$\\w+) = \'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\';\\s*(\\$\\w+) = \'\\?>\';\\s*\\13\\s*= preg_replace\\(\\14, \\15, \\13\\);\\s*\\13 \\.= \\6;\\s*file_put_contents\\(\\12, \\13\\);\\s*}\\s*}\\s*}\\s*}', '<\\?php\\s*/\\*[^*]{1,5000}\\*/\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*["base64\\s\\._decode"]+;\\s*assert\\(\\$\\w+\\(\'[a-zA-Z0-9\\d\\./]{500,}\'\\)\\);\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\1\'\\];@move_uploaded_file\\(\\3\\[\'tmp_name\'\\], \\2\\.\\3\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\1"/><input type="Submit"/></form><\\?php }}', '<\\?(php)?\\s*(eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*(\\$.\\s*=\\s*[\\wchr\\(\\)\\d+\\./\\*;\\s"\']+)+\\$.\\([chr\\(\\)\\d\\.,\\s*\\$abc]+;\\s*$', '((\\$\\w+=\'.\';)+\\$\\w+=(\\$\\w+\\.?)+;)+eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\)\\)\\)\\)\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+shell_exec\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);', '<\\?php if\\(!isset\\(\\$GLOBALS.+?};}\\s*\\$\\w+="[a-zA-Zx\\\\\\d]+";\\s*\\$\\w+=substr\\(\\$\\w+,\\([\\d\\-\\+\\*/]+\\),\\([\\d\\-\\+\\*/]+\\)\\);\\s*\\$\\w+\\(\\$\\w+,\\s*\\$\\w+,\\s*NULL\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+=\\([\\d\\-\\+\\*/]+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*!isset\\(\\s*\\$GLOBALS.+\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*NULL\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>', '<\\?if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST).+\\$sh==\'127\\.0\\.1\\.\\d+\'\\){\\s*header\\(\'HTTP/1\\.1 203\'\\);exit;}}header\\(\'HTTP/1\\.1 201\'\\);exit;}header\\(\'HTTP/1\\.1 302 Found\'\\);header\\(\'Location: [^\']+\'\\);\\?>', '\\$\\w{1,40}=\'\\w+\\(\\!\\w+\\("\\w+"\\)\\).*?;return\\s+\\$module->content\\.html;\\}', '<\\?php\\s*echo"\\w+";error_reporting\\(0\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\) && md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'com\'\\]\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*\\$kk\\s*=\\s*strtr\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\'-_,\',\\s*\'\\+/=\'\\);eval\\(base64_decode\\(\\$\\w+\\)\\);\\s*echo"\\w+";\\s*\\?>', '<\\?php\\s*(/\\*[^\\*]+?\\*/)?\\s*\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*"\\w+";(\\s*//.+?$)?\\s*\\$\\w+="[create_function\\.\\"\\s]+";\\$\\w{1,40}=\\$\\w+\\(\'[\\$evalx\',\\.(\\"\\?>gzinfltbs64dcode_);]+\\$\\w+\\(".+"\\);\\s*(\\?>)?', '<\\?\\s*\\$ip = getenv\\("REMOTE_ADDR"\\);.+?\\$headers \\.= \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eMailAdd\'\\]\\."\\\\n";.+?header\\("Location:.+?\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\];\\s*move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\],\\s*\\$\\w+\\);\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'main\'\\]\\)\\)\\s*{\\s*echo\\s*\'<form method\\s*=\\s*"post".*?</form>\';\\s*}\\s*\\?>', '<\\?php\\s+\\$\\w+\\s*=.+?\\$\\w+\\s*=\\s*explode\\(chr\\(\\(\\d+[\\-\\+\\*\\/]\\d+\\)\\),\\s*\'(\\d+,?)+\'\\);\\s*\\$\\w+\\s*=\\s*\\$cenghfgqo\\("",erjcqwd\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+\\(""\\);\\s*\\$\\w+=\\(\\d+[\\-\\+\\/\\*]\\d+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>\\s*', '\\$\\w{1,40}=\'base64_decode\';\\$\\w+=\\$\\w+\\(\\$_[POST|GET]+\\[\'\\w+\'\\]\\);file_put_contents\\(\'\\w+\',\'<\\?php\\s*\'\\.\\$\\w+\\);include\\(\'\\w+\'\\);unlink\\(\'\\w+\'\\);', '/\\*\\w+\\.php\\s*\\*/\\s*@require_once\\(.*?\\);\\s*/\\*\\w+\\.php\\s*\\*/', '\\$_[O0]*="[a-f0-9]{32}";\\$_[O0]*=str_rot13\\(.*?eval\\(strrev\\(\'.*?\'.*?eval\\(_[0O]*\\(_[0O]*\\(".*"\\),\\$_[0O]*\\)\\);eval\\(_[0O]*\\(\\$_[0O]*\\)\\);\\$\\w+=\'.*?\';', '\\$[O0]+\\s*=\\s*urldecode\\("[^"]+"\\);.{100,400}eval\\(\\$[O0]+\\(".{100,1000}"\\)\\);\\s*', '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"http://.+?"\\s*\\);\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]=="\\w+"\\){\\s*eval\\(\\$\\w+\\);\\s*exit;\\s*}\\s*\\?>\\s*', '<\\?php\\s*preg_replace\\("/\\.\\*/e","(\\\\x[a-fA-F0-9]+){5,}.+",""\\);\\s*(\\?>)?\\s*$', 'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\){\\$str = \\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]; \\$\\w+[\\/\\*/\\-]*\\([/\\*\\/\\-]*\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\][/\\*\\/\\-]*\\);}', 'eval\\(base64_decode\\("CmV[A-Za-z0-9\\+\\/\\=]+"\\)\\);', '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*if\\(\\s*isset\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*{\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\);\\s*}', '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*.+?eval\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*}', '<form\\s+enctype=multipart/form-data\\s+method=post>\\s*<input\\s+name=fileMass\\s+type=file>.+?@copy\\(\\$_FILES\\[fileMass\\]\\[tmp_name\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[path\\]\\.\\$_FILES\\[fileMass\\]\\[name\\]\\);\\s*}};\\s*\\?>', '<\\?php \\$a = str_replace\\(x,"","\\w+"\\);\\$a\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\); \\?>', '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[^\']{5000,}\'\\)\\)\\)\\);\\s*\\?>\\s*', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){echo\\s*\'<form .+?echo\'\\+\';}else{echo\'-\';}}}', '<\\?php print\'<form enctype=multipart/form-data.+?\\)\\){if\\(is_uploaded_file\\(\\$_FILES.+?\\);}}exit;\\?>\\s*$', '<\\?php.\\$[a-zA-Z]{10}\\w*=.*false;if\\(isset.*chr\\(\\d.*\\="\\)\\);exit\\(\\);$', '<\\?php\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';}else{\\(\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\'/ad/e\',\'@\'\\.str_rot13\\(\'riny\'\\)\\.\'\\(\\$www\\)\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*}\\?>\\s*', '\\$\\w{1,40}\\s*=\\s*Array\\(\'[asert\\.\\\']+\'\\);@\\$\\w+\\[chr\\(\\d+\\)\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[asert\\.\\\']+\'\\]\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\']\\)\\)\\s*copy\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);else', '<\\?\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*preg_replace\\(\'/\\w+/e\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\?>\\s*', 'if \\(isset\\(\\$_REQUEST\\["\\w+"\\]\\)\\) {(/\\*\\w+\\*/)?@extract\\(\\$_REQUEST\\);/\\*\\w+\\*/@die\\(\\$\\w+\\(\\$\\w+\\)\\);(/\\*\\w+\\*/)?}', '/\\*\\s*TEST-TRACK-LINE\\s*\\*/\\s*\\$\\w+.+?/\\*\\s*/TEST-TRACK-LINE\\s*\\*/\\s*', '@preg_replace\\("/\\[\\w+\\]/e"\\s*,\\s*\\$_(COOKIE|POST|GET|REQUEST|SERVER)\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*"\\w+"\\s*\\);', '@extract\\s*\\(\\s*\\$_REQUEST\\s*\\);\\s*@die\\s*\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*\\);', 'if\\s*\\(isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*@\\$_COOKIE\\["\\w+"\\]\\(\\$_COOKIE\\["\\w+"\\]\\);', '/\\*\\s*.{32}\\s*\\*/\\s*function xmail\\s*\\(\\)\\s*{\\s*\\$a=func_get_args\\(\\);\\s*file_put_contents\\(\'.+?mail\\(\\s*\\$a\\[0\\],\\s*\\$a\\[1\\],\\s*\\$a\\[2\\],\\s*\\$a\\[3\\]\\s*\\);}\\s*function x.+?\\^\\s*\'0\';}\\s*return\\s*\\$o;}', '\\$\\w{1,40}\\s*=\\s*".{32}";\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*eval\\(\\$\\w+\\);\\s*exit\\(\\);\\s*}\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+,\\s*\'w\'\\);\\s*\\$\\w+\\s*=\\s*fwrite\\(\\$\\w+,\\s*\\$\\w+\\);\\s*fclose\\(\\$\\w+\\);\\s*echo\\s*\\$\\w+;\\s*exit\\(\\);\\s*}', '<\\?php\\s*\\$a=isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'null_prime\'\\]\\);\\s*\\$c="[^"]+";.+?strrev\\(\\$c\\)\\)\\);fclose\\(\\$f\\); die; }\\s*\\?>\\s*', '<\\?php\\s*(if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"]\\)\\)\\s*\\$\\w+ = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*else\\s*{\\s*echo "indata_error";\\s*exit;\\s*}\\s*)+if\\(mail\\(\\$\\w+,\\$\\w+,\\$\\w+,\\$\\w+\\)\\)\\s*echo "sent_ok";\\s*else\\s*echo "sent_error";\\s*\\?>', 'if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file\\(\\$_FILES\\[\'F1l3\'\\]\\[\'tmp_name\'\\], \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'Name\'\\]\\); Exit;}', '<\\?\\s*if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+echo \'You are forbidden!\';\\s*}\\s*\\?>', '\\$gif=file\\(dirname\\(__FILE__\\)\\.\'/images/\\w+\\.gif\',2\\);\\$gif=\\$gif\\[\\d+\\]\\("",\\$gif\\[\\d+\\]\\(\\$gif\\[\\d+]\\)\\);\\$gif\\(\\);', '\\$\\w{1,40}\\s*=\\s*@\\$_COOKIE\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\) {\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\);\\s*\\$\\w+=\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\); \\$\\w+\\("/\\w+/e",\\$\\w+,\\w+\\);}', '<\\?\\s*set_time_limit\\(\\d+\\);\\s*error_reporting\\(0\\);\\s*\\$\\w+\\s+=\\s*\'[^\']+\';\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$rhs\\)\\)\\)\\)\\;\\s*\\?>', '\\$urls\\s*=\\s*array\\s*\\(.+?\\);\\s*\\$URL\\s*=\\s*\\$urls\\[rand\\(0,\\s*count\\(\\$urls\\)\\s*-\\s*1\\)\\];\\s*header\\s*\\("Location:\\s*\\$URL"\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){\\s*\\$d=substr\\(8,1\\);foreach\\(array\\((\\d+,)+.+?eval\\(\\$d\\);\\s*}', '<\\?php\\s*\\$\\w{1,20}\\s*=\\s*Array\\(\'\\w\'=>.+sprintf\\(\\w{1,20}\\(\\$\\w{1,20}\\s*,\\s*\\$\\w{1,20}\\)\\);(\\?>)?', '\\$_REQUEST\\[.\\]\\s*\\?\\s*eval\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[.\\]\\s*\\)\\s*\\)\\s*:\\s*exit;', '<\\?php\\s*\\$\\w{1,40}=".+";eval/\\*\\*/\\(strrev\\(str_replace\\(".","",\\$\\w+\\)\\)\\);\\?>', '<\\?php\\s*if\\(preg_match\\((chr\\(\\d+\\)\\.)+.+if\\(\\$\\w+===false\\)continue;\\$\\w+=str_repeat.+base64_decode\\(\'[a-zA-Z0-9\\+/=]+\'\\),.+?\\$\\w+\\)\\);break;}}}\\?>', '<\\?\\s*\\$_="";\\$_\\[\\+""\\]=\'\';\\$_="\\$_.*\\$_}\\[\'__\'\\]\\);\\?>', '<\\?php\\s*\\$_\\w+="(\\\\x[A-Fa-f0-9]{2}){1,500}";\\$_\\w+\\("(\\\\x[a-fA-F0-9]{2}){1,500}",".+?",\'\\.\'\\);\\?>', '<\\?php\\s*\\$\\w{1,40}=\'\\#\\#\\#.+\\\'\\)\\);\';\\s*\\$\\w+=str_replace\\(\'\\#\', \'\', \\$\\w+\\);\\$\\w+=create_function\\(\'\',\\$\\w+\\);\\$\\w+\\(\\);\\s*\\?>', '<\\?php\\s*(?:/\\*.{0,1000}?\\*/\\s*)?eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9/+=]{5000,}\'\\)\\)\\);\\s*\\?>', '<\\?php\\s+//\\w{0,2100}\\s*eval\\(base64_decode\\("[a-zA-Z0-9/\\+=]+"\\)\\);\\s*\\?>', '<\\?php\\s+function (\\w+)\\(\\$file_url,.+?file_get_contents\\(\\$file_url\\);\\1\\(\'https://dl\\.dropboxusercontent\\.com.+?unlink\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\]\\);\\?>', '<\\?php\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,5}\'\\]\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*preg_replace\\("(\\\\x?[a-f0-9A-F]{2,3})+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\);', '<\\?php\\s*if\\s*\\(!isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\) header\\("HTTP.+?"\\);\\s*@preg_replace\\(\'.\\(\\.\\*\\).e\',\\s*@\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\);\\s*\\?>', '<\\?php\\s*@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?', '<\\?php\\s?if\\s?\\(\\s?md5\\s?\\(\\s?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["password"\\]\\s?\\)\\s?==\\s?"[0-9a-z]{32}"\\s?\\)\\s?\\{\\s?preg_replace\\s?\\(\\s?"\\\\.*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["code"\\].*;\\s?\\}\\s?\\?>', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?extract\\(\\$_REQUEST\\);@?die\\(\\$\\w+\\(\\$\\w+\\)\\);.*?}', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?preg_replace\\(\'/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\s*\\);.*?}', '//istart\\s.+?function\\s+decrypt_url.+?//iend', '<\\?php\\s*\\$version\\s*=\\s*"\\d+\\.\\d+";.+?if\\(@file_put_contents\\(\\$.+?@include_once\\(.+?@unlink\\(.+?404 Not Found.+\\?>', 'eval\\(base64_decode\\(@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'[a-zA-Z0-9]+\'\\]\\)\\);', 'if\\(\\(md5\\(@\\$_COOKIE\\[ssid\\]\\)=="\\w{32}"\\)\\)\\{error_reporting\\(0\\);@array_map\\(.*\\);\\}', '//\\#\\+=\\+\\#\\+.+?//\\#\\+=\\+\\#\\+', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\);\\s*\\?>', '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\)\\);\\s*\\?>', 'preg_replace\\("\\\\x2f(\\\\x..)+"\\s*,\\s*"(\\\\x..)+",""\\);', '<\\?php\\s*preg_replace\\("/\\w+/e"\\s*,\\s*"e["\'.va]+l\\(\'"\\.\\$_REQUEST\\[\'\\w+\'\\]\\."\'\\)"\\s*,\\s*"[a-zA-Z\\s0-9_]+"\\);\\s*\\?>', '\\$.\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST);\\s*@\\(\\$.\\[\\d\\]\\s*!=\\s*\\$.\\[\\d\\]\\)\\s*\\?\\s*@\\$.\\[\\d\\]\\(\\$.\\[\\d\\]\\)\\s*:\\s*\\(int\\)\\$.;', '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$\\w+\\)\'\\s*,\\s*\'add\'\\);\\s*\\?>\\s*', 'class\\s*(\\w{1,40})\\s*{\\s*public\\s*function\\s*__construct\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?(\\$_COOKIE\\[[\'"])\\w{1,40}[\'"]\\];\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*\\(\\s*@?\\3\\w{1,40}[\'"]\\]\\s*\\);\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*;', '\\A\\s*<\\?php\\s*\\$[a-z]{4,15}\\s*=\\s*[^\\n]{6000,11000}\\s*=\\s*explode\\(chr\\s*\\([^\\?]{1000,3000};\\s*(\\$[a-z]{4,15})=\\(\\d+-\\d+\\);\\s*\\$[a-z]{4,15}\\s*=\\s*\\1\\s*-\\s*1;\\s*\\?>', '\\A\\s*<\\?php\\s+/\\*.{99,600}/\\s*\\$\\w{1,40}=[\'"][^;]{40,80}[\'"];/\\*\\w{1,9}\\*/\\$.+\\$\\w{1,40}\\s*=\\s*[\'"](a|c|e|g|l|p|r|_|\\\\160|\\\\162|\\\\137|\\\\145|\\\\154|\\\\141|\\\\143|\\\\147){3,9}[\'"];\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\.\\$\\w{1,40}\\.\\$\\w{1,40};\\$\\w{1,40}\\(\\$\\w{1,40},\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\),[\'"][\'"]\\);\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*;\\s*[^`]{1,600}file_get_contents\\s*\\(\\s*\\1(?:\\s*\\)\\s*){1,5};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*base64_decode\\([\'"]ZWNobyAnPGNlbnRlcj48YSBocmVmPWh0dHA6Ly93d3cuZmIuY29tL3llYWhhY2tlci[^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])[^\\}]{1,400}\\2;\\s*(\\$\\w{1,40})\\s*=(?:\\s*\\.?\\s*\\1\\[\\d+\\]){90,150}\\s*;[^\\?]{420,600}(\\$\\w{1,40})\\s*=\\s*\\3\\s*;[^\\?]{1,200}\\4\\)\\);\\$\\w{1,40}\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\])=Array\\(base64_decode\\([^`]{20000,25000}false;\\}if\\(!empty\\((\\$\\w{1,40})\\)\\)\\{if\\(\\1\\[\\d+\\]\\(\\$\\w{1,40},\\2\\)\\)\\{(\\$\\w{1,40})=false;\\}\\}return\\s+\\3;\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\$GLOBALS\\[[^`]{2200,2700}\\}\\}(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.creat_funio]{21,60}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([^;]{40,100};[\'"]\\);\\2\\([\'"][^\\?]{60000,}[\'"]\\);\\?>', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=(?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,};\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\((?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,}\\)\\s*;.+?eval\\s*\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+function\\s*(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\([\'"]Ly4vZQ[=]{0,2}[\'"],[^\\}]{80,150}\\}\\s*preg_replace\\(\\1\\(\\d+\\),[^\\?]{5000,}\\1\\(\\d+\\)\\);\\s*\\?>', '\\A\\s*<\\?php\\s+@?eval\\(gzuncompress\\(base64_decode\\([\'"]eNqlfGlzE1e37l/puHJPbOKYnjRB[^\'"]{13000,13800}[\'"]\\)\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s)\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*md5\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*[^\\?]{1000,5000};\\s*\\}\\s*function\\s+\\w{1,40}\\s*\\(\\s*\\3\\s*\\)\\s*\\{\\s*[^\\*]{500,1500}(?:\\.(\\$\\w{1,40})\\.base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)){2}\\;\\s*\\}', '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoQCRf[^\']{1,600}[\'"]\\s*\\)\\s*\\);\\s*\\?>\\s*(<[^>]{0,40}(?:php|html))', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]?[^\\]]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*else\\s*\\{?\\s*echo\\s*\\(?\\s*[\'"][^\'"]{0,40}[\'"]?<script\\s*src\\s*=\\s*https?://[^>]{3,40}(?:images|css|uploads|includes)/\\w{1,40}\\.php\\s*>[^\\?]{1,100}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s)\\s*\\$[O0]{4,12}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"].{1,60}[\'"]\\s*\\)\\s*;\\s*(\\$[O0]{4,12})\\s*=.{58,558}\\s*;\\s*@?eval\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^"\']{1,10000}["\']\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php)?\\s+/\\*\\*', 'error_reporting\\(0\\);\\s*if\\s*\\(isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\s*&&\\s*md5\\(\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*&&\\s*isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\)\\s*eval\\s*\\( base64_decode\\s*\\(\\$_REQUEST\\[[\'"]\\2[\'"]\\s*\\]\\s*\\)\\s*\\);', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*(?:md5\\()?\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)?\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*\\1\\s*\\);\\s*@?(?:eval|assert|system)\\s*\\(\\s*(?:[\'"]\\s*\\?>)?[^\\?]{1,99}\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmICggaXNzZXQoICRfQ09PS0lFWy[^\'"]{1,500}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>(?:\\s*<!--[a-z,0-9]{1,40}-->)?', '\\A\\s*<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*(<\\?|\\Z)', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]\\s*<\\s*form\\s*action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*method\\s*=\\s*[\'"]post[\'"][^\\}]{1,300}\\s*\\{\\s*echo\\s*[\'"][^\'"]{0,39}up![^\'"]{0,39}[\'"]\\s*;\\s*\\}\\s*\\}\\s*exit\\s*;\\s*\\}', '/\\*edition:\\d+\\.\\d+\\*/\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]eNpN[^;]{3000,5000}[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\}(?:\\s*(passthru|exec|shell_exec|popen|system|eval|assert)\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}(?:\\s*unlink\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}\\s*\\Z', 'file_put_contents\\([\'"]\\w{1,12}\\.php[\'"],\\s*[\'"]<\\?php\\s*[^`]{1,200}\\s*\\{?\\s*eval\\(\\$_POST\\[[\'"]\\w{1,12}[\'"]\\]\\);\\}?\\?>[\'"]\\);\\s/\\*[\'"]\\);', 'file_put_contents\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\1[\'"]\\s*\\)\\s*;', '<\\?(?:php)?\\s+[^\\$]{1,200}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]7T37W\\+O2sr/f77v/g\\+[^\\?]{12000,15000}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', 'if\\s*\\(\\s*\\$_SERVER\\[[\'"]REQUEST_METHOD[\'"]\\]\\s*===\\s*[\'"](?:GET|POST)[\'"]\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*array_shift\\(\\s*\\$_POST\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"\\s]{2,5},\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\);\\s*\\2\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{[^\\{]{1,600}if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,40}[\'"]?\\]\\s*==\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{100,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php)', '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];){2,4}\\s*\\$\\w{1,40}\\s*=\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\);\\s*if\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*else\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*include\\(\\$_SERVER[^\\}]{100,600}->Authorize\\([^\\)]{1,40}\\);\\s*header\\([\'"]location:[^\'"]{1,40}[\'"]\\);\\s*die\\(\\);\\s*\\}\\s*else\\s*\\{[^\\}]{1,600}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\{\\s*\\}\\s*\\?>', '(<\\?php\\s*)\\$GLOBALS\\[[^`]{1000,3000}file_put_contents\\([\'"]\\.\\./uploads/index\\.php\',\'index\\.php[\'"]\\);\\s*if\\(0\\^0\\)&&array_sum\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\)dir\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\s*echo\\s*[\'"]\\w{1,40}[\'"];', '<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*[\'"](PGgyPjxkaXYgc3R5bGU9InBvc2l0aW9uOiBhYnNvbHV0ZT)[^\'"]{100,600}[\'"];\\s*echo\\s+base64_decode\\(\\s*\\$\\1\\s*\\);\\s*\\?>\\s*<\\?php\\s+\\s*echo\\s+base64_decode\\([\'"]\\2[^\'"]{100,600}[\'"]\\);\\s*\\?>', '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\[\\d+\\]\\s*=\\s*[\'"][^\'"]{100,200}[\'"];){30,40}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];)?\\s*for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*count\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\.?=\\s*base64_decode\\(\\s*\\2\\[\\1\\]\\s*\\);\\s*\\}\\s*@?eval\\(\\3\\);\\s*\\?>', '\\A\\s*<\\?php\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]\\.php_uname\\(\\)\\.[\'"][^\'"]{0,40}[\'"];\\s*[^\\?]+if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{0,40}up[^\'"]{0,40}[\'"]\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\([^\\)]{1,80}\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\}\\s*\\}\\s*\\?>', '(//\\#\\#\\#==\\#\\#\\#)[^\\\\#]{1000,6000}\\}\\}\\}\\}if\\(@\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*==\\s*\\w{1,40}\\(\\w{1,40}\\)\\)\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]]\\[\\w{1,40}\\]\\(\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};\\s*\\}\\s*\\1', '(</body>\\s*</html>)\\s*<\\?php\\s*echo\\s*[\'"]<form\\s+action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{200,400}\\}\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '<\\?php(?:\\s*\\$[O0_]{1,40}\\s*=\\s*[\'"]\\w{1,40}[\'"];){1,3}[^`]{36000,37000}@?eval\\(\\s*\\$[O0_]{1,40}\\s*\\);\\s*unset\\(\\s*\\$[O0_]{1,40}\\s*,\\$\\w{1,40},(?:\\s*\\$[O0_]{1,40}\\s*,?){5,10}\\);\\s*exit\\(\\);\\s*\\}\\s*\\}\\s*[\'"]\\s*\\);\\$\\{\\s*[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*@?isset\\(\\s*(\\$_POST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\?]{1,}\\s*@?touch\\(\\$_SERVER\\[[\'"]?DOCUMENT_ROOT[\'"]?\\]\\s*\\.\\s*base64_decode\\s*\\(\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*,\\s*strtotime\\([\'"]-\\d+\\s*\\w{0,5}[\'"]\\)\\);\\s*die\\([^\\)]{1,40}\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*\\w{0,40}\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$_FILES\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*basename\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);\\s*if\\s*\\(move_uploaded_file\\(\\$_FILES\\[[\'"]?\\1[\'"]?\\][^\\j]{1,300}</form>[\'"];\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*@?(\\$_SERVER)\\[[\'"](HTTP_X_)\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*if\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\],\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*@?md5\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?eval\\(stripslashes\\(\\$\\w{1,40}\\)\\);\\s*die;\\s*\\}\\s*\\?>', '\\AOptions\\s+FollowSymLinks\\s+MultiViews\\s+Indexes\\s+ExecCGI.{20,100}AddHandler\\s*cgi-script\\s*.\\w{1,5}\\Z', '\\ARewriteEngine\\s+On\\s*RewriteBase\\s+/\\w+\\s*RewriteCond %{REQUEST_FILENAME}\\s+!-..+?\\s*RewriteRule \\^\\(\\.\\*\\)\\s+index\\.php\\?id=\\$1\\s*\\Z', '\\A\\s*RewriteEngine\\s*On\\s*RewriteRule\\s*\\^\\.\\*\\$\\s*http://.+?\\.php\\s*\\[R=301\\]\\s*\\Z', 'RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[a-zA-Z0-9_\\-\\.]+\\.(xyz|info|pw)/\\w+\\s+\\[L\\s*,\\s*R=302\\]', 'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?fw=\\$1\\s+\\[L\\]', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[.+?windows-media-player\\)\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[\\S]+\\s+\\[L,R=302\\]', 'RewriteEngine On\\s*RewriteRule\\s+\\^\\(\\.\\*\\),\\(\\.\\*\\)\\$ \\$2\\.php\\?rewrite_params=\\$1&page_url=\\$2', '<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*Options\\s*\\+FollowSymLinks\\s*RewriteEngine\\s*on\\s*RewriteBase\\s*/\\w+\\s*RewriteRule\\s*\\^c\\s*\\(\\\\d\\+\\)\\[-/\\].+?</IfModule>', '\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#<IfModule\\s*mod_rewrite\\s*\\.\\s*c>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#</IfModule>\\s*\\#\\s*END\\s*WordPress', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^`]{1,600}/form>[\'"];\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+/\\*\\*[^`]{1,600}\\*/\\s*function\\s+(\\w{1,40})\\(\\s*(\\$phone)\\s*\\)\\s*\\{\\s*(\\$main)\\s*=\\s*\\2\\s*\\^\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*[^\\}]+\\$\\w{1,40}\\s*\\(\\s*\\3\\s*\\([^;]{1,40}\\s*;\\s*\\}\\s*\\1\\s*\\(\\s*[^\\)]{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\([^\\?]{999,2000}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(\\s*\\$\\w{1,40}\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\(\\s*\\3\\s*,\\s*\\2\\s*\\);[^\\?]{1,400}\\s*(?:\\?>|\\Z)', '(<\\?php)\\s*@?(?:eval|assert)\\s*\\(\\s*\\$_(?:POST|GET|COOKIE|REQUEST|SERVER)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])\\s*\\1\\s*[^\\?]{1,120}\\s*\\2;(\\s*\\1\\.?=\\s*\\2\\s*[^\\?]{1,120}?\\2;\\s*){1,9}\\s*[^@]{1,99}(\\$\\w{1,40})\\s*=\\s*@?\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*@?\\s*\\4\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\((?:\\s*(?:gzinflate|base64_decode|strrev|str_rot13)\\(\\s*){1,4}[\'"]=8u///5557/ss//xBzBpXjJ5/nVhIuMLepXM09DIgR[^\'"]{60000,}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\\w+\\]\\)\\)\\s*\\{\\s*stripslashes\\(\\$_REQUEST\\[\\w+\\]\\(\\$_REQ.+?\\?>', '\\${"\\\\x\\d+\\\\x.+;\\$\\{\\${.+]}\\["\\w"\\]\\);}}', '(<\\?php)\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,10000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?(\\s+/\\*\\*\\s+\\*)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*@?(?:eval|assert|system|exec)\\s*\\(\\s*base64_decode\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*\\}\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s+(?:echo|print)\\s*\\(?\\s*[\'"][\\!\\s\\-\\w\'"\\^]{1,40}[\'"]\\s*\\)?\\s*;\\s*\\?>(?:\\s*<\\?php\\s+(?:system|chmod)\\s*\\(\\s*(?:[\'"]?(?:chmod|\\w{1,40}\\.php|\\d{3,4})\\s*[\'"]?\\s*,?){2,3}\\s*\\)\\s*;\\s*\\?>){2}', '\\A\\s*<\\?php\\s*[^\\$]{0,150}\\$\\w{1,9}\\s*=\\s*[\'"][^\'"]*[\'"];\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]HJ3HjuvcckZf5cLwwAYHzAmGAVOMYs5p8oM55yCST2[^\'"]{20000,55000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php[^\\(]{0,150}eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzsffl3G8eR8M.0e.4fRhOuAJogLt6kQIn3IV4iSOoiH94AGBAQA[^\'"]{9999,38000}[\'"]\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:G|P)[^\\(]{1,15}preg_replace\\s*\\([^\\)]+[\'"](?:\\\\x65|e)(?:\\\\x76|v)(?:\\\\x61|a)(?:\\\\x6c|l)(?:\\(|\\\\x28)(?:g|\\\\x67)(?:z|\\\\x7a)(?:i|\\\\x69)[^\'"]{9,28}(?:\\\\x62|b)(?:a|\\\\x61)(?:s|\\\\x73)(?:e|\\\\x65)(?:\\\\x36|6)(?:\\\\x34|4)[^\'"]{5,35}[\'"][^\\)]{999,25000}\\);\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^;]{1,15}(?:Z290bw|b3Rv|IGdvdG8)[^;]{9999,24000}(?:ZXZhbA|dmFs|IGV2YWw)[^;]{9,99}(?:aHRtbHNwZWNpYWxjaGFyc19kZWNvZGUodXJsZGVjb2RlKGJhc2U2NF9|dG1sc3BlY2lhbGNoYXJzX2RlY29kZSh1cmxkZWNvZGUoYmFzZTY0Xw|bWxzcGVjaWFsY2hhcnNfZGVjb2RlKHVybGRlY29kZShiYXNlNjRf)[^;]{9,600}[\'"]\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*&&\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_[^\\)]+\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]BcFJkqowAADQu.Squ1xAlLG6eiEiCjIaBnHzC0kY[^\'"]{400,999}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*\\?>', '\\A\\a*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZRFDu2IAQSvMrvMxAszKcrCz8yMm8jMzD59.gVa3VJV.1Ve6fB3[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php\\s*(?:/\\*[^.]{1,25}\\*/\\s*)?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzlvX1XGzcTOPo3PaffQWz9dO3GGNskbWowgRBI[^\'"]{999,26000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\([\'"](?:ZXZhbChnemluZmxhdGUoc3RyX3JvdDEzKGJhc2U2NF9kZWNvZGU|IGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|QGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|ZXZhbCggZ3ppbmZsYXRlKCBzdHJfcm90MTMoIGJhc2U2NF9kZWNvZGU)[^?]{99,2000}[\'"]\\)\\);\\s*\\?>', '\\A\\s*<\\?php\\s+(\\$[O_0]{2,12})=[\'"][\'"]*["\'];\\s*(\\$[O_0]{2,12})=\\([\'"][\\w\\-\\*\\^%&]{9,40}[\'"]\\);\\$[O_0]{2,12}=\\2[\\[\\{]\\d+[\\]\\}]\\.[^%]{25000,30000}\\(\\$[O_0]{2,12},\\$[O_0]{2,12}\\);exit\\([^\\w]{1,9}runsuccess[^\\w]{1,9}\\);\\}[\'"]\\);\\$\\{[\'"](?:\\\\x47|G)[^\'"]{1,40}[""]\\}\\[[^\\]]+\\]\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+session_start\\(\\);[^\\$]{0,600}\\$\\w{1,20}\\s*=\\s*(pack\\(\\s*[\'"][nvchslvq]\\*[\'"]\\s*,[^\\)]{1,40}\\))\\s*;\\s*(\\$GLOBALS)\\s*=\\s*array\\(\\s*([\'"]\\w[\'"])\\s*=>\\s*\\1\\s*,[^\\{]{300,600}\\s*(\\$_SESSION)[^%]{60,200}\\%\\w[\'"]\\s*,\\s*\\2\\[\\3\\]\\([\'"]\\w\\*[\'"],\\4\\[[\'"]\\w[\'"]\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\#(\\w{4,7}\\#)\\s*if\\s*\\(\\s*empty\\s*\\(\\s*(\\$\\w{1,5})\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*=\\s*[\'"]<(script)\\s+type\\s*=\\s*[\\\\\'"tcpservi/jxa]+[^;]+;\\w{1,5}\\s*=\\s*[\'"\\\\+document]+;\\s*(\\w{1,5})\\s*=\\s*[\'"\\\\+split]+;[^:]{9,200}eval[^/]{9,99}[\'"][\\w]{999,7000}\\\\[\'"]\\[\\4\\][^<]+\\);\\s*\\}\\s*<\\/\\3>[\'"];\\s*echo\\s+\\2;\\s*\\}\\s*\\#/\\1', 'if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*[\'"](sorry_function)[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*[^=]{40,90}\\s*\\$[^\\(]{400,1400}\\}\\s*\\}\\s*add_filter\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]\\1[\'"]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}[^:]{99,999}(?:h|\\\\x68)(?:t|\\\\x74){2}(?:p|\\\\x70)(?:s|\\\\x73)?://[^!]{99,600}if\\s*\\(\\s*strcasecmp\\s*\\(\\s*\\$_SERVER[^?]{99,5000}curl_exec\\s*\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}\\[[^\\]]{1,40}\\]\\}\\);[^;]{0,99};?\\}?exit\\(\\d*\\);?\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]1VVtT9swEP7c.gpTVSSVutFSNAYF1gk6aRL7AIwPCCbjJBfq[^?]{300,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][\\w\\.\\-]{1,40}\\.(?:jpg|gif|ico)[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_init\\([\'"]https?://[^\'"]{1,99}\\.php[\'"]\\s*\\)\\s*;[^>]{1,600}>[\'"]@?\\1[\'"][^=]{1,99}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\2\\);[^\\?]{1,99}(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*/\\*\\w{1,40}\\*/\\s*\\?>\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\{]{1,200}\\{\\s*return\\s*\\$\\w{1,40}\\.\\$\\w{1,40}.\\$\\w{1,40};\\s*\\}[^\\{]{15000,30000}[\'"],\\$\\w{1,40}\\)\\.[\'"][^\'"]*[\'"]\\);\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*error_reporting\\((?:0|false)\\);\\$\\w{1,40}=[\'"][^\'"]{1,99}[\'"];(\\$\\w{1,40})=array\\([^\\{]{9999,30000}\\{\\s*(\\$\\w{1,40})\\s*=\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\2\\s*\\]\\s*;\\s*\\}\\s*\\3\\s*\\(\\s*[\'"](?:\\\\\\w{1,3})+[\'"]\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*\\)\\s+\\{\\s*\\$\\w{1,40}\\s*=\\s*(?:(?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)\\s*\\(\\s*){2,5}[\'"][^\'"]{40,99}[\'"](?:\\s*\\)\\s*){1,5};\\s*[^\\?]{9999,20000}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*["\'][^\\^]{1,40}\\^[^\\;]{1,40};\\s*){2,5}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"],(?:\\s*\\$\\w{1,40}\\s*\\(\\s*){1,4}[\'"][^)]+\\)\\)\\);\\1\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+Error_Reporting\\((?:0|false)\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{9999,15000}[\'"];\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\x65|\\\\145)\\w?.?[\'"]\\s*,\\s*[\'"][^,]+,[^\\)]+\\);\\s*return[^\\;]*\\;\\s*(?:\\?>|\\Z)', '(<\\?php\\s+)(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\^\\s*\\2\\s*;\\s*(\\$\\w{1,40})\\s*=[^\\(]{600,999}(\\$\\w{1,40})\\s*=\\3\\([\'"][\'"],\\s*[\'"][^\'"]{500,999}[\'"]\\s*\\^\\s*\\4\\s*\\)\\s*;\\s*\\5\\s*\\(\\s*\\)\\s*;', '\\A\\s*(<\\?php\\s+)function\\s+(\\w{1,20})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,9}\\s*=\\s*array\\([^`]{1,999}\\s*if\\(\\s*@?\\$_POST\\[\\2\\(\\d+\\)\\][^\\w]{1,3}\\2\\(\\d+\\)\\)\\{if\\(@?copy\\((?:\\s*\\$_FILES\\[\\2\\(\\d+\\)\\]\\[\\2\\(\\d+\\)\\],?\\s*){1,2}\\)\\)(\\{echo)\\s*\\(?\\2\\(\\d+(\\);\\})else\\3\\s*\\(?\\2\\(\\d+\\4\\};\\};', '\\A\\s*(<\\?php\\s+)[^\\$]{1,600}(\\$\\w{1,40})\\s*=\\s*(?:false|0)\\s*;\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*(\\$\\w{1,40})\\)\\s*\\{\\s*\\2\\s*=\\s*\\3\\s*;\\s*[^\\?]{999,5000}\\s*\\;\\s*\\}\\s*return\\s+\\$buffer;\\s*\\}', 'if\\s*\\(\\s*(isset)\\s*\\(\\s*\\$_(COOKIE|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\2\\[[^\\]]{1,40}\\];\\s*elseif\\s*\\(\\s*\\1\\(\\s*\\$_(COOKIE|REQUEST)\\[[^;]{9,49};\\s*if\\s*\\(\\s*\\1\\s*\\(\\s*\\3\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\((?:\\s*(?:str_rot13|base64_decode)\\s*\\(\\s*){1,2}\\3(?:\\s*\\)\\s*){1,3};\\s*die\\(\\)\\s*;\\s*\\}', '\\A\\s*<\\?php[^\\$]{1,600}\\s*\\$\\w{0,9}pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,99};\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[^\\]]{1,40}\\][^\\?]{500,999}\\}\\s*@?(?:eval|assert)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:eNp9Wf.TE1W2.1cu|eNqNWflTE9n2.1d|ZXJyb3JfcmVwb3J0aW5nKDApOyAkeyJH)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:.Mw.ff..fnv..nq|UkFKPqkH3JF|rWjHzfqdkptPE|eF7svWl34kjSKPy|eNqde.uPJFl15)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"][^\'"]{999,25000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[\'"](?:eNpTiT83sfPs1pOH|eNpdkcFrE0EYxf|eNplUkFrE0EY|jVRtb9s4DP4eIP)[^\'"]*[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHAgDQoNCg0KDQp[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(?<!@)preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[\'"]\\\\[^,]{999,60000}\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{0,20};\\s*\\$\\w{1,40}\\s*=\\s*[^;]{20,80};\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\)\\s*;\\s*[^\\?]{60000,}function\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\{(?:\\s*\\$\\w{1,40}\\s*=[\'"][^\'"]{20,80}[\'"]\\s*;\\s*){2}return\\s*[\'"](?:\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*){2}[\'"]\\s*;\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)[^\\$]{1,99}\\s*\\$wp_auth(?:\\w{1,9})?\\s*=\\s*[\'"]\\w{20,40}[\'"];\\s*if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*["\']slide[^<]+(?:<script[^\\.]+(?:\\.onclasrv|\\.mobisla)[^>]+>\\s*</script>\\s*){1,3}[^`]{999,3000},[\'"]slider_option_footer[\'"]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*[^\\{]{1,600}try\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,5000}[\'"]\\s*\\)\\s*;\\s*function\\s+scan\\s*\\([^\\?]{999,3000}=\\s*explode\\s*\\([\'"]<\\?php[\'"],[^\\?]+\\?\\s*[\'"]https?[\'"][^\\?]+unlink[^;]{1,40};\\s*\\}\\s*catch\\s*\\(\\s*Exception\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*[^$]{0,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*[^\\;]{1,40};\\s*){1,3}@?\\$\\w{1,40}\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,\\s*[\'"][^\\^]+\\^[^,]+,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\s*\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\s*\\(\\s*[\'"]?\\1[\'"]?\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\2\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\$(?:auth)?_?pass\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*[^;]{1,200};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\\\[^;]{1,200}[\'"];\\s*if\\s*\\(\\s*(?:!|@)?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2(?:e|\\\\x65)\\w?.?[\'"]\\s*,\\s*\\1\\s*,\\s*[\'"][\'"]*[\'"]\\s*\\)\\s*\\);(?:\\s*die\\s*\\(\\s*[^\\)]*\\s*\\)\\s*;)?', '(\\$\\w{1,40})\\s*=\\s*get_option\\s*\\(\\s*[\'"]_site_transie\\w{30,50}[\'"]\\s*\\);\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*\\1(?:\\[[^\\]]{1,40}\\])?\\s*\\)\\s*\\);\\s*if\\s*\\(\\s*[^\\{]{29,99}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\);\\s*@?\\2\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s+[^\\$]{9,49}\\s*\\?>\\s*<form\\s+method\\s*=\\s*[\'"]POST[\'"][^\\?]{69,99}?</form>\\s*<\\?php\\s*(?:echo)?\\s*\\(?\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^;]{9,60};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]\\s*<title>[^\\$]{199,600}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,400}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$data)\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"](Email|Password|IP(?:Address)?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){2,3}\\s*\\1\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;', 'error_reporting\\((?:0|Null|False)\\);\\s*preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,"eval\\([\'"]//', '<html>\\s*<head>\\s*<title>\\s*Webmail\\s+\\|?\\s*Update\\s*<', '\\A\\s*<\\?(?:php)?[ ]{200,}if\\s*\\(\\s*!\\s*isset\\s*\\(\\s*\\$_[^\\?]{40,150}\\s*\\?>\\s*<\\?(?:php)\\s*\\$\\{[^\\?]{60000,64000}[\'"],[\'"](?:\\\\x2e|\\.)[\'"]\\s*\\);\\s*\\?>\\s*\\Z', 'if\\s*\\(\\s*function_exists\\s*\\(\\s*[\'"]shell_exec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*shell_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*return\\s*[^;]{1,40};\\s*\\}\\s*function\\s*command\\(\\)\\s*\\{', '<title>\\s*[\\|]{0,2}\\s*InboX\\s+Mass\\s+Mailer', '\\A\\s*<\\?(?:php)?\\s*\\$[O0]{6,12}\\s*=\\s*urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{\\d+\\}\\s*\\.?\\s*){2,10};){2,9}\\s*@?eval\\(\\$[O0]{6,12}\\([\'"](JE8w|JE9P|JDAw|JDBP)[^\'"]{1000,25000}[\'"]\\)\\s*\\);\\s*(?:/\\*[^\\?]{1,40}\\*/)?\\s*\\?>\\s*\\Z', '<title>\\s*Cmd\\s+by\\s+ghz', '\\A\\s*(<\\?php)\\s*error_reporting\\([^\\)]{1,9}\\);\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*php_uname\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*phpversion\\(\\);\\s*(\\$\\w{1,40})\\s*=\\s*ini_get\\([\'"][^\'"]{1,40}[\'"]\\);\\s*if\\s*\\(\\s*\\2\\s*[^\\w]{1,2}=\\s*[\'"][\'"]\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*(?:print|echo)\\s*[^;]{1,600};', '\\A\\s*<\\?php\\s+call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*[\'"][\'"],\\s*[\'"][^\'"]{30000,40000}["\'](?:\\s*\\)\\s*){1,3};\\s*[\'"](?:\\s*\\)\\s*){1,3};\\s*(\\?>|\\Z)', '\\}\\s*elseif\\s*\\(\\s*function_exists\\([\'"]shell_exec[\'"]\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@?shell_exec\\(\\$cmd\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*function\\s+perms\\(\\$\\w{1,40}\\)\\s*\\{', '(\\$\\w\\d)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fputs|fwrite)\\(\\1,(\\$\\w\\d)\\);\\s*mail\\(\\$\\w\\d,\\$\\w\\d,\\2,\\$\\w\\d\\);\\s*header\\([\'"]Location:', 'visitor_country\\(\\);\\s*(\\$(?:msg|message))\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]?(\\\\n[\'"]);\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]email[\'"]\\]\\s*\\.\\s*[\'"]?\\2;\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]password[\'"]\\]\\.[\'"]?\\2;', '\\A\\s*GIF8\\d[^`]{2000,6000}?<\\?php', '<title>\\s*Sign\\s*in\\s*to\\s*your\\s*Microsoft\\s*account\\s*</title>', '\\$subject\\s*=\\s*[\'"]\\s*\\w{1,40}\\s*\\[\\s*[\'"]\\s*\\.\\s*getRealIpAddr\\s*\\(\\s*\\)\\s*\\.\\s*[\'"]\\s*\\]\\s*[\'"]\\s*;\\s*\\$headers\\s*=\\s*[\'"]\\s*From:\\s*New\\s+ID\\s+Scan', '\\$\\w{1,40}\\s*=\\s*[\'"]a:1:{s:13:"administrator";b:1;}[\'"];\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<!--\\s*Silence\\s*is\\s*golden\\.?\\s*-->[\'"];\\s*\\}', 'function\\s+\\w{1,40}\\s*\\([^\\)]{0,40}\\)\\s*\\{\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*class_exists\\s*\\(\\s*[\'"]JFactory[\'"]\\s*\\)', 'gcc\\s+-o\\s+(exploits)\\s+\\w{1,40}\\.c;\\s*chmod\\s+\\+x\\s+\\1;\\s*\\./\\1;', 'mysql_error\\(\\);\\s*\\}\\s*\\}\\s*(?:else)?if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\s*\\.?=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$_REQUEST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];\\s*if\\s*\\(\\s*@?unlink\\(\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\](?:\\s*\\)\\s*){1,5}\\{', '\\$filter\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*From\\s*:\\s*kay\\s*<\\s*mailist@mailist\\.com\\s*>\\s*[\'"];', '\\$message;\\s*\\}\\s*\\?>\\s*<\\?php\\s+system\\(\\s*[\'"]chmod\\s+\\d+\\s+(\\w{1,40})\\.php[\'"]\\s*\\);\\s*\\?>\\s*<\\?php\\s+chmod\\(\\s*[\'"]\\1\\.php[\'"]\\s*,\\s*\\d+\\s*\\);\\s*\\?>', '<title>\\s*(?:Priv8|Private)?\\s*(?:Mister|Mr)\\s+Spy\\s*</', '(\\$message)\\s*\\.?=\\s*[\'"](?:CC|Card)\\s+number\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](?:Exp|expiration)\\s*month/year/cvv\\s*code\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]', '(\\$urlz)\\s*=\\s*lrtrim\\(\\s*\\1\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*lrtrim\\(\\s*\\2\\s*\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];)?\\s*(\\$message)\\s*=\\s*urlencode\\(\\s*\\3\\s*\\);\\s*\\3\\s*=\\s*ereg_replace\\([\'"]%', 'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*[^\\w]{1,2}=\\s*[\'"]?[^\'"]{0,40}[\'"]?\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);', '(\\$\\w{1,40})\\s*=\\s*EMAIL;\\s*(?:\\$\\w{1,40}\\s*=\\s*)?@?mail\\s*\\(\\s*\\1\\s*,\\s*[^\\)]{1,120}\\s*\\)\\s*;\\s*(?:\\?>)?\\s*<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]>\\s*[^\\&]{1,200}&rand\\s*=\\s*\\d+InboxLightaspxn', '(\\$message)\\s*\\.?=\\s*[^;]{0,80}[\'"]\\s*CPassword:\\s*[\'"]\\s*\\.\\s*\\$_POST\\[[\'"](?:password|pass|passwd)[\'"]\\][^;]{1,40};\\s*\\1\\s*\\.?=\\s*[^\\{]{1,40}\\{\\$geoplugin->', 'if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}', '\\A\\s*GIF8(?:9|7)\\w?[^\\s]{0,2}\\s*[^`]{0,99}\\s*<\\?php', '<title>\\s*.{0,5}\\s*Rebels\\s+Mailer', 'apple\\/cssisma\\/Anonisma\\.css', '\\$opt\\("/\\d+/e', 'stylesheet[^/]{1,40}href[^/]{1,40}\\.?/cssisma[^\\?]{1,200}Anonisma', '<TITLE>\\s*dis\\s+Shell\\s+Commander', 'mail\\(\\$emailusr,\\s*(\\$subj),\\s*(\\$data)\\);\\s*mail\\(\\$cc,\\s*\\1,\\s*\\2\\s*\\);\\s*header\\([\'"]Location:[^\'"]{1,40}\\.scotiabank\\.com/[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\$ip\\w{0,20}\\s*=\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\];\\s*\\$(?:from_)?shellcode\\s*\\.?=\\s*[\'"]?[^\\(]{0,20}gethostbyname\\s*\\(', 'for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*[^\\}]{1,400}flush\\s*\\(\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*new\\s+PHPMailer\\s*\\(\\s*\\);', 'base64_decode\\s*\\(\\s*[\'"]Y1BhbmVsIENyYWNrZXIg', '<title>\\s*ZETHA\\s+WEB\\s*SHELL', '\\$(fone)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(emailaddr)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*\\$(emailpass)\\s*=\\s*\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$(token)\\s*=\\s*\\$_POST\\[[\'"]\\4[\'"]\\];', '\\$ip\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$email\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];\\s*\\1\\w\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];[^\\?]{100,600}fwrite\\(\\$\\w{1,40},\\s*\\$data\\s*\\);', '"[\\\\#-=\\[]{10,12}Priv(8|ate)\\s*PayPal\\s*Scam', '<title>\\s*[:]{0,2}\\s*Mailer\\s+Inbox\\s+-?\\s*Dejector', '\\$subj(?:ect)?\\s*=\\s*[\'"]Kumasiivertigo\\s*ALiBaBa', '\\$headers\\s*=\\s*[\'"]From:\\s*Office[\'"];\\s*\\$str=array\\((\\$send)\\);\\s*foreach', '<title>\\s*PHP\\s*Jackal', '(\\$bilsmg) \\.?=\\s*[\'"]card\\s*num(?:ber)?\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]\\w{1,40}\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]ccv2?(?:\\-code)?\'\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];', 'Kakak\\s+._.\\s*\\.?</font><br\\s*/>[\'"];\\s*\\}\\s*else(?:if)?\\s*\\{', '<title>\\s*w4l3XzY3\\s+Mailer', 'fwrite\\(\\s*(\\$\\w{1,4}),\\s*[\'"]\\s*(login|userid|username|email)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);\\s*fwrite\\s*\\(\\s*\\1[^\\$]{1,40}fwrite\\(\\s*\\1,\\s*[\'"]\\s*(pass|passwd|password)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);', '\\$headers\\s*\\.?=\\s*[\'"]From:\\s*[^\'"]{0,40}Spam[^\'"]{0,40}[\'"];', 'Password\\s*:\\s*[\'"]\\.\\$\\w{1,40}\\.[\'"]\\s*[=]{1,40}\\s*\\w{0,20}\\s*FACEBOOK\\s*\\w{0,20}\\s*[=]{1,40}\\s*Email\\s*:\\s*[\'"][^\'"]{1,40}[\'"]\\s*Password\\s*:\\s*[\'"][^\'"]{1,40}[\'"]', '<title>\\s*Safe\\s+Mode\\s+Shell', '\\)\\)\\s*{\\s*echo\\s*PHP_OS\\.\\$', 'if\\s*\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"]CheckCrd[\'"]\\)\\s*\\{\\s*(?:\\?>\\s*<\\?php)?\\s*function\\s+work.hard\\(\\$\\w{1,40}\\)\\s*\\{', 'ZGVmYXVsdF91c2VfYWpheCA9IHRydWU', '<title>\\s*Sign\\s+In\\s*</title>\\s*[^>]{1,40}(?:signin_?files|images)/\\w{1,40}\\.ico[\'"]', '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"][^\'"]{1,144}[\'"]\\s*\\);\\s*(?:\\?>\\s*<\\?php)?\\s*phpinfo\\(\\);\\s*\\?>\\s*\\Z', 'PD9waHAgaWYoIWlzc2V0KCRfQ09PS0lFWyJtb2R4', 'JE8wTzAwMD0ibkZ1Zmt', 'Ly9OTHRScS9mcjJYRzZhM3FPd3l', 'VnXO8\\$1_HU8nnjePnU8P8\\$e_njsP8\\$V', 'Ly9OTmhOOVUrMkRuVUkrTm9mdnhWV2RRV', 'ZXJyb3JfcmVwb3J0aW5nKDApO2lmKGlzc2V0KCRfUkVR', 'eNq1fflvU2f677/iieaqQDPhb', 'DRmNurHxXATBjbLkSGpOQnIzco', 'ZXJyb3JfcmVwb3J0aW5nKDcpOw0KQ', 'eNp9Vm1rG1cW/iu3orRSIpx508iy', 'eNqVWvtTFFfa/lc6VGoDSrC7p', 'eNq9fflzI9XV9r/S05CRBLas', 'Z2xvYmFsICRVU0VSOwokVVNFUi0', '6SgzwTnp6V5jAu8DDpIWHwHvz', 'Pz48P3BocCAkX0Y9X19GSUxFX18', 'aWYoITApJE8wMDBPME8wMD0kT09', 'aWYoaXNzZXQoJF9HRVRbIjB4Il0', 'aWYoITApJE8wMDBPME8wMD0kT09', 'JElJSUlJSUkxMTFsST0nb2JfZW5', 'eval\\(gzuncompress\\(base64_decode\\(\'eNqtWVlv21YWfm6B\\+Q9MYIR', '\\$\\w{1,12}\\s*\\.\\s*=\\s*[\'"][^\'"]{0,20}Social\\s+Security[^\'"]{0,20}\\s*[\'"]\\s*\\.?\\s*\\$_POST\\s*\\[\\s*[\'"]ssn[\'"]\\s*\\]\\s*\\.\\s*[^;]{1,40}\\s*;', '\\);eval\\(base64_decode\\("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJod', '\\$O00OO0\\{30\\};eval\\(\\$O00O0O\\("JE8wTzAwMD0iVFF3cVJQTGR0ZkZEeHVZeUVJVktXQ2tyY0poTlNaSGlib3Z', '<title>\\s*(?:Priv8|Private)\\s+Mailer', 'system\\([\'"]unset\\s+HISTFILE;\\s*unset\\s+SAVEHIST;\\s*[^\\$]{1,200}\\s*system\\(\\s*\\$\\w{1,40}\\s*\\);\\s*[^\\?]{0,100}\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'P2lCP1ouWg1WDVYkcnNXTUVlWU0\\+Uz4iMi5NMnluUVluWFk5TCI7DVYkLy5NMnluUVlucnNXTXRlbi4\\+Uz4iMTE8QVBrUExVQTFBMFt', '\\$d?doss(?:tr)?;\\s*\\}\\s*while\\s*\\(\\s*\\w{1,40}\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\s*=\\s*@?include(?:_once)?\\s*\\(?\\$[o0]{5,60}\\)?;\\s*if\\s*\\(\\s*\\$[o0]{5,60}\\s*==\\s*[\'"][^\'"]{0,60}[\'"]\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\+\\+;', 'curl_getinfo\\(\\s*\\$\\w{1,40},\\s*CURLINFO_CONTENT_TYPE\\s*\\)\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*preg_replace\\([\'"]\\#\\^\\.\\*\\?\\\\<html\\#si[\'"],\\s*[\'"]<html[\'"],\\s*\\1\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*\\1;\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]?SCRIPT_NAME[\'"]?\\];', '<title>\\s*[\\s:]{0,4}g(?:0|o)nz\\s*[\\s:]{0,4}\\s*PHP\\s+MAILER', '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,40}\\.txt[\'"];\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*[\'"]?\\w{0,40}[\'"]?\\s*\\)\\s*\\{\\s*die;\\s*\\}\\s*else\\s*\\{\\s*@?unlink\\s*\\(\\s*\\2\\s*\\);\\s*\\$sym(?:link)?\\s*=\\s*\\1;', 'EOF\\s*<html>\\s*<head>[ ]{200,}<script>\\s*window\\.location\\s*=\\s*[\'"][^\'"]{1,100}[\'"]\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<[^>]{1,40}>\\$\\w{1,40}</[^>]{1,40}>\\s*</body>\\s*</html>\\s*EOF;?\\s*\\}\\s*else\\s*\\{\\s*\\$GLOBALS[^\\w][^\\}]{1000,2000}\\}\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s*(?:/\\*\\s*\\*/)?\\s*\\$ip\\w{0,10}\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$ip\\w{0,10}\\s*=\\s*array\\(\\s*[\'"]\\s*\\^?\\d+\\.\\d+\\.(?:\\*|\\d+)\\.(?:\\*|\\d+)\\s*[\'"]\\s*,[^\\)]{800,1800}\\s*\\);\\s*[^\\?]{300,350}\\$blocked_words\\s*=\\s*array\\(', '\\A\\s*\\(new\\s*Function\\(\\(function\\(s\\)\\{var\\s*d=\\{\\},a=\\(s\\+""\\)\\.split\\(""\\),cc=a\\[0\\],o=cc,r=\\[cc\\],c=256,p;for\\(var\\s+i=1;i<a\\.length;i\\+\\+\\)\\{var\\s+cd=a\\[i\\]\\.charCodeAt[^%]{200,300}%r\\.length\\)\\)\\}\\)\\.join\\([\'"]{2}\\)\\}\\)\\(atob\\("[^"]{20000,}"\\),.+"\\)\\)\\)\\)\\)\\)\\(\\);', 'window\\.miner\\.stop\\s*==\\s*[\'"]function[\'"]\\)\\s*window\\.miner\\.stop\\(\\);', ',\\s*basename\\(\\$_FILES[^\\$]{1,40}\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?];[^`]{1,400}<input\\s+name\\s*=\\s*[\'"]\\1[\'"][^>]{1,40}value\\s*=\\s*[\'"]\\.php[\'"]\\s*/>', '<pre>[\'"];\\s*system\\([\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_FILES\\[[\'"]([^\'"]{0,40}up[^\'"]{0,40})[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\.\\s*[\'"]\\s*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\$_FILES\\[[\'"]\\1[\'"]\\]', '<title>\\s*(?:Sign\\s+In\\s*-)?\\s*DocuSign\\s*</title>', 'if\\s*\\(crawlerDetect\\(\\$_SERVER\\[[\'"]?HTTP_USER_AGENT[\'"]?\\]\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.\\d\\s+404\\s+Not\\s+Found[\'"]\\);\\s*die\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\}\\s*\\$IP_Connected\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];', 'exit\\s*\\(\\);\\s*\\}?\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\)\\s*@?eval\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\);\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,20}up[^\'"]{0,20}[\'"]?\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]', '<br/>Mr Secretz</center>', '<title>\\s*Mr\\s*Secretz\\s+Shell', '<title>\\s*View\\s*Document\\s*-\\s*Sign\\s+In</title>\\s*</head>\\s*<script\\s*type="text/javascript">\\s*(?:<!--)?\\s*function popupwnd\\(', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\s*\\(isset\\(\\s*\\$_REQUEST\\[\\1\\]\\)\\)\\s*\\{\\s*@?(?:system|exec|passthru|shell_exec|popen)\\(\\$_REQUEST\\[\\1\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '(\\$\\w{1,40})\\s*=\\s*(?:@?implode\\(\\s*)?@?file\\([\'"]/etc/named\\.conf[\'"]\\)?\\s*\\)\\s*;\\s*if\\(!\\1\\)\\{\\s*die', 'phpddos\\.com[^\'"]{0,40}[\'"];\\s*echo\\s*[\'"]\\s*SYN\\s*Flood', 'echo\\s+serialize\\(\\$\\w{1,40}\\);\\s*\\}\\s*elseif\\s*\\(\\s*!empty\\(\\$_POST\\[["\']?(\\w{1,40})["\']?\\]\\s*\\)\\s*AND\\s*\\$_POST\\[["\']?\\w{1,40}["\']?\\]\\s*==\\s*["\']?\\w{1,60}["\']?\\)\\s*\\{\\s*eval\\(\\$_POST\\[["\']?\\1["\']?\\]\\);\\s*\\}\\s*else\\s*\\{\\s*header\\(["\']?Location:\\s*[^\\]]{1,40}\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '<title>\\s*DropBox\\s+Buisness\\s*</title>', '\\$\\w{1,40}\\s*=\\s*posix_getpwuid\\(@?fileowner\\([\'"]/etc/valiases/[\'"]\\.\\$domains?\\[\\d\\]\\[\\d\\]\\)\\);\\s*echo', '\\*/\\s*preg_replace\\([\'"]/\\[[a-z]{1,40}\\]\\*\\.\\+\\[[a-z]{1,40}\\]\\*/ei?[\'"],str_replace\\([\'"]\\s*[\'"],[\'"]\\s*[\'"],[\'"].{100,2100}"\\),\'\\w+\'\\);\\s*\\?>\\s*\\Z', '<title>\\s*[\\.]{1,5}\\s*[:]{1,5}\\s*Snff\\s+P90\\s*[:]{1,5}\\s*[\\.]{1,5}', 'pre>\';\\s*if\\s*\\(\\$_POST\\[[\'"](cmd)[\'"]\\]\\)\\{\\s*\\$\\1\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*passthru\\(\\$\\1\\);', '/\\*\\s*Created\\s+by\\s+l33bo_phishers', '(\\$\\w{1,40})\\s*=\\s*[\'"](?:\\\\x\\w{2}){40,78}[\'"];\\s*\\$payload\\s*=\\s*\\$\\w{1,12}\\.\\$\\w{1,12}\\.\\$\\w{1,12}.\\$\\w{1,12};\\s*preg_replace\\(\'/\\.\\*/e\',\\1,\'\\.\'\\);\\s*\\?>', '\\}\\s*\\}\\s*\\}\\s*if\\(\\$_POST\\[[\'"](\\w)[\'"]\\]\\)\\{\\s*\\$\\w\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$\\w{1,4}\\s*=\\s*md5\\(sha1\\(\\$\\1\\)\\);\\s*if\\s*\\(\\$\\w{1,4}\\s*==\\s*[\'"]\\w{30,34}[\'"]\\s*\\)\\{ \\$_SESSION\\[[\'"]\\w{1,4}[\'"]\\]\\s*=\\s*1;\\s*\\}\\}\\s*\\?>\\s*<form', 'exec\\(\\\\?[\'"]unzip\\s+\\w{1,40}\\.zip\\\\?["\']\\);\\s*\\?>[\'"];\\s*\\$\\w{1,4}\\s*=\\s*fopen\\([\'"][^\'"]{0,40}wp-login\\.php[\'"],\\s*[\'"]\\w[\'"]\\);', 'gagal[\'"]\\;\\}\\}\\}\\?>\\s*<title>\\s*Hacked\\s+by', '\\A\\s*<\\?(?:php)?\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"](clear|remove|delete)[\'"]\\s*\\)\\s*\\{?\\s*(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*[\'"][^\']{0,40}[^\\w]b(?:o|0)t[^\\w][^\']{0,40}[\'"]\\s*\\);\\s*echo', '>Upload\\s+Form\\s+Yunkers\\s+Crew<', '(\\$\\w{1,40})\\s*=\\s*Mage::getModel\\([\'"]sales/quote_payment[\'"]\\)->getCollection\\(\\);\\s*\\1->addFieldToFilter\\([\'"]cc_number_enc[\'"],[^;]{1,200};\\s*var_dump\\(\\1->getSize\\(\\)\\);', 'addFromString\\(\\s*[\'"](?:\\.\\.\\\\){7,10}[^`]{1,40}\\.php[\'"],\\s*[\'"]<\\?php exec\\(\\[[\'"]?cmd[\'"]?\\]\\);\\s*\\?>[\'"]\\s*\\);', '<title>\\s*Ghost\\s*by\\s*dandan', ';\\s*\\}\\s*\\}\\s*\\}\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]?\\s*\\.?\\s*php_uname\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*echo\\s*getcwd\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*\\?>\\s*\\Z', 'function\\s*\\w{1,40}\\(\\$hax\\)\\s*\\{return\\s+pack\\(', '\\$\\{\\$\\{[\'"][^\'"]{1,60}[\'"]\\}\\[[\'"][^\'"]{1,60}[\'"]\\]\\}=[\'"]/[\'"]\\.uniqid\\(\\)\\.uniqid\\(\\);', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}\\?>[\'"];file_put_contents\\([\'"][^\\.]{1,40}(?:\\.|\\\\x2e)(?:p|\\\\x70|\\\\x50)(?:h|\\\\x68|\\\\x48)(?:p|\\\\x70|\\\\x50)[\'"],\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>', '<title>\\s*[\'"]?\\.?getcwd\\(\\s*\\)\\.[\'"]<', '\\]\\},ob_get_contents\\(\\s*\\)\\);\\s*fclose\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\);\\s*ob_end_flush\\(\\s*\\);\\s*\\}\\s*cache_start\\(\\$\\s*\\{\\s*\\$', '\\}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+visitor_country\\(\\)\\{\\$\\{[\'"](G|L|O|\\\\x47|\\\\x4c|\\\\x4f){3}', '<\\?php\\s*/\\*\\s*AthenaHTTP\\s*\\*/', '\\}return\\s*\\$\\w{1,40};\\}(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];\\$\\w{1,40}=\\w{1,40}\\(\\w{1,40}\\(\\2\\(__FILE__,false,null,__COMPILER_HALT_OFFSET__\\),[\'"]\\w{1,40}[\'"]\\)\\);\\1', ';\\$default_use_ajax=true;\\$default_charset=_\\w{1,40}\\(\\d\\);\\$GLOBALS', '<title>\\s*GFX\\s+\\|\\s*GForce\\s*X-Sender\\s*by\\s*Mr-Anobs\\s*2018', '\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\.?\\s*getcwd\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"];\\s*eval\\(\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\);[^`]{1,800}curl_exec\\s*\\(\\$\\w{1,40}\\);\\s*\\}?\\s*\\?>\\s*\\Z', '</form>\\s*<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*(?:passthru|exec|shell_exec|popen|system|eval)\\([\'"]\\$\\1[\'"]\\);\\s*echo\\s*[\'"][^\\$]{0,40}\\2[^\\$]{0,40}[\'"];\\s*\\?>', '(\\$message)\\s*\\.?=\\s*[\'"][^\'"]{0,40}LOGS[^\'"]{0,40}[\'"];\\s*\\1\\s*\\.?=\\s*"Email:\\s*"\\.\\$_POST\\[\'email\'\\]\\."\\\\n";\\s*\\1\\s*\\.=\\s*"Password:\\s*"\\.\\$_POST\\[\'pass\'\\]\\."\\\\n";', '\\$header\\s*\\.?\\s*=\\s*quoted_printable_encode\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\.?[\'"]?(?:\\\\r)?\\\\n[\'"];\\s*mail\\s*\\([^\\)]{1,40}\\);\\s*print\\s*[\'"]Spammed', '<title>\\s*[:]{0,2}\\s*eBuKa\\s*mAx\\s*INbOx\\s*sEnDeR', '<meta\\s*name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Banco\\s*Financiero\\s*del\\s*Peru[\'"]\\s*\\/>', '<title>\\s*Injected\\s+By\\s*Mrs\\.Poisoner', 'function\\s+sql_inject\\s*\\(\\$\\w{1,40}\\s*=\\s*FALSE\\s*,\\$bdestroy_sessio', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*exit;\\s*\\?>', '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '\\$\\w{1,40}\\s*=\\s*[\'"][^\\@]{1,40}@[^\\.]{1,40}\\.\\w{1,5}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*array\\((?:\\s*[\'"]\\s*\\w{1,40}\\s*[\'"]\\s*,){4,13}(?:,?[\'"](?:cvv2?|cardnumber|cardexp)[\'"]\\s*){3}\\)\\s*;\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\]\\s*;', '\\$sql\\s*=\\s*[\'"][^\\?]{1,40}\\s*,\\s*[\'"]\\s*<\\?(?:php)?\\s*system\\s*\\(\\\\\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,12}\\]\\s*\\);\\s*exit;\\s*\\?>[\'"]', '\\A<\\?(?:php)?\\s*.{0,40}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*\\$\\w{1,40}\\s*=\\s*date\\([^)]{1,40}\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{80,120}[\'"]\\s*;\\s*\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){2,5}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$message)\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"][^\\n]{1,60}([\'"]\\\\n[\'"]|[\'"]\\s*\\-\\s*[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;', '\\A<\\?php\\s*.{0,40}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;(\\s*\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,100}\\s*;\\s*){3,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A<\\?(?:php)?\\s*.{0,80}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*\\?>', '(\\$\\w{1,40})\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*;\\s*\\1\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*\\.\\s*\\1\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][_POST]{5}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\(\\s*(\\2\\[\\d\\]\\.?){5}\\s*\\)', 'function\\s+return_index\\(\\)\\s*\\{\\s*global \\$exec_file\\s*,\\s*\\$index_page', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};){0,5}\\s*\\$\\w{1,40}\\s*=\\s*rand\\(', '<html>\\s*<head>\\s*<title>Sucursal\\s+Virtual\\s+BANCOLOMBIA', 'setcookie\\s*\\([\'"](cvv2?|ssn\\d?)[\'"]\\s*,\\s*\\$_POST\\[\'\\1\'\\]', '\\$send="[^"]{1,60}";\\s*\\$subject\\s*=\\s*"Apple Result : \\$email";', '\\A\\s*<\\?php\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\s*\\);\\s*fwrite\\(\\s*\\1,\\s*[\'"][\'"]\\s*\\);\\s*fclose\\(\\s*\\1\\s*\\);\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(1\\s*,\\s*\\d+\\);', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\}(?:\\s*session_destroy\\(\\);)?\\s*(\\$fp)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"]a\\+?[\'"]\\);\\s*fwrite\\(\\1', 'function\\s*download_code\\s*\\(\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]key[\'"]\\s*\\]\\s*\\)\\s*\\)', '(\\$ip)\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);\\s*}\\s*return\\s*\\1;\\s*}\\s*\\1\\s*=GetIPsa\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\(', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*date\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$message)\\s*\\.?=(\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\s*[\'"];)\\s*\\1\\s*=\\s*\\1\\.?[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\1\\s*=\\s*\\1\\.?\\2\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(', '\\$GLOBALS\\[[^\\?]{47500,48000}>404\\s+Not\\s+Found[^\\?]{900,1000}\\)\\)\\);\\}else\\{echo\\s*\\w{1,40}\\(\\d+\\);\\}\\s*\\Z', '<\\?php\\s*error_reporting\\(0\\);\\s*(?:require\\s*[\'"](?:(?:\\.\\./){0,2}(check|email)\\.php)[\'"]\\s*;\\s*){2}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*)?if\\s*\\(\\s*(?:trim|isset)\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]submit[\'"]\\s*\\]\\)\\)\\{\\s*if\\(', 'include\\s*[\'"]\\./send\\.php[\'"];(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,10}\\s*\\$\\w{1,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$time', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*//\\s*\\w{1,40}\\s*(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,16}\\s*\\$fw2\\s*=\\s*fopen\\(', '\\$msg\\s*=\\s*[\'"]Alibaba\\s*login', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\([\'"]\\w{1,40}\\.\\w{1,8}[\'"],\\s*[\'"]a[\'"]\\);\\s*fwrite\\(\\1,\\$ip[^;]{1,60}\\);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(\\d+,\\s*\\d+\\);', '<\\?(?:php)?\\s*session_start\\(\\);\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(login_password)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*(\\$ip)\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\3[\'"]\\s*;', '\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];\\s*)+\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,400}\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"]from\\s[^\'"]{1,40}[\'"]\\s*\\);', '\\$\\w{1,40}\\s*=\\s*[\'"]\\w{1,40}\\s*BANCOLOMBIA\\s*\\(\\s*[\'"]\\s*\\.\\$ip\\.\\s*[\'"]\\s*\\)[\'"]\\s*;', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{1,400}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$mensaje\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', 'else\\s*\\{\\s*[^\\}\\{]{0,200}(?:(?:\\s*(\\$to)\\s*=\\s*EMAIL;)|(?:\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);)){2}[^\\}\\{]{0,600}if\\s*\\(\\s*mail\\s*\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{', '<\\?php(\\s*\\$\\w{1,40}\\s*\\=\\s*\\$_REQUEST\\[[\'"][^\'"]{1,40}[\'"]\\]\\;){15,30}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);', 'CoffeeCup Web Form Builder\\s*-->\\s*<title>Yahoo\\s+Update</title>', '<title>\\s*Sign\\s+in\\s*</title>.{350}\\s*<\\s*script type\\s*=\\s*[\'"]\\s*text/javascript\\s*[\'"]>\\s*function unhideBody\\(\\)', '<title>Yahoo</title>\\s*<\\s*meta http-equiv\\s*=\\s*[\'"]refresh[\'"]\\s*content\\s*=\\s*[\'"]\\d+;\\s*url\\s*=\\s*https://yahoo\\.com[\'"]\\s*>', '<title>\\s*Sign\\s+in\\s*-\\s*Google\\s+Drive</title>\\s*<style>', 'charset\\s*=\\s*UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*-\\s*Google\\s+Drive\\s*</title', '<html>\\s*<head>\\s*<meta\\s*http-equiv=[\'"]Content-Type[\'"]\\s*content=[\'"]text/html;\\s*charset=UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*</title>\\s*<script\\s*language=[\'"]javascript[\'"]>', '\\A\\s*<!DOCTYPE html>\\s*<!--\\s+saved\\s+from\\s+url=.{200,600}https?://login\\.live\\.com', ';\\$b374k\\s*=\\s*\\$\\w{1,40}\\(\\s*[\'"]\\$\\w{1,40}[\'"]\\s*,\\s*[\'"\\.,\\seval]{7,40}\\(', 'public\\s*function\\s*root_vuln\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*php_uname', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*.{400,500}\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\Z', '(\\$log->lwrite)\\(\\$IP\\);\\s*\\1\\(\\$Agent\\);\\s*\\1\\(\\$browserType\\);\\s*\\1\\(\\$hostname\\);', '<script\\s+src\\s*=\\s*[\'"](?:\\.\\./){1,5}www1\\.bac-assets\\.com/online-banking/spa-assets/', '<!--\\s*Mirrored\\s*from\\s*(www\\.)?bankofamerica\\.com/online-banking/sign-in/', '\\$inj\\s*=\\s*[\'"][\'"\\s\\.\\/\\_\\=windovarsfcebg]{30,40}[\'"]\\s*\\.\\$\\w{1,40}\\s*\\.\\s*[\'"]\\s*;\\s*[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$_SERVER\\s*\\[[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.?\\s*[\'"\\s\\.\\/,\\_bitrxjsmancoeld]{41,60}\\s*\\)\\)', '<title>\\s*Priv8\\s+Tools', '\\$\\w{1,40}\\s*=\\s*MIME::Base64::decode\\s*\\(\\s*\\$cheataer\\s*\\)\\s*;', '<title>\\s*Mini\\s+Shell\\s*[&nbsp|]{1,80}\\s*TiGER', 'return\\(eval\\([^\\)]{1,}\\)\\);\\s*\\?>\\s*\\#!/usr/bin/php\\s*-q', '<title>\\s*ManToed\\s*Shell', '<title>\\s*\\[S\\]uper\\[BAD\\]\\s*Mailer', '<title>\\s*[|]{0,2}\\s*NOMAN\\s*HACKING\\s*COMPANY', 'function\\s+payload_download\\s*\\(\\s*\\$cwd\\s*,', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*find\\s*/\\s*-type\\s*f\\s*-name\\s*[\'"]\\*[\'"]\\s*\\|\\sxargs\\sgrep\\s-rl\\s[\'"]<head[\'"][\'"]\\s*;\\s*\\$\\w{1,40}\\s*=', '<title>\\s*[+\\[]{0,2}\\s*Powered\\s*by\\s*KcB\\s*[\\]+]{0,2}', 'if\\s*\\(\\s*socket_listen\\s*\\(\\s*\\$sock\\s*,\\s*\\d+\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{\\s*echo\\s*[\'"]HaHa', '<title>\\s*-\\s*r\\s*w\\s*-\\s*r\\s*-\\s*-\\s*r-\\s*-<', '5YN15T3R_742\\s+shell</font>', '\\$Report\\s*=\\s*new Report\\(\\$DBData,\\s*file_get_contents\\(\'php://input\'\\), intval\\(\\$_SERVER\\[\'CONTENT_LENGTH\'\\]\\), ENCKEY_, TEMP_\\);\\s*\\$Report = NULL;', '<title>\\s*MakMan\\s*[-\\s]{0,3}\\s*Root\\s*Exploiter', 'Data\\s*=\\s*\\$LokiDBCon->ExportDatabyID\\(', '<title>\\s*:.Spade\\s*Mini\\s*Shell', 'private\\s+function\\s+backdoorFiles\\s*\\(\\s*\\$\\w{1,40}\\s*\\)', 'name\\s*===\\s*"webconsole"\\)\\s*\\$get\\s*=\\s*array\\([\'"]https?\\:\\/\\/pastebin\\.com\\/raw', 'echo\\s*"This\\s*shit\\s*works!";\\s*if\\s*\\(isset\\(\\$_FILES', '<center>\\$\\s+root@x48', '<title>\\s*BlackTools\\s*Folder\\s*Mass\\s*Defacer', 'echo\\s+file_get_contents\\(\'/home/\'\\.\\$user\\.\'/\\.my\\.cnf', '<\\?(?:php)?\\s+include\\s*\\([\'"]blocker\\.php[\'"]\\)\\s*\\;\\s*\\$DIR\\s*\\=\\s*md5\\s*\\(\\s*rand\\s*\\(\\s*\\d+\\s*\\,\\s*\\d+\\)\\s*\\)\\s*\\;', 'function\\s+c99shexit\\(\\)\\s*\\{', '<title>Uploader\\s+By\\s+IndoXploit', '@chmod\\((\\$\\w{1,40}),0755\\);\\s*@unlink\\(\\1\\);\\s*\\}\\s*@file_put_contents\\(\\1,\\$\\w{1,40}\\);\\s*echo \'ok\';\\s*\\}\\s*\\?>', '\\$tofile=\'[^\']{1,50}\';\\s*\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\(strtr\\(\\$_POST\\[[^)]+\\)\\);\\s*\\$\\w{1,40}=\'<\\?php', 'if\\s*\\(sha1\\(md5\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)==="\\w{40}"\\)\\s*move_uploaded_file\\(\\$', 'DirContents\\(\\$rest\\);\\}else\\{getDirContents', '\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*\'\\}\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'//\'\\s*\\);\\s*\\Z', '<\\?php\\s{1000,}\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\[\\w{1,40}\\]\\s*;', 'sin\\(\\$\\w{1,40}\\?\\);syslog\\(LOG_ERR,\\$err\\);\\}\\$\\w{1,40}=\'\';if\\(in_array', '\\$VERSION\\s*=\\s*\'Gamma\\s+Web\\s+Shell', '<title>\\s*::\\s+AventGrup\\s+::\\.\\.', '\\$title="NetworkFileManagerPHP";', 'eval\\(gzinflate\\(base64_decode\\(str_rot13\\(strrev\\(', '=\\s*remove_tags\\(\\s*_dl\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[', 'srand\\(seed\\(\\)\\);\\s*\\$additional=array\\("%1meta name=\\\\"description\\\\"\\s*content=\\\\"\\$description\\\\"%3","%1meta', '@symlink\\(\'/home/\' \\. \\$user \\. \'/public_html/wp-config\\.php\', \\$user', '(\\$passwd)\\s*=\\s*explode\\("\\\\n"\\s*,\\s*file_get_contents\\(\'/etc/passwd\'\\)\\);\\s*foreach\\(\\1', 'function\\s+GetPayload\\(\\$payload\\)\\s*\\{\\s*\\$current_payload\\s+=\\s+base64_decode\\(\\$payload', '\\$user->set_role\\(\\s*\'administrator\'\\s*\\);\\s*\\}\\s*\\}\\s*wpb_admin_account\\(\\);\\s*\\}\\s*\\?>\\Z', '\\)\\)\\s*\\{\\s*echo\\s+\'<b>Shell\\s+Uploaded', '<title>Vuln!!\\s+patch\\s+it\\s+Now', '(\\$\\w{1,40})\\s*=\\s*"as";\\s*\\1\\s*.=\\s*".{2000,10000}"\\)\\)\\)\'\\);\\s*\\?>\\Z', 'exec\\(\\$_(?:GET|POST|COOKIE)\\["\\w+"\\],\\$\\w{1,40}\\);print_r\\(\\$\\w{1,40}\\);\\}\\}if\\(\\$_(?:GET|POST|COOKIE|REQUEST)', '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\(""\\s*,\\s*"};"\\s*\\.\\s*\\$\\w{1,40}\\(\\s*preg_match\\(\\s*"[^"]+"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*file\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\)\\s*\\?\\s*\\(\\s*\\$match\\[1\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\);', 'if\\(\\d\\^\\d\\)&&strtoupper\\(\\$_\\d+,\\$_SERVER,\\$_SERVER,\\$_\\d+\\)\\)cosh', ',\\s*sprintf\\((\\w{1,40})\\(\'[^\']{1,40}\'\\),\\s*constant\\(\\1\\(\'[^\']{1,40}\'\\)\\)\\s*,\\s*Config::get\\(\\w{1,40}\\(', ';\\}\\s*echo\\s+\'[^\']{1,100}\';\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65","\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28', '<head>\\s*<title>Xsender</title>\\s*</head>', 'setcookie\\(\'f_wp\'\\s*,\\s*\\$_POST', '\\]\\}=pre_term_name\\(\\$\\{\\$\\{', 'function\\s+initFunctions\\(\\)\\s*\\{\\s*if\\s*\\(!function_exists\\(\'myfuncgood\'\\)\\)\\s*\\{\\s*function\\s+myfuncgood\\(\\$in', '<\\?php\\s*\\$alphabet\\s*=\\s*"[^"]+";\\s*(\\$string)\\s*=.{50000,};\\s*\\$(\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(""\\s*,\\s*\\$array_name\\(\\1\\)\\);\\s*\\$\\2\\(\\);\\s*\\Z', ';\\$\\w{1,40}\\^\\$\\w{1,40};\\$\\w{1,40}=\\$\\w{1,40}\\^\'', 'if\\s+!\\s+pgrep\\s+-f\\s+"minmon', '@fsockopen\\(\\$\\w{1,40}\\[[^\\]]{1,100}\\],\\s*80\\s*,\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*,\\s*5\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}\\s*goto', '(\\$\\w{1,40}\\s*=\\s*\\\\\'[^\']{1,100}\'\\^\\\\\'[^\']+\';\\s*){3,}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\\\\'\\\\\'\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(', '</head>\\s*<body>.+function\\s+\\w{1,40}\\(\\)\\s*\\{\\s*\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\);\\s*\\w{1,40}\\s*=\\s*\\[(?:\\d+,){20,100}\\d+\\];\\s*return\\s*\\w{1,40}\\(\\w{1,40},\\w{1,40}\\);\\s*\\}', 'content="0;data:text/html;base64,DQo8IURPQ1RZUEUgaHRtbD48aHRtbCB4bWxucz', '<\\?php\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*sha1\\(md5\\("\\w+"\\)\\);\\s*//\\s*sha1\\(md5\\(pass\\)\\)\\s*\\$func=', '@error_reporting\\s*\\(\\s*0\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*0\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\'[^\']+\'\\s*;\\s*@eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\$userful\\s*=\\s*array\\(\'gcc\',\'lcc\',\'cc\',\'ld', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\s*\\(\\s*\\$_POST\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\){\\s*if\\s*\\(\\s*strlen.{1000,2000}strlen\\(\\$\\w{1,40}\\s*\\)\\s*\\);\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', ';\\s*eval\\(\\s*""\\s*\\);\\s*if\\(\\s*\\(\\s*\\$', 'if\\s*\\(!\\(!\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\s*\\|\\| !\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}', 'else\\s*if\\("shell"\\s*==\\s*substr\\(\\$action\\s*,\\s*0\\s*,\\s*5\\)\\)\\{\\s*\\?>', 'eval\\(base64_decode\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\)\\);\\s*else\\s*eval\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\);\\s*break;', 'function\\s*javascript_in\\(\\$p,\\$c\\)\\s*\\{\\s*\\$result\\s*=\\s*shell_exec\\(\\$p\\);', 'U7TiM4T3_H4x0R\\s*Mini\\s*Shell\\s*</', 'function __\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=[base64_decode.\']+;return\\s*\\$\\w\\(\\$\\w{1,40}\\);\\}\\}\\$\\w+=[create_function.\']+;\\$_', 'flush\\(\\);\\s*@mail\\(\\$_GET\\[\'\\w+\'\\]\\s*,\\s*\\$subject\\s*,\\s*\\$message\\s*,\\s*\\$header\\);\\s*sleep\\(\\$_GET\\[\'\\w+\'\\]\\);', ';\\$\\{\\$\\{"[^"]{1,100}"\\}\\[[^\\]]{1,100}\\]\\}=system_custom\\(\\$\\{\\$\\w{1,40}\\}\\);echo\\$\\{\\$\\{"[^"]{1,100}"\\}\\["[^"]{1,100}"\\]\\};print', 'conf\\s*=\\s*@file_get_contents\\(\\s*\\$isSecureProtocol\\s*\\.\\s*\\$this->normalizedTag\\s*\\.\\s*\\$configNormalize\\s*\\.\\s*\\$this->normalizeTagPattern', '<<YeMeNi\\s*HaCkeR>>', '@mkdir\\("wp-admin"\\);\\s*\\$path_shell\\s*=\\s*fopen', 'elseif\\s*\\(\\s*has_passthru\\s*\\)\\{\\s*x_passthru', '\\A<html>.{100,1500}echo\\(""\\);\\s*\\}\\s*\\$filename = \\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z', '\\$message\\s*\\.=\\s*"-+Vict!m Info-+\\\\n";', '\\A.{0,10}GIF8[79a]+<\\?php\\s*eval\\(', 'color=.FFF5EE>"\\.shell_exec\\(\'ls -la\'\\)', 'echo\\s*\'exist-\'\\s*\\.(\\$\\w{1,40});\\s*\\}\\s*else\\s*\\{\\s*file_put_contents\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\}', '\\$msg\\s*\\.=\\s*"P\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[\'psw\'\\]\\s*\\.\\s*"\\\\n";', 'error_reporting\\(0\\);\\s*echo\\s*"AnonymousFox', '\\$path_mailer\\s*=\\s*fopen\\("wp-content/\\$rxMailer\\.php"', 'id\\s*=\\s*system\\s*\\(\\s*base64_decode\\(\\s*"cGlkb2YgY25yaWc=', '<code>\\s*Trying\\s*\\$ServerName\\.\\.\\.<br>\\s*Connected\\s*to\\s*\\$ServerName', 'sendraw\\(\\$IRC_cur_socket\\s*,\\s*"PRIVMSG', '<title>KID\\s*-\\s*Dr\\.JEeNTeL\\s*SheLL', '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\(@is_resource\\(\\$f\\s*=\\s*@popen\\(\\$cfe\\s*,\\s*"r"\\s*\\)\\)\\)\\s*\\{', '\\{private static\\$_[^;]{1,30};static function _[^(]{1,30}\\(\\$[^)]{1,30}\\)\\{if\\(!self::\\$_', '\\{private static\\$_[^;]{1,30};public\\s*static\\s*function\\s*_[^,]{1,30}‚\\(\\$_[^)]{1,30}\\){if\\(!self::\\$_[^)]{1,30}\\):self::_[^(]{1,30}\\(\\);', ';exit;endif;endif;@iNI_sET\\("error_log",null\\);@iNi_SEt\\(', ';\\s*\\$\\w{1,40}=@\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\);\\s*echo \\$\\w{1,40};\\s*\\?>\\Z', 'if\\(strpos\\(\'\\w{1,40}\',\'\\w{1,40}\'\\)!==false\\)mssql_query\\(\\$_\\d+,\\$_\\d+\\);\\s*curl_setopt\\(\\$_\\d+,\\d+,\\$_\\d+\\);', '\\)\\s*&&\\s*mktime\\(\\$_\\d+,\\$_\\d+,\\$_\\d+,\\$_\\d+\\)\\)socket_create_pair\\(\\$_SERVER,\\$_\\d+\\);\\s*function l_\\w{1,40}\\(\\$_\\d+,\\$_\\d+=\'\',\\$_\\d+=true\\)', 'if\\(strpos\\(\'\\w{1,60}\',\'\\w{1,60}\'\\)!==false\\)imagefilter\\(\\$_\\d,\\$_\\d,\\$_SERVER\\);\\s*\\$_\\d=curl_getinfo\\(\\$_\\d,\\d+\\);', '\\$_\\d=\\$_(?:REQUEST|GET|POST)\\[\'id\'\\];\\s*\\$_\\d=curl_init\\(\\);\\s*\\$_\\d=\'http', 'time\\(\\)-@filemtime\\(\\$_\\d\\)\\)>0\\)\\{\\$_\\d=base64_decode\\(@file_get_contents\\(\'http', 'if\\(strpos\\(\'\\w+\',\'\\w+\'\\)!==false\\)socket_create_listen\\(\\$_\\d,\\$_\\d,\\$_\\d,\\$_\\d\\);\\s*\\$_\\d="text/html;', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{', '@eval\\(\\s*\\$unzip\\(\\s*\\$_SESSION\\[\\s*\'PhpCode\'\\s*\\]\\s*\\)\\s*\\)\\s*;', ';@\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>\\s*\\Z', 'url\\s*=\\s*https://bank\\.westpac\\.co\\.nz/', '\\$(\\w{1,40})\\s*=\\s*@\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*strrev\\(\\s*\';\\)\\)]\\s*C2BFE_PTTH\\[\\s*REVRES_\\$\\(\\s*edoced_46esab\\(\\s*lave\\s*\'\\)\\s*\\)\\s*;\\s*@\\s*\\$\\1\\s*\\(\\s*\\);', ',\\s*function\\s*\\(\\s*\\)\\s*{\\s*add_object_page\\s*\\(\\s*"UBH"\\s*,', '<%\\s*eval\\s*request\\([^)]{1,30}\\)\\s*%>', '<H1>\\s*<center>\\s*mini\\s*File\\s*Manager', 'if\\s*\\(\\$act\\s*==\\s*\'down\'\\)\\s*\\{\\s*if\\s*\\(is_file\\(\\$p1\\)\\s*&&\\s*is_readable\\(\\$p1\\)\\)\\s*\\{\\s*@ob_end_clean', 'Community\\s*priv8\\s*WebShell', 'copy\\(\\s*\\$_REQUEST\\[\'path\'\\]\\s*,\\s*\\$p\\s*\\.\'/\'\\s*\\.\\s*time\\(\\)\\s*\\.\\s*\'\\.\'\\s*\\.\\s*\\$f\\s*\\);', ';if\\(\\$_POST\\[\'\\w{1,40}\'\\]=="Upload"\\){if\\(@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)\\)\\{echo', '_BLANK\\s*>\\{\\$_FILES\\["userfile"\\]\\["name"\\]\\}</a><br><br>"\\s*;\\s*echo\\s*getcwd\\(\\)', 'ioctl\\s*\\(\\s*\\$listen_socket\\s*,\\s*0x8004667e', '\\$file_content\\s*=\\s*httpget3\\(REMOTE_FILE\\s*,\\s*\\$context\\);\\s*\\$file_name_array\\s*=\\s*explode', 'basename\\(\\$file\\)\\s*==\\s*"configuration\\.php"\\s*\\|\\|\\s*basename\\(\\$file\\)\\s*==\\s*"wp-config\\.php"\\s*\\)\\s*\\)', '<title>PEREBA_r0x', '/\\*_\\*/\\s*touch\\(\\s*\\$var1\\s*\\);\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z', 'description"\\s+content="Hacked\\s+By', 'echo\\s*eval\\(\'\\?>\'\\s*\\.\\s*join\\(\\s*""\\s*,\\s*file\\(\\s*"\\$c/\\$p\\.html', '@pcntl_exec\\s*\\(\\s*"/bin/sh"\\s*,\\s*Array\\("-c",\\$arg\\)\\);\\s*\\}\\s*else\\s*\\{@pcntl_waitpid\\(\\$p,', 'eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$backdoor', '<title>-\\$\\$Ar\\s*ab_money\\$\\$-</title>', '<title>Leaf\\s+PHPMailer</title>', '\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*\\}\\s*\\$referrer = urlencode\\(@\\$_SERVER\\[\'HTTP_REFERER\'\\]\\);\\s*\\$url = "http://\\d+\\.\\d+\\.\\d+\\.\\d+/api\\.php\\?is_api=1&action=get&api_key', 'curl_init\\("file:///"\\.\\$m\\."\\\\x00/\\.\\.', '<title>Tryag\\s+File\\s+Manager</title>', '(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,80}\\);\\s*foreach\\(\\s*\\1\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s*\\$\\w{1,40}\\[\\2\\];\\s*}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\(\\s*[\'"\\s\\.creat_funio]{15,40}\\s*\\);', '>\\s*<title>Hacked\\s+by\\s*[^<]+</title>\\s*<style', ';\\$_\\w{1,10}=array\\([^)]+\\);\\$payload="[^"]{4000,14000}";', ';\\$_\\s*=\\s*create_function\\(\\s*""\\s*,\\s*@gzuncompress\\(\\$_+\\)\\);\\$_+\\(\\);\\s*\\?>', '<\\?php\\s*echo\\s*\'None\'\\s*\\.\\s*\'<br>\'\\s*\\.\\s*\'Uname:\'\\s*\\.\\s*php_uname', ';\\$_\\w{1,40}=.\\$_\\w{1,40}\\("[^"]+",\'\\w{1,40}\'\\);@\\$_\\w{1,40}\\("[^"]+",.\\$_\\w{1,40}\\(', 'echo\\s+"<h1><a href=\'\\$fullpath\'>OK-Click here!</a>', 'fwrite\\(\\$f,file_get_contents\\(\\$s\\.\'s-\'\\.\\$_GET', '<\\?php\\s*echo\\s*eval\\(base64_decode\\((str_replace\\(\\s*\'.\'\\s*,\\s*\'.\'\\s*,\\s*){3,6}', '\\$(\\w{1,40})\\s*=\\s*urldecode\\(\'%\\d+[^;]+;\\s*\\$\\1\\s*=\\s*\\$\\1\\(\'\'\\s*,\\s*\\$_(GET|POST|REQUEST)\\[\'\\w{1,40}\'\\]\\s*\\);\\s*\\$\\1\\(\\s*\\);', '\\$_+\\s*=\\s*"[^;]+;\\s*eval\\(\\$_+\\(\\$_+\\)\\);', '\\A<!DOCTYPE[^>]{0,100}>\\s*<html>\\s*<head>\\s*<title>Hacked\\s+By', '\\$passwd\\s*=\\s*fopen\\(\\s*\'/etc/passwd\'\\s*,\\s*\'r\'\\s*\\);', '\\$\\w{1,30}\\s*=\\s*file\\(\'/etc/passwd\'\\);', '\\$pwdump2\\s*=\\s*"TVqQAAMAAAAEAAAA', 'URI\\.encode\\("/user/register\\?element_parents=account/mail/\\#valu', 'echo\\s*\\$USER\\s*->\\s*Update\\s*\\(\\s*\\d+,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;', '\\$content\\s*=\\s*remove_tags\\s*\\(\\s*_dl\\s*\\(\\$_(COOKIE|GET|POST|REQUEST)\\[\'key\'\\]\\)\\)\\s*;\\s*\\$func\\s*=\\s*"[create_function"\\.\\s*]+";', 'echo\\s*\'<title>Upload\\s*Files\\s*xSecurity', '<b>Upload\\s*Complate\\s*!!!', '<\\?php\\s*error_reporting\\(0\\);\\s*echo\\s*file_get_contents\\(\\$_GET\\[\'filename\'\\]\\);', 'exec\\s*\\(\\s*"which\\s*wget"\\s*,\\s*\\$wgetPath\\)\\s*;\\s*if\\s*\\(\\s*\\$wgetPath\\[0\\].{2000,6000}if\\s*\\(!\\$forceIntegrateAnsciTangetBlue', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*;', ';\\s*\\$\\w{1,30}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*Prior2Line\\s*\\([^)]+\\)\\s*;\\s*\\Z', 'if\\(\\s*\\$sd\\s*\\)\\s*\\{\\s*echo\\s*1;\\s*exit\\(\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*2;\\s*exit\\(\\);\\s*\\}', 'copy\\(\\$link,\\$path\\.\\$name\\);\\s*if\\(shell_exec\\(\'echo\\s*index\'\\)\\s*==\\s*\'index\'\\s*\\)\\s*\\{\\s*shell_exec\\(\\s*\'touch', 'false\\)\\s*\\{\\s*if\\(is_mobile2\\(\\)\\)\\s*exit\\(\'<script[^<]{1,500}</script>\'\\);\\s*}', '\\$USER\\s*-\\s*>Authorize\\s*\\(\\s*\\$\\w{1,40}\\[\\s*"ID"\\s*\\]\\s*\\);\\s*LocalRedirect\\s*\\("/bitrix/[^"]{1,40}"\\);', '\\$shell_name\\s*=\\s*"devilzShell";', '\\$ID\\s*=\\s*\\$USER->Add\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*intval\\(\\s*\\$ID\\s*\\)\\s*>\\s*0\\)\\s*echo\\s*"Yes";', '}\\s*}\\s*eval\\s*\\(\\s*gzuncompress\\(\\s*_\\w{1,40}::\\w{1,40}\\(\'[^\']{1,100}\'\\s*\\)\\s*\\)\\s*\\)\\s*;', '=\'\\);return\\s*base64_decode\\(\\$a\\[\\$i\\]\\);\\s*}\\s*\\?>Wordpress\\s*<\\?php\\s*\\$_0', '\\}\\s*list\\(\\$\\w{1,40},\\$\\w{1,40}\\)=\\w{1,40}::\\w{1,40}\\("\\\\r\\\\n\\\\r\\\\n",\\$\\w{1,40},\\(', '\\$text\\d+\\s*=\\s*http_get\\(\'https://ghostbin\\.com/paste/\\w+/raw', '<title>Mass\\s*Defacer', '\\A<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\(\\s*"\\#Ask\\\\s\\*Jeeves\\#i"\\s*,\\s*"\\#', '\\$extention\\s*==\\s*\'js\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$content\\s*=\\s*@file_get_contents\\(\\$dirname\\s*\\.\\s*\\$sobs', 'pl\\(\\$s_cwd\\)\\."&x=upload"\\."\'>upl', 'echo\\s*\\("<<OK>>"\\s*\\.\\s*join\\s*\\("\\\\n"\\s*,\\s*\\$injected\\s*\\)\\s*\\.\\s*"<</OK>>"\\s*\\);', 'return\\s*@file_get_contents\\(\\w{1,40}\\s*::\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[array_rand\\(\\$\\w{1,40}\\)\\]\\);\\s*\\}\\s*static', 'echo\\s*file_get_contents\\(\\$our_site\\.\\$page\\);', '\\$html\\s*=\\s*curl_exec\\s*\\(\\$ch\\);\\s*curl_close\\(\\$ch\\);\\s*if\\s*\\(strstr\\(\\$id\\s*,\\s*"\\.css"\\s*\\)\\s*\\)\\{\\s*header\\(\'Content', 'empty\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*\\)\\s*die\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*preg_match\\(', '";@file_put_contents\\("\\$GLOBALS\\[web_root\\]temp/', ';\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\s*\\{\\s*return\\s*\\(substr\\(\\$\\w{1,40}\\s*,\\s*\\d+\\s*,\\s*\\d+\\s*\\)\\s*==\\s*\\w{1,40}\\(array\\([^)]{1,100}\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'include\\s*\'antibots\\.php\';\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];', 'Try\\s+a\\s+different\\s+payment\\s+method\\s+this\\s+time\\s+\\-\\s+PayPal</title>\\s*<meta', '</form>";\\s*move_uploaded_file\\(\\$saw1,\\$saw2\\);', '<h2>Verified\\s+Your\\s+Personal\\s+Bank/Add Bank</h2>', '<\\?php\\s*include\\s+\'antibots\\.php\';.{3000,5000}<title>Paypal', '\\A<\\?\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$message\\s*\\.=\\s*"---------.{100,3000}mail\\(', 'server\\s+d3ifff', '\\$subject\\s*=\\s*"PayPal\\s+Billing\\s+Info', '\\$subject\\s*=\\s*"PayPal\\s+Bank\\s+Info', '\\$subject\\s*=\\s*"PayPal\\s+PP\\s+LOGIN\\s+FROM', 'if\\s*\\(!Anon_true\\(\\s*\\$em\\s*,\\s*\\$ps\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*die\\(', '\\$subject\\s*=\\s*"AOL\\s*Login\\s*\\|\\s*\\$ip', '\\$ssn\\s*=\\s*\\$_SESSION\\[\'ssn\'\\]\\s*=\\s*\\$_POST\\[\'ssn\'\\];', '==\\[BY\\s+P!RA17DZ\\]==', '/\\#s"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\s*\\)\\s*\\?\\s*\\(\\s*\\$match\\[\\s*\\d+\\s*\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\)\\s*;', ';@\\$__\\(\\$__\\d+\\(@\\$_\\[\\d+\\]\\.@\\$_\\[\\d+\\]\\.', 'fwrite\\(\\$\\w{1,40}\\s*,\\s*file_get_contents\\(\\$\\w{1,40}\\.\'\\w-\'\\.\\$_GET\\[\'\\w{1,40}\'\\]\\)\\);\\s*fclose\\(\\$\\w{1,40}\\);\\s*}\\s*echo\\s*\'<!DOCTYPE html!>\';\\s*\\?>', '\\$SandyKey=\\$_POST\\[\'SandyKey\'\\];', '@mail\\(\\s*\\$_POST\\[\'emailfinal\'\\]\\s*,\\s*\\$_SERVER\\[\'HTTP_HOST', 'DRIV3R\\s+KR\\s+PRIV8\\s+MAILER</title', '\\$double\\s*=\\s*1;\\s*}\\s*\\$email\\s*=\\s*urlencode\\(\\$email\\);\\s*if\\s*\\(!empty\\(\\$_SERVER\\["HTTP_CF_CONNECTING_IP', '\\$domains_dir\\s*=\\s*estimate_current_path\\(\\s*\\);\\s*process\\s*\\(\\s*\\$domain\\s*,\\s*\\$domains_dir\\s*\\);\\s*foreach\\s*\\(get_valid_dirs', '\\$\\w{1,40}\\s*=\\s*http_get\\s*\\(\'https://pastebin\\.com/raw', 'Dr\\.\\s*Nova\\s+Login\\s+To\\s+Shell</title>', 'Coded\\s*by\\s*:\\s*</font><font\\s*color="red">\\s*TrenggalekTeam', 'ACCOUNT\\s+PAYPAL\\s+FULLZ</font', '\\$asu="move_";\\s*\\$asu\\.="uploaded_";\\s*\\$asu\\.="file";', 'private\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']{10,200}\'\\s*;\\s*private\\s*\\$\\w{1,40}\\s*=\\s*\'application/msword\'\\s*;\\s*public\\s*function\\s*execute\\s*\\(\\s*\\)', '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*}', ';\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\Z', '<title>Propaganda\\s+Mail!\\s+v\\d+', 'href="https://www\\.bancosantander\\.es', 'chdir\\(\\$lastdir\\);\\s*capriv8exit\\(\\)', '^\\w{1,40}\\s*<\\?php\\s*echo\\s*php_uname\\(\\);\\s*if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*{', '\\$License\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_POST.+?;\\s*\\$License\\s*\\(\\s*\\)\\s*;', '\\$message\\s*\\.=\\s*"cvv\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[', 'substr\\(\\$__lp,\\s*0x\\w+-0x\\w+\\)\\)\\);break;\\}\\}\\}eval\\(\\$__ln\\);return 0;\\}\\s*else\\s*\\{die\\(', '\\$log_file_name\\s*=\\s*GetDocRoot\\(\\)\\s*\\.\\s*"/\\s*"\\s*\\.\\s*"\\w+\\.log"\\s*;\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[', '<\\?php\\s*eval\\(\\s*strrev\\(.{30000,}\\(\\s*rqbprqhh_geriabp\\s*\\(\\s*ynir\\s*\\\\\'\\s*\\(\\s*31tor_rts\\s*\\(\\s*lave\'\\s*\\)\\s*\\)\\s*;\\s*\\Z', '\\$color\\s*=\\s*"\\#\\w{1,10}";\\s*\\$default_use_ajax = true;\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']{50000,}\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', 'Coded\\s+By\\s+<font color="red">Little\\s+Wei', '\\$JSubMenuHelper\\s*=\\s*create_function\\(\'\',\\s*\\$JSubMenu\\);\\s*unset\\(\\$\\w+,\\s*\\$JSubMenu\\);\\s*\\$JSubMenuHelper\\(\\s*\\);', '<h2>Developer\\s+By\\s+KymLjnk</h2>', 'chdir\\(\'bypassbin\'\\);\\s*@exec\\(\'curl http://dl\\.dropbox\\.com', 'yetkiKontrol\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*<\\?php\\s*preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;', '\\]\\}="";class\\s+BaseJsonRpcServer\\{const\\s+ParseError', 'javascript:Goto\\(\'shell\'\\);>shell</a>', '\\)\\)\\)\\)\\s*{\\s*echo\\s*\'query\'\\s*;\\s*}\\s*else\\s*{echo\\s*\'bad request\'\\s*;\\s*}\\s*}\\s*else\\s*{echo\\s*\'not found\';\\s*}', 'if\\(strpos\\(\\s*\\$\\w{1,40}\\s*,\\s*\'@\'\\)\\s*!==\\s*false\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*CUser::GetByLogin\\(\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}->Fetch\\(\\);', 'define\\("USER_AGENT", "Mining Cacher', '(\\$\\w{1,40}\\s*="[^"]*"\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,}\\s*){3,}\\$__\\w+\\(\'\',"};"', '<h2>Developer\\s+By\\s+KymLjnk</h2>', '@mkdir\\("ByPassSym"\\);\\s*@chdir\\("ByPassSym"\\);\\s*@exec', '\\}=new WebConsoleRPCServer\\(\\);\\$rpc_server->Execute\\(\\);\\}else\\s*if\\(!\\$\\{\\$\\{', '<title>\\s*\\[\\s*D912\\s*Browser\\s*\\]\\s*</title>', '\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'\\|\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*,', '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\./id\\.zip\';\\s*\\$extract_path\\s*=\\s*\'\\./\';', 'eval\\(\\s*\'error_reporting\\(E_ERROR\\);\\$out', '\\(\\s*\\$_\\d+,\\d+\\s*,\\s*array\\s*\\("IP:\\s*{\\$_SERVER\\[_\\d+\\(\\d+\\)\\s*]\\s*}"\\s*\\)\\s*\\)\\s*;\\s*\\$GLOBALS', '\\A\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z', ']\\}\\)==\\d+\\s*\\)\\s*echo\\s*@serialize\\(\\$\\{\\$', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<<<EOT.{20000,60000}EOT;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST)\\["\\w{1,10}"\\];\\s*//.+?$\\s*\\$\\w{1,40}\\s*=\\s*create_function', '\\$run_ioncubetesterplus\\s*=\\s*create_function', '@set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"[^"]{1,100}"\\);array_walk\\(\\$_POST,"[^"]{1,100}"\\);function\\s*enumerator', '\\#!/bin/bash\\s*while\\s*true\\s*;\\s*do\\s*\\{\\s*if\\s*\\[\\s*"\\$\\(pidof \\w{1,100}\\)"\\s*\\]\\s*then\\s*sleep\\s*60\\s*else\\s*\\.\\s*/kswd\\s*&\\s*fi\\s*\\}\\s*done', 'return\\s*true;\\s*\\?><\\?php\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\){\\$\\w{1,40}="";if\\(isset\\(\\$_GET\\["v1"\\]', 'ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*class\\s*MCurl', '\\$finish_result\\s*=\\s*array_unique\\(\\$finish_result\\);\\s*foreach\\s*\\(\\$finish_result', 'arr_php_file\\s*=\\s*findshells\\s*\\(\\s*\\$_SERVER', 'eval\\(str_rot13\\(gzinflate\\(str_rot13\\(base64_decode\\(\\(\\$astra', '\\(\\s*\\$google_n=0;\\s*\\$google_n<\\d+;\\s*\\$google_n=\\$google_n\\+\\d+\\)\\s*{\\s*\\$ch\\s*=\\s*curl_init\\(\\s*\\);', '}\\s*echo\\s*\\w{1,40}\\s*\\(\\s*"[^"]{1,80}"\\s*\\)\\s*;\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]+"\\s*,\\s*""\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*str_replace\\s*\\(\\s*""', 'for\\s*\\(\\$i\\s*=\\s*2\\s*;\\s*\\(\\s*\\$i\\s*<=\\s*20\\s*\\)\\s*;\\s*\\$i\\+\\+\\)\\s*{\\s*\\$newfile\\s*=\\s*"\\$i\\.php";', '\\$Salesforce_Desk_1\\s*=\\s*stristr\\(\\$finish_result', 'file_put_contents\\(\\$rfn,file_get_contents\\(\'pid\\.php', '=unserialize\\(string_cpt\\(base64_decode\\(\\$\\w{1,40}\\),\\$\\w{1,40}\\)\\);\\$\\w{1,40}=\\$_REQUEST', '<title>MINI\\s+SHELL</title>\\s*<style>', '\\$_POST\\["pwd"\\]="Weak\\s*Liver', '\\$\\w{1,40}=base64_decode\\(\\$_POST\\["z0"\\]\\);\\s*@eval\\("\\\\\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40};"\\s*\\);\\s*\\}\\s*\\}.{3000,}\\}\\}\\}else\\{\\?><form', 'Exec_Run\\("rm\\s*-rf\\s*"\\.\\$filename\\);', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\\\x.{50000,}\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]{1,20}"\\s*\\)\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', 'app->getMenu\\(\\);\\s*if\\s*\\(\\$jemenu->getActive\\(\\)\\s*==\\s*\\$jemenu->getDefault\\(\\)\\)\\s*\\{\\s*\\$rand\\s*=\\s*rand', '\\]\\}=mail_utf8_html_attch\\(\\$\\{\\$\\{', '<\\?php\\s*\\$\\w{1,40}\\s*=(?:\\s*(\\s*\'.{77}\'\\.$)){3,}', '<\\?php\\s*function\\s+gethttpcnt\\(\\$url\\s*,\\s*\\$timeout\\s*=', 'stratum\\+tcp://pool\\.minexmr\\.com:', 'x@xmr\\.crypto-pool\\.fr:80/xmr', '@eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$code\\)\\)\\)\\);', 'magicboom\\(\\$_GET\\["y"\\]\\);\\$f\\s*=\\s*\\$_GET', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$\\w+\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$file\\s*=\\s*basename\\(\\s*__FILE__\\s*\\)\\s*;\\s*\\$user\\s*=\\s*\\$_POST\\[\\s*"user"\\s*\\];', '@move_uploaded_file\\(\\$userfile_tmp\\s*,\\s*\\$qx\\);\\s*@chmod\\s*\\(\\$qx\\s*,\\s*octdec\\(\\s*\\$mode\\s*\\)\\s*\\);', 'public\\s+function\\s+setLinksToDbJm\\(\\)', 'function\\s*rmhtmltag2\\(\\$tagname=\'\',\\$str=\'\'\\s*\\)\\s*{\\s*\\$rulers\\s*=\\s*\'\\#<\'\\.\\$tagname', 'function\\s*astripslashes\\(\\$array\\)\\s*{\\s*return\\s*is_array\\(\\$array\\)\\s*\\?\\s*array_map\\(\'WSOstripslashes\'\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\)', '\\$_COOKIE\\[\'j_submenu\'\\]\\s*:\\s*NULL\\);\\s*\\$JSubMenu\\s*=\\s*addFilter\\(getEntries\\(_JEXEC\\), \\$action\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$JSubMenu\\s*\\)\\s*\\)', '\\$content\\s*=\\s*http_request\\(\\s*"http://"\\.\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/\\w+"\\);\\s*\\$content\\s*=\\s*str_replace\\(\\s*"/\\w+"\\s*,\\s*\\$uri\\s*, \\$content\\s*\\);\\s*exit\\(\\s*\\$content\\s*\\);', '@set_time_limit\\(\\s*0\\s*\\)\\s*;\\s*if\\(\\s*\\$lim\\s*>\\s*100\\s*\\)\\s*break\\s*;\\s*\\$d\\s*=\\s*\\$startDir\\s*\\.\\s*\\$one_dir;', ';return\\${\\$\\w{1,20}};}public function getRules\\(\\){if\\(\\$this->detectionType==self::DETECTION_TYPE_EXTENDED\\){return self::getMobileDetectionRulesExtended\\(\\);}', '<h2>Confirm\\s+Your\\s+Paypal\\s+Debit/Credit\\s+Card\\s*</h2>', '}\\["[^"]+"\\]}=mail_utf8_html_attch\\(\\${\\$\\w{1,20}},\\${\\${', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'to\'\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)', 'if\\(\\$_GET\\[\'mod\'\\]\\s*==\\s*\'X0X\'\\s*OR\\s*\\$_GET\\[\'mod\'\\]\\s*==\\s*\'00X\'\\s*\\)', 'file_put_contents\\(\\s*\'err_class/sape\\.php', '\\$dl=urldecode\\(\\$_COOKIE\\[\'dl\'\\]\\);\\$cp=urldecode\\(\\$_COOKIE\\[\'cp\'\\]\\);\\$cd=urldecode\\(\\$_COOKIE\\[\'cd\'\\]\\);', 'unzip\\("archive\\.zip"\\);\\s*@unlink\\(\'archive\\.zip\'\\);\\s*@unlink\\(\'\\w+\\.php\'\\);', '\\$data\\s*=\\s*file_get_contents\\(\'php://input\'\\);\\s*if\\s*\\(strlen\\(\\$data\\)\\s*<=\\s*4\\)\\s*d\\(\'e0\'\\);', '\\$message\\s*\\.=\\s*"CVV:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv\'\\]\\s*\\.\\s*"\\\\n";\\s*\\$message\\s*\\.=\\s*"PIN:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv0\'\\]\\s*\\.\\s*"\\\\n";', 'rename\\s*\\(\\s*(\\$\\w{1,20})\\s*\\.\\s*"\\.php\\.suspected"\\s*,\\s*\\1\\."\\.php"\\s*\\);', '\\$tags=array\\("p","div","span"\\);\\$tags=\\$tags\\[rand\\(0,count\\(\\$tags\\)-1\\)];\\s*array_push\\(\\$body,"%1\\$tags%3",\\$text,"%2\\$tags%3"\\);', 'if\\s*\\(strlen\\(strval\\(key\\(\\$_GET\\)\\)\\)\\)\\s*\\$m\\s*=\\s*\'sub_id_1=\'\\s*\\.\\s*strval\\s*\\(\\s*key\\(\\s*\\$_GET\\s*\\)\\s*\\);', '@file_get_contents\\("\\$chain/csbx\\.php', 'eval\\(base64_decode\\("JGF1dGhfcGFzcyA9ICIyYTF', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*\\$act\\s*==\\s*\'redate\'\\s*&&\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*rdFile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', 'function\\s*clear_htaccess\\(\\$file_name\\)\\s*{\\s*\\$path_htaccess\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*eval', ';\\s*\\b\\w{1,20}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*hebrevc\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*\\w{1,10}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);', '<center>config\\s*root\\s*man</center>', '\\$GLOBALS\\[\'\\w+\']=Array\\(\\);\\s*\\?><\\?\\s*function\\s*_\\w+\\(\\$i\\){\\s*\\$a=Array\\(\\);\\s*return base64_decode\\(\\$a\\[\\$i]\\)\\s*;\\s*}\\s*preg_replace\\(\\s*"/\\.\\*/e","', 'file_put_contents\\(\\s*\\$\\w{1,10}\\s*\\.\\s*["\']/\\w+\\.(png|gif)["\']\\s*,\\s*["\']<\\?php\\s*["\']\\s*\\.\\s*get\\(\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\)\\)', '<\\?php\\s*eval\\s*\\("\\?>"\\s*\\.\\s*gzuncompress\\(base64_decode\\("eJysvV', '<\\?php\\s*function\\s+file_to_include_unknown_cms', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*eval\\(base64_decode\\(\'IGVycm9yX3JlcG9ydGluZygw', '{\\s*echo\\s+"Files\\s+Extracted\\s+MbroOk', '\\$_F=__FILE__;\\$_X=\'P2lCPz5NY2VXKDxlbk1bVV85TTJPOU0oJzhDcjA5Qy5', ';\\s*symlink\\(\'/\'\\.\\$home\\.\'/\'\\.\\$user\\.\'/public_html/client\\-area/configuration\\.php\',\\$user\\.\'WHMCS\\.txt\'\\);', '\\$f\\s*=\\s*\\$a\\(\\s*"",\\s*\\$array_name\\(\\s*\\$string\\s*\\)\\s*\\);\\s*//\\s*MALWARE\\s*\\$f\\(\\s*\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\${"', '\\$exploitURL\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*REDIRECTION_FOLDER\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;', '\\$ff\\s*=\\s*\\$f1\\s*\\.\\s*\\$f2\\s*\\.\\s*\\$f3;\\s*if\\s*\\(file_exists\\(\\$ff\\)\\)\\s*chmod\\s*\\(\\$ff\\s*,\\s*0777\\);', 'PRIVATE\\s+SCAM\\s+APPLE.+?\\$bannedIP\\s*=\\s*array', '<title>\\|\\#\\|\\s*BW\\s*Inbox\\s*Mailer\\s*\\|\\#\\|\\s*</title>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'print\\s*"Sending\\s*Mail\\s*To\\s*\\$to\\.\\.\\.\\.";\\s*flush\\(\\);\\s*\\$header\\s*=\\s*"From:\\s*\\$realnamenew', ':\\${\\$\\w+}=php_uname\\(preg_replace\\("/\\^-/","",\\${\\${', 'hide\\s+-s\\s+"/usr/sbin/httpd"\\s+-d\\s+-p\\s+ax\\.pid', 'Rez\\s+by\\s+\\[\\s+bajatax\\s+--\\s+Sniper', '<\\?php\\s*session_start\\(\\s*\\);\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];\\s*\\$pass\\s*=\\s*\\$_SESSION\\[\'pass\'\\]\\s*=\\s*\\$_POST\\[\'\\w+\'\\];\\s*\\$IP\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];', 'Wahib\\s+Mkadmi\\s+Priv8\\s+Mail3R', 'eval\\(gzuncompress\\(base64_decode\\(\'eNqs/fuPK9tWH47', 'WritePayload\\(\\s*\\$local_payload_path\\s*,\\s*\\$payload_file\\s*\\);', ';\\$\\{\\$\\w{1,40}\\}\\s*=\\s*get_option\\(EWPT_PLUGIN_SLUG\\);echo"[^"]+"\\s*\\.\\s*esc_attr\\(\\$\\{\\$\\{"[^"]+"\\}\\s*\\["', 'define\\(\'SHELL_PASSWORD\'\\s*,\\s*\\$hashed_password\\)\\s*;\\s*define\\(\'MAX_UP_LEVELS\',\\s*\\d+\\)\\s*;\\s*if\\(empty\\(\\$_COOKIE', 'my\\s*@ps\\s*=\\s*-c\\s*1\\s*-x\\s*-x"\\s*,\\s*"/usr/sbin/acpid"\\s*,\\s*"/usr/sbin/cron', '<title>Navicat HTTP Tunnel Tester</title>', 'stripos\\(\\$path\\s*,\\s*\'/httpdocs/\'\\s*\\)\\s*\\+\\s*strlen\\(\\s*\'/httpdocs/', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*form', '@system\\("killall\\s+-9\\s+"\\.basename\\("/usr/bin/host"\\)\\);', 'if\\s*\\(\\s*!function_exists\\(\\s*\'jquery_GetAllWritableDirs\'\\s*\\)\\s*\\)\\s*{\\s*function\\s*jquery_GetAllWritableDirs\\(\\s*\\$params\\s*\\)\\s*{\\s*global\\s*\\$jquery_dr\\s*,\\s*\\$dirList', 'webadmin\\.php</h1>', '\\$\\w{1,40}\\s*=\\s*fopen\\(\\s*"temp1-1\\.php"\\s*,\\s*"w"\\s*\\);\\s*fputs\\(\\$\\w+\\s*,\\s*"<\\?php', 'function\\s*xcalendarBufferEnd\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*xcalendarWPBase::getInstance\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*octdec\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*else\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*chmod_R\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}', 'Web\\s+Shell\\s+By.+?preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;', '}\\s*else\\s*{\\s*syswrite\\(\\$client\\s*,\\s*"\\\\x05\\\\xFF"\\s*,\\s*2\\s*\\);\\s*}\\s*;', 'Mister\\s+Spy\\s+&\\s+Souheyl\\s+Bypass\\s+Shell', '(\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[^)]+?\\s*\\)\\s*;\\s*){4,}\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*,\\s*\\d+\\s*\\);\\s*\\$\\w+\\s*=\\$\\w+\\(\\s*\\$\\w+\\s*\\);\\s*\\$', '{keyword}\\s*</h1>\\s*</big>\\s*</h1>\\s*{manytext_bing}\\s*</div>\\s*</div>', '<\\s*\\?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}', '<title>v\\d+\\.0\\s*\\-\\s*Mass\\s*Mailer\\s*by\\s*Kobra-Crew', '<title>INDRAJITH\\s+SHELL.+filemanager_bg', '/\\*\\s*Turbo\\s+Force\\s+By\\s+TrYaG\\.CC\\s+\\-\\s+TrYaG\\s+AcaDemY\\s*\\*/', ']}\\)\\);}echo\\${\\$\\w+};exit\\(\\);function get_ip\\(\\){\\${\\${".+uniqid\\(\\)\\.uniqid\\(\\);\\${\\${', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"-+\\|\\s*Full\\s*Infos', '<title>\\s*HOTMAIL\\s*\\(W33\\.INFO\\)\\s*</title>', '<\\?\\s*\\$random=rand\\(0,100000000000\\);\\s*\\$md5=md5\\("\\$random"\\);\\s*\\$base=base64_encode\\(\\$md5\\);\\s*\\$dst=md5\\("\\$base"\\);', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"\\s*-+\\|\\s*CC\\s*Infos', '<title>\\s*Impots\\.gouv\\.fr\\s*-\\s*Accueil\\s*</title>', '<title>Navicat\\s*HTTP\\s*Tunnel\\s*Tester</title>', 'Sign\\s+on\\s+to\\s+Scotia\\s+OnLine', '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$md5\\s*=\\s*md5\\(\\s*uniqid\\(\\s*time\\(\\s*\\)\\s*\\)\\s*\\);', '<\\?php\\s*function botcheck\\(\\s*\\)\\s*{\\s*\\$spiders\\s*=\\s*array\\(', '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$user\\s*=\\s*\\$_POST\\[\'user\'\\];\\s*\\$pass\\s*=\\s*\\$_POST\\[\'pass(word)?\'\\];', 'function\\s*LimitDownloadSize\\(\\s*\\$resource\\s*,\\s*\\$DownloadSize\\s*,\\s*\\$Downloaded\\s*,\\s*\\$UploadSize\\s*,\\s*\\$Uploaded\\s*=\\s*null\\s*\\)', 'my\\s*\\$fakeproc\\s*=\\s*"/usr/local/apache/bin/httpd\\s*-KKD"', 'PlgSystemXcalendarHelper::getInstance\\(\\s*\\);', 'function\\s*start_work\\(\\s*\\$off\\s*,\\s*\\$unto\\s*\\)', 'touch\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\|\\|\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*chmod\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*0444\\s*\\)\\s*;\\s*chmod\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*0555\\s*\\)\\s*;\\s*\\}', 'die\\(\'ERROR-400-BAD-REQUEST\'\\);\\s*if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\)\\){\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'\\w+\']\\)\\)', 'echo"<center>.+?</center>\\s*";\\s*echo\\s*\'uname:\'\\.php_uname', '<!--\\#include\\s*file="/etc/passwd"\\s*-->', '\\$default_action\\s*=\\s*[\'"]FilesMan[\'"];\\s*\\$default_use_ajax\\s*=\\s*true;', '<title>GaLers\\s+xh3LL\\s+Backd00r</title>', ';class\\s*Smarty3\\s*{\\s*private\\s*static\\s*\\$file_with_ip', 'exec\\("cat /etc/passwd', '\\.\\s*/sss\\s*\\.\\s*pl\\s*<\\s*local_host\\s*>\\s*<\\s*local_port\\s*>\\s*\\[\\s*auth_login\\s*\\(\\s*:auth_pass\\s*\\)\\s*\\]', '<title>Navicat HTTP Tunnel Tester</title>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$mailTo\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;.+if\\(mail\\(\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody\\s*,\\s*\\$MessageHeader\\s*\\)\\s*\\)', 'Upload\\s*is\\s*<b>\\s*<color>\\s*WORKING', 'Sindbad\\s*File\\s*Manager\\s*Version', 'if\\s*\\(\\s*file_exists\\(\\s*"config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./\\.\\./config/settings\\.inc\\.php"\\s*\\)', '<\\?php\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ignore_user_abort\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*eval\\(gzuncompress\\(base64_decode\\(\'eNp1VW1r21YU/it3JjA7mMSSLCmyyYqXOJ4zj5R4rEl2h7iWrl4aWfKk60YmjFFox', '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*0\\s*,\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'gzinflate\'\\s*;', '<title>Cardiman\\s+Asooooh', '\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\$\\w+\\);\\s*}\\s*elseif\\(!in_array\\([\'"]exec[\'"]\\s*,\\s*explode\\(\\s*[\'"],[\'"]\\s*,\\s*ini_get\\(\\s*[\'"]disable_functions[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*{\\s*exec\\(\\s*"wget\\s*-O\\s*-\\s*\'"\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"\'"\\s*,\\s*\\$\\w+\\);', '\\$headers\\s*=\\s*"From:\\s*MafioZo0', '\\$ADconn\\s*=\\s*new\\s*adLDAP;\\s*if\\(\\$ADconn->existingUser\\(\\$user\\[\'username\'\\]\\)\\){\\s*section\\("Active\\s*Directory",2\\);\\s*content\\(\\);', 'makehide\\(\'action\', \'backconnect\'\\);\\s*p\\(\'<p>\'\\);\\s*p\\(\'Your IP:\'\\);\\s*makeinput\\(array\\(', '<title>\\w+</title><form\\s+enctype=multipart/form-data\\s+method=post><input\\s+name=\\w+\\s+type=file><input\\s+type=submit\\s+name=\\w+>\\s*<br><br><input\\s+name=path\\s+type=text\\s+value=<\\?php\\s+echo\\s+@getcwd\\(\\);\\s*\\?>/>', '<\\?php\\s*echo\\(\\s*htmlentities\\(\\s*\\$_GET\\[\\s*\'symlinktarget\'\\s*\\]\\s*\\)\\s*\\);\\s*\\?>\\s*</b>\\s*<br>\\s*<input\\s*type="checkbox"\\s*name="relative"\\s*value="yes"\\s*id="checkbox_relative', 'if\\s*\\(\\s*\\$pass\\s*==\\s*\'\\w{32}\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*FALSE\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}', 'PhpFileAdmin.+?<a\\s*href="index\\.php\\?dir=<\\?=\\$_GET\\[\'dir\']\\?>">', 'elseif\\s*\\(\\s*isset\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*&&\\s*!empty\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*htmlentities\\(\\s*\\(\\s*string\\s*\\)', 'list\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)=\\s*explode\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\);', '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=', ';\\s*\\$[O0_]+="[^"]*"\\s*;\\s*\\$\\w{1,40}="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*', 'else\\s*\\{\\s*echo\\s*"indata_error"\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)', '<title>D\\.R\\.S\\s+Dz</title>', 'list\\(\\$tobuf,\\$from,\\$frompwd,\\$fromname,\\$subject,\\$message\\)= split \\(\':::\',\\s*\\$conar\\);\\s*\\$toar = split\\(\'\\\\\\|\\\\\\|\',\\$tobuf\\);\\s*foreach \\(\\$toar\\s*as\\s*\\$to\\)\\s*{\\s*list\\(\\$fromlogin,\\$fromhost\\)=split\\(\'@\',\\$from\\);', 'base64_decode(\'UHJvcGVydHkgb2YgUmV2aXNpdW0uY29t\')', 'static\\s*public\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*["\'][^"\']*=["\']\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '}\\s*if\\(\\w+::\\w+\\(\\w+\\("[a-zA-Z0=9/]+=="\\)', '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=\\d+\\s*x3=', 'OK\\s*COK\\s*SUKSESS', 'fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*[\'"][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*rawurldecode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$\\w{1,40}-\\s*>\\s*\\w+\\s*=@file_get_contents\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*===\\s*false\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+\\s*;', '\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*1\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', 'basename\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*&&\\s*in_array\\s*\\(\\s*strtok\\s*\\(\\s*"[^"]*"\\s*\\)\\s*,\\s*array\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*', '\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"php"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"aspx"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;', '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\.\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*;\\s*\\}\\s*', 'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s+\\w+\\s*{.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,.+?MRT_ALL_TRAFFIC', '<\\?php\\s*//=+//\\s*//=+\\+\\+\\+Dhanush\\+\\+\\+=+//\\s*//=+//\\s*//=+\\+\\+\\+Coded\\s*By\\s*Arjun\\+\\+\\+===//\\s*//=+//\\s*//=+\\+\\+\\+An\\s*Indian\\s*Hacker\\+\\+\\+=====//\\s*//=+//\\s*//====\\s*Ashvin-2069/Oct-2012\\s*====//\\s*//\\s*Set\\s*Username\\s*&\\s*Password\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*Malware\\s*Site\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*"[^"]*"\\s*Base64\\s*encoded\\s*"[^"]*"\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*/\\*\\s*PHP\\s*Encode\\s*by\\s*http://Www\\s*\\.\\s*PHPJiaMi\\s*\\.\\s*Com/\\s*\\*/error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*if\\s*\\(\\s*!defined\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*__FILE__\\s*\\)\\s*;\\s*if\\s*\\(\\s*!function_exists\\s*\\(.+?\\?>', 'if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*scandir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\(\\s*is_dir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{', 'if\\s*\\(\\s*\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\|\\|\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}', '\\{\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\s*3600\\s*\\)\\s*;', 'require\\s*__DIR__\\s*\\.\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Clue\\\\Psocksd\\\\App\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*run\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<\\s*<\\s*<\\s*S\\s*\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#\\s*<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#\\s*<\\s*/IfModule\\s*>\\s*\\#\\s*END\\s*WordPress', 'if\\s*\\(\\$query\\s*===\\s*\'checker-page\'\\)\\s*{\\s*if \\(\\s*_fetch_url\\(\\s*_get_rev\\(\\s*\\)\\s*\\)\\s*>\\s*0\\)\\s*{', 'by_rEpErOk</font>', '(\\$\\w{10,40}\\s*=\\s*\\d+;\\s*){10,}.+?array_push\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*>\\s*tV12hsJy_\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*array_shift\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*microtime\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\}\\s*\\}', 'Configs\\s+Grabber\\s+By\\s+AnonCoders\\s+Team', 'function\\s+sessionStart\\(\\$session\\)\\s*{\\s*if\\(!empty\\(\\$session\\)\\)\\s*return\\s*eval\\(\\$session\\);\\s*}', 'if\\s*\\(\\s*me_file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0444\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*;\\s*\\}\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*me_file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}', 'md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*===\\s*__PASSWORD__\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*filemtime\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*filemtime\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*move_uploaded_file', 'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*" AND \\#__content\\.title LIKE', 'fp\\s*=\\s*@fsockopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*connect3\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urlencode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;', '\\$_SESSION\\[\'_ip_\'\\];\\s*//+\\s*\\$LOGS\\s*=\\s*"\\["\\s*\\.\\s*date\\(\\s*\'Y-m-d[^;]+;\\s*file_put_contents\\(\\s*\'[^\']+\'\\s*,\\s*\\$LOGS\\s*\\.\\s*PHP_EOL\\s*,\\s*FILE_APPEND\\s*\\);', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\|\\|\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*print\\s*json_encode\\s*\\(\\s*selfTest\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*elseif\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*json_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*true\\s*\\)\\s*;\\s*print\\s*json_encode\\s*\\(\\s*alexusMailer\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*json_encode\\s*\\(\\s*array\\s*\\(', '\\$\\w{1,40}\\s*=\\s*\\$dir\\.DIRECTORY_SEPARATOR;\\s*chmod\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\', 0644\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\'\\s*,\\s*"r"\\);', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]jquery[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]var', '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;', '\\*/\\s*(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}\\$\\w+\\s*=\\s*"(\\\\\\d+){3,}";\\s*((\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}|/\\*)', '\\$\\w{1,40}\\s*=\\s*explode\\(\\s*\'\\|\',(\\s*base64_decode\\(){3,}\\s*\\$\\w+\\s*(\\)\\s*)+;', '\\$\\w{1,40}\\s*=\\s*new\\s*PclZip\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*extract\\s*\\(\\s*\\)\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*errorInfo\\s*\\(\\s*true\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\s*title\\s*>\\s*<\\s*\\?\\s*=\\$Z118_title\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\?><\\s*/title\\s*>', 'wget\\s+https?://[^/]+/xmrig_lin64\\s+-o\\s+/tmp/', 'echo\\s+"Uploader\\s+By\\s+Psyco', '<\\?php\\s+//\\s+HacKerD\\s+By\\s+aDriv4', 'register_shutdown_function\\(array\\(\'\\w+\',\'\\w+\'\\)\\);\\$\\w{1,40}=\\$\\w{1,40}\\?;\\}if\\(!file_exists\\(\\$\\w{1,40}\\?\\)\\)\\{@assert\\(str_replace', '<title>Mister\\s+Spy</title>', 'LOGIN\'\\s*=>\\s*\\$_POST\\[\'login\'\\]\\s*,\\s*\'ACTIVE\'\\s*=>\\s*\'Y\',\\s*\'GROUP_ID\'\\s*=>\\s*array\\([^)]+\\),\\s*\'PASSWORD\'\\s*=>\\s*\\$_POST\\[\'pwd1\'\\],', 'bad_list\\.txt"\\s*,\\s*"a"\\s*\\);\\s*fwrite\\(\\$\\w+,\\s*\\$check\\."\\\\n"\\);\\s*\\$\\w+\\s*=\\s*fopen\\s*\\(\\s*"good_list\\.txt', '(\\$func\\d\\s*=\\s*strrev\\(str_replace\\(\'[^\']+\',\'\',\'[^\']+\'\\)\\);\\s*){3,}', 'user\\.\'/etc/\'\\.\\$t\\.\'/shadow\',\'ab', '\\$htaccess\\s*=\\s*"https://pastebin\\.com/raw/\\w+";\\s*\\$file\\s*=\\s*file_get_contents\\(\\$htaccess', '<br>\\[\\+\\]\\s*Uname:\'\\.php_uname\\(\\)', 'urltoredirect\\s*=\\s*\\$new_request->request\\("http://"\\s*\\.\\s*\\$servurl\\s*\\.\\s*"\\?clientid="\\.urlencode\\(\\$clientid\\)\\."&ineednewurltoredirect', '\\$cachetime\\s*=\\s*\\d+;\\s*if\\s*\\(\\(file_exists\\(\\$target\\)\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*\\$cachetime\\)\\s*>\\s*filemtime\\(\\$target\\)\\)\\s*\\{\\s*\\$string\\s*=\\s*file_get_contents', '\\$engines\\)\\s*\\{\\s*if\\s*\\(preg_match\\(\\s*"/\\$engines/"\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\(\\$target', 'if\\s*\\(\\s*is_bitch\\(\\s*\\$_SERVER', 'SCAM\\s+PAYPAL\\s+V.{10,100}SHADOW\\s+Z118', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*chr\\(.{400,600};include\\(\\$\\w{1,40}\\);\\$\\w{1,40}\\(\\$\\w{1,40}\\);\\s*\\Z', '<\\?php\\s*echo\\s*\'RxR\\s+HaCkEr', '\\$file\\s*=\\s*\\$exec_path\\.\\$drop_name;\\s*drop_file\\(\\$file\\s*,\\s*\\$\\w{1,40}\\);\\s*\\}\\s*@chmod\\(\\$file\\s*,\\s*0777\\);', 'file_put_contents\\(\\$path\\s*,\\s*\\$this->get_backdoor_code', '<\\?php\\s*\\$auth_pass=\'.{32}\';preg_replace\\("/\\.\\*/', 'ccc=str_rot13\\(gzinflate\\(base64_decode\\(\\$code_', 'HacKerD By aDriv4', 'error_reporting\\(0\\);\\$c_=\'[^\']+\';\\$c0=\'[^\']+\';\\$c1=\'[^\']+\';\\$c2=\'', 'if\\(\\$_POST\\[\'success\'\\]\\s*==\\s*\\$msg\\[\'delScript\'\\]\\)\\s*@unlink\\(__FILE__\\);\\s*LocalRedirect', 'else{file_put_contents\\(\\$c9\\.\'/\\.htaccess\',file_get_contents', '<TITLE>Backdoor shell', 'sh\\s+-c\\s+\\./cnrig\\s+-a\\s+cryptonight\\s+-o', '<\\?php\\s*\\$[O0_]{1,40}=\'[^\']+\';\\s*\\$[O0_]{1,40}=\\d+;\\s*\\$[O0_]{1,40}=\'index\\.php.{30000,}range\\(1,\\$p\\);\\s*\\}\\s*\\$numbers\\s*=\\s*range\\(1,\\$p\\);\\s*shuffle\\(\\$numbers\\);\\s*return\\s*array_slice\\(\\$numbers,0,\\$n\\);\\s*\\}\\s*\\?>', '\\Amy \\$\\w{1,40};\\$\\w{1,40}.=\\$_\\s*while\\(<DATA>\\);\\s*eval\\(unpack\\(\'u\\*\'\\s*,\\s*\\$\\w{1,40}\\)\\);\\s*__DATA__', 'port_c="I2luY2x1ZGUgPHN0ZGlvLm', 'HTTP_HOST"\\)\\.\' - FaTaL Shell', '\\A<\\?php\\s+\\$\\w{1,40}\\s*=\\s*\\d+;\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}, \\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*\'\';.{2000,4000};echo/\\*[^*]{1,100}\\*/\\(\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\)\\s*;\\s*\\?>', '<title>ex0shell', 'function\\s+DxFiles_UploadHere', 'feshow="shell_exec"', '<title>Dive\\s+Shell', 'made_by="Bl0od3r";', '<center>\\.:Cyber Shell', 'array\\("find all suid files', ':: 3FEShell', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*include\\s*\'antibots\\.php\';\\s*\\$message\\s*\\.=\\s*"--', '<\\?\\s*\\$adddate=date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$country\\s*=\\s*visitor_country\\(\\);', '\\$login\\s*=\\s*\\$_SESSION\\[\'clientemail\'\\];\\s*\\$passwd\\s*=\\s*\\$_POST\\[\'passwd\'\\];\\s*\\$own\\s*=', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=.{3000,30000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*user_error\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*E_USER_ERROR\\s*\\)\\s*;', '<option value="cat /etc/passwd">', 'mailto:\'>P0Uy@_\\$3r\\/3R', 'mydir->close\\(\\);\\s*@chmod\\("\\$deldir",0777\\);\\s*echo\\s+@rmdir\\(\\$deldir\\)', '<b>\\.::\\[Shell functions\\]::\\.</b>', 'create_symlink\':\\s*if\\s*\\(!empty\\(\\$_POST\\[\'destination\'\\]\\)\\)\\s*\\{\\s*\\$dest\\s*=\\s*relative2absolute\\(\\$_POST', '\\$file\\s*=\\s*"N-Cool-\\$date\\.sql\\.gz";\\s*\\$gzip\\s*=\\s*TRUE;\\s*\\$silent\\s*=\\s*TRUE;', '\\$s_pass\\s*=\\s*"\\w{32}";\\s*//\\s*password\\s*\\(.{1,100}\\)\\s*eval\\("\\?>"\\.gzinflate\\(base64_decode\\(', '@eval\\(gzinflate\\(base64_decode\\(\\$code\\)\\)\\);\\s*\\?>\\Z', '<head>\\s*<title>azrail\\s+1\\.', 'fold in folder\\.SubFolders \'-->FOLDERz', '\\.Visible=true;\\s*Bin_H2_Title\\.InnerText="File Manager', 'HTTP_HOST"\\)\\.\'\\s*-\\s*Antichat\\s*Shell</title>', 'case\\s*\'exesys\':\\s*\\$content\\s*\\.=\\s*\\$shell->exesysform\\(\\);', 'elseif\\(strtolower\\(\\$cmd\\)\\s*==\\s*"etcpasswdfile"\\)\\s*\\{\\s*\\$pw\\s*=\\s*file\\(\'/etc/passwd/\'\\);', 'curl_setopt\\(\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*"file:file:///', 'fm_redirect\\(\\s*FM_SELF_URL\\s*\\.\\s*\'\\?p=\'\\s*\\.\\s*urlencode\\(FM_PATH\\)\\s*\\);', 'RxR\\s+HaCkEr\\s*<\\?\\s*\\$cwd', '<\\?php\\s*if\\(\\s*\\$_GET\\["\\w{1,40}"\\]\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*if\\(\\s*@copy\\(\\$_FILES\\[\'file\'\\].{1,400}</form>\'\\s*;\\s*\\}\\s*\\?>\\Z', 'div\\s+id="content"><textarea\\s+rows="20%"\\s+cols="50%">\\\\\'\\.\\$[O0_]{5,20}\\.\\\\\'</textarea', ';set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"enumerator"\\);array_walk\\(\\$_POST,"enumerator"\\);function enumerator\\(\\$value,\\$key\\)\\{\\$\\{', ',CURLOPT_USERAGENT,\\\'WHR\\\'\\);\\$\\{', 'putincache\\(\\$urlhash\\."::::"\\.codedata', ';\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\w{1,40};', '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*null\\s*\\.\\s*\\$\\w{1,40}\\s*\\(', 'function check_commands\\s*\\(\\)\\s*\\{\\s*if\\s*\\(\\s*array_key_exists\\s*\\(\\s*\'delete\'\\s*,\\s*\\$_REQUEST\\s*\\)\\s*\\)\\s*\\{\\s*unlink\\(\\s*__FILE__\\s*\\);', '\\A<\\?php\\s*\\$\\w{1,40}="[^"]{30000,}";eval\\(base64_decode\\("[^"]+"\\)\\);return;\\s*\\?>\\Z', '<title>W3LL\\s+M!N!\\s+SH3LL</title>', '<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*/\\s*>\\s*<\\s*title\\s*>\\s*\\#[a-z]+\\#\\s*<\\s*/title\\s*>\\s*<\\s*meta\\s*name\\s*="keywords"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>\\s*<\\s*meta\\s*name\\s*="description"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>', 'chdir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*get_rand_touch\\s*\\(\\s*\\)\\s*;\\s*writeTo\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*false\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*"wp-config\\.php"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*file_put_contents\\(', '<\\?php\\s/\\*\\s*--\\s*enphp.+}\\{\\d+\\}\\(E_ALL\\^E_NOTICE\\);\\$_SERVER{', 'global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*new\\s*dolly_plugin\\s*\\(\\s*\\)\\s*;', 'echo\\s+mail\\(\\$to,\\$them,\\$mss,\\$head\\)\\?_\\d+\\(\\d+\\):_\\d+\\(\\d+\\)', '}\\s*=\\s*@unserialize\\(\\s*sh_decrypt\\(\\s*@base64_decode\\(\\s*\\${\\s*\\$\\w+\\s*}\\)\\s*,\\s*\\${\\s*\\${\\s*"[^"]+"\\s*}', 'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s*bb_pres\\d+\\s*\\{\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;.+data:text/javascript;base64', '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*[^;]+;\\s*\\$\\w+\\[chr\\(\\s*\\d+\\s*\\)\\s*]\\(bd\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\$\\w+\\[\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\]\\(\\s*\\w+\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);', 'class\\s+bb_press2.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,', '<\\?(php)?\\s*\\$auth_pass\\s*=\\s*"[^"]*";\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\([\'"]', '\\#!/usr/bin/perl\\s+-w\\s*my\\s+\\$Password="\\w+";\\s*\\$\\w+\\s*=\\s*[\'"](\\d+;)', '<title>(cPanel\\s+)?Turbo\\s+Force', '\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*@chdir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Check\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Send\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*', '\\$GLOBALS\\[\'Alfa_Protect_Shell\'\\]', '<\\?php\\s*/\\*\\s*WSO\\s*\\[\\s*2\\s*\\.\\s*\\d+\\s*\\]', '\\$\\w{1,20}\\s*=\\s*\\$\\w{1,20}\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*\\$\\w{1,20}\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*\\$\\w{1,20}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{', 'preg_split\\("//",\\$\\w+,-1,PREG_SPLIT_NO_EMPTY\\);\\$\\w+=implode\\("",array_reverse\\(\\$\\w+\\)\\);};\\$\\w+=__FILE__;', '\\.(\\$\\w{1,10}\\(){6,}["\'](\\\\x[A-Fa-f0-9]{2}){10,1100}["\']\\)', '\\$code\\s*=\\s*\'\\s*<\\?php\\s*\\$user_agent_to_filter = array\\( \\\\\'\\#Ask\\\\s\\*Jeeves', '<\\?php\\s*\\$\\w+\\s*=\\s*[\'"]\\w{32}[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]\\#df5[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]FilesMan[\'"];', 'chr\\(\\d+\\)[^/]+?@\\$\\w{1,30}\\(\\s*@\\$\\w{1,30}\\(\\s*[\'"][^\\)]{1000,}\\)\\)\\)?;', '\\$wpautop\\s*=\\s*pre_term_name\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\);.*\\$shortcode_unautop\\(\\);', 'function arr2html\\(\\$array,\\s*&\\$arr\\s*=\\s*\'\\s*\',\\$ztabhtml=\'\',\\$zheaderarray=\'\'\\)\\s*{\\s*\\$array\\s*=\\s*"as"\\s*\\.\\s*\\$_REQUEST\\[\'array\'\\];\\s*\\$sort\\s*=\\s*array\\(\\$_REQUEST\\[\'sort\'\\]\\);', '(\\$\\w{1,40}\\s*=\\s*\'[^\']{1,200}\';\\s*){10,}\\$\\w{1,40}=str_replace\\(\'[^\']{1,50}\',\'\',(\\$\\w{1,40}[\\s\\.\\)]+){10,};', '";\\s*eval\\s*/\\*[^*]+\\*/\\s*\\(\\w{1,30}\\s*\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*\\);\\s*\\?>', '\\$\\w{1,30}\\s*=\\s*str_ireplace\\(\\s*"\\w{1,30}"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*"[^"]+"\\s*;\\s*function\\s+\\w{1,30}\\(\\s*\\$errno\\s*,\\s*\\$errstr\\s*,\\s*\\$errfile\\s*,\\s*\\$errline\\s*\\)\\s*{\\s*array_map\\(\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*\\$errstr\\)\\s*,\\s*array\\s*\\(\\s*\'\'\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\(\\s*\'\\w{1,30}\'\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*\\$\\w{1,30}\\(\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*(user|trigger)_error\\(\\s*\\$\\w{1,30}\\s*,\\s*E_USER_ERROR\\s*\\);', 'case\\s*["\']update["\']\\s*:\\s*if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s* base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*[\'"]OK[\'"];', '\\$\\w{1,40}\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\);\\s*/\\*\\s*GNU\\s+GENERAL\\s+PUBLIC\\s+LICENSE', 'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*}\\s*\\?>\\s*<title>BOOM</title>', 'if\\(mail\\(\\$_POST\\[\'email\'\\], \\$_POST\\[\'subject\'\\], \\$_POST\\[\'content\'\\], \\$headers\\)\\) {\\s*echo "Bravo!";\\s*}\\s*else\\s*{\\s*echo "Failed to send email\\.";\\s*}', 'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*echo "Bravo!";\\s*}\\s*\\?>\\s*<title>BOOM</title>', '\\$leaf\\[\'version\'\\]="2\\.7";\\s*\\$leaf\\[\'website\'\\]="leafmailer\\.pw";', 'if\\(PLATFORM\\s*==\\s*WORDPRESS\\)\\s*{\\s*if\\(strpos\\(\\$file\\s*,\\s*\'wp-content\'\\)\\s*===\\s*false\\s*&&\\s*strpos\\(\\$file\\s*,\\s*\'wp-admin\'\\)', '\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+?\\[-\\] SOCKET ERROR\\[fsock\\]: {\\$_\\d+\\[path\\]} \\[\\{\\$_\\d+\\}\\] {\\$_\\d+}";}\\$_\\d+=FALSE;}}if\\(\\$_\\d+===FALSE\\){if\\(\\$_\\d+\\){print _\\d+\\(\\d+\\);}\\$_\\d+=FALSE;}return \\$_\\d+;}', '\\$req_uri\\s*=\\s*\'http://\'\\.\\$req_uri\\."\\?req="\\.urlencode\\(\\$full_uri\\)\\."&gzip="\\.\\$is_gzip\\."&host=\\$host&ip=\\$ip&rip=\\$reverse_ip&ua=\\$ua&ref=\\$ref";', '<title>PHP-FILES\\.ME</title>', '\\$\\w{1,40}=gzinflate\\(base64_decode\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(\\s*ord\\(\\$\\w+\\[\\$i]\\)\\s*-1\\s*\\);\\s*}\\s*return\\s*\\$\\w+;\\s*}\\s*eval\\(\\w+\\(', 'path_throwgh_files.+burlywood', '\\$strFileBody=GetFileContent\\(\\$strUrl\\);\\s*\\$strFileBody=str_replace', 'checksuexec\\s+"\\.escapeshellarg\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\.\\$_SERVER\\[\'REQUEST_URI\'\\]', '\\$auth_pass\\s*=.+;eval\\("\\\\x65', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|REQUEST|COOIE|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s+"file test okay";\\s*}\\s*\\$\\w{1,10}="\\w+";\\s*\\$\\w{1,10}=\'\\w+\';\\s*\\$\\w{1,10}="\\w+";', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}.+PCLZIP_READ_BLOCK_SIZE', 'function\\s*refercheck\\(\\$refer\\s*=\\s*""\\)\\s*{\\s*return\\s*preg_match\\("/\\(google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing\\)/si", \\$refer\\);\\s*}', 'function\\s+WSOstripslashes\\(\\$array\\)\\s*{\\s*return is_array\\(\\$array\\)\\s*\\?\\s*array_map\\([\'"]WSOstripslashes[\'"]\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\);\\s*}\\s*\\$_POST\\s*=\\s*WSOstripslashes\\(\\$_POST\\);\\s*\\$_COOKIE\\s*=\\s*WSOstripslashes\\(\\$_COOKIE\\);', ';\\s*\\$default_use_ajax\\s*=\\s*false;\\s*\\$default_charset\\s*=.+print\\s*eval\\(', 'function\\s+pushUploaders\\(\\)\\s*{\\s*global\\s*\\$uploaderStatusHandle;\\s*\\$data\\s*=\\s*readFileOpt\\(CACHE_UPLOADER_DB\\);', '<h1>"\\.ucfirst\\(\\$key\\)\\."</h1><br>\\s*<br>"\\.\\$templateimage\\."<br><br>\\s*"\\.\\$mapinpages\\."\\s*"\\.\\$pageparse\\."<br>\\s*"\\.\\$links1\\."', 'function\\s+evalEndClean\\(&\\s*\\$p\\) {\\s*\\$t = gzuncompress\\(base64_decode\\(\\$p\\)\\);\\s*\\$t = str_replace\\(array\\("<\\?php",\'\\?>\'\\),\'\',\\$t\\);\\s*eval\\(\\$t\\);\\s*unset\\(\\$p\\);unset\\(\\$t\\);', '//\\w{3,20}\\s*function\\s+request_url_data\\(\\$url\\)\\s*{\\s*\\$site_url\\s*=.+?print\\s+\\$decoded;\\s*}\\s*}//\\w{3,20}', ']}=Array\\("\\w+"=>@phpversion\\(\\),"\\\\x\\d+\\\\x\\d+"=>"\\\\x\\d+\\.\\\\x\\d+-1",\\);echo\\s*@serialize\\(\\${\\$\\w+\\}\\);}elseif\\(\\${\\${', 'function\\s+__get_template\\(\\)\\s*{\\s*\\$root_path\\s*=\\s*__get_root\\(\\);\\s*\\$tpl_path\\s*=\\s*\\$root_path\\."/SESS_\\w{32}', '\\$map_index_sitemap_uri\\s*=\\s*sprintf\\(\'%s%ssitemap_%d\\.xml\'\\s*,\\s*\\$currentUrl\\s*,\\s*"\\$dir/"\\s*,\\s*\\$sini\\);\\s*\\$map_sitemap_genuri_href\\s*=\\s*sprintf\\(\\s*\\$map_sitemap_genuri_link_format\\s*,\\s*\\$currentUrl', 'if\\s*\\(file_exists\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*\\)\\s*\\)\\s*rename\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*,\\s*"(\\.\\./)+\\w+\\.php"\\s*\\);', 'function\\s*is_from_search\\(\\$http_referer\\)\\s*{\\s*\\$flag\\s*=\\s*false;\\s*\\$http_referer_str\\s*=\\s*\'google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing', '__create_initial_settings[^\\#]+\\#google.+?__obfuscate_write', ';eurt\\s*=\\s*xaja_esu_tluafed\\$', '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*\\s*\\.=\\s*"\\w+";\\s*@\\$\\w+\\(\\$\\w+\\(\\\'[a-zA-Z0-9/=+]{100,200}', '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+="Fil.+?\\s*\\$default_use_ajax\\s*=\\s*true', 'proftpd.+?eval\\(\\$_[GET|POST|COOKIE|REQUEST|SERVER]+\\[[\'"]\\w+[\'"]\\]\\)', 'FakeSender\\s*by\\s*POCT', '\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\s*\\$\\w+=\'[^\']+\';\\s*(\\$\\w+=\'[^\']+\'|\\$\\w+=\\d+);', '\\$\\w{1,40}=@gzinflate\\(\\$\\w+\\)\\){\\$\\w+=create_function\\(\'\',\\$\\w+\\);unset\\(\\$\\w+,\\$\\w+\\);\\$\\w+\\(\\);}}', 'if\\(\\$\\w+=@gzinflate\\(\\$\\w+\\)\\)\\{if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)@setcookie\\(\'\\w+\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\$\\w+=create_function', '}}}}if\\(\\$q=="this-is-the-test-of-door"\\){\\$page="DOORWAYISWORKTITLE', '<\\?php\\s*(\\$\\w+) = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*echo (\\$\\w+) = isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\?base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\):\'\';\\s*(\\$\\w+) = \'\';\\s*foreach\\(array\\(\\1\\) as (\\$\\w+)\\){\\s*\\4\\.=\\5;\\s*}\\s*ob_start\\(\\4\\);\\s*if\\(\\2\\){\\s*echo \\2;\\s*}\\s*ob_end_flush\\(\\);', 'if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\)\\s*{\\s*\\$abod\\s*=\\s*\\$filedir\\.\\$userfile_name;\\s*@move_uploaded_file\\(\\$userfile_tmp,\\s*\\$abod\\);\\s*echo"<center><b>Done\\s*==>\\s*\\$userfile_name</b></center>";\\s*}\\s*}\\s*else{', '}}else{\\$\\w+=@\\$_SERVER\\[((""|chr\\(\\d+\\)|"\\w")\\.?){10,}];', '\\$__=hex2ascii\\(\\$_+\\);\\s*\\$.="\\$_+";\\s*\\$.=[eval\\."\'\\s]+\\(\\$.\\)\';\\s*assert\\(\\$.\\);', '\';\\$\\w+=str_rot13\\(\'fge_ebg13\'\\);\\$\\w+=\\$\\w+\\(\'onfr64_qrpbqr\'\\);\\$\\w+=\\$\\w+\\(\'[^\']+\'\\);eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\)', '<\\?php\\s*\\$\\w+=strrev\\("edoced_46esab"\\);\\$\\w+="[^"]+";eval\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*$', '<\\?error_reporting\\(0\\);(\\$\\w+=(urldecode\\()?\\$_COOKIE\\[\'\\w+\'\\]\\)?;\\s*){10,}', '\\$\\w{1,40}\\s*=\\s*\'[assert\\\'\\.\\s]+\';\\s*\\$\\w+\\s*=\\s*sprintf\\(\'[\\!\\(\\)evalbase64_decode\\s\\.\\\']+\\("%s"\\)\\)\'\\s*,\\s*\\$\\w+\\);\\s*\\$\\w+\\(stripslashes\\(\\$\\w+\\)\\);', '\\$default_action=[FilesMan\'\\.]+;\\s*\\$color=[\'\\#df5\\.]+;\\s*\\$default_use_ajax=true;', '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*array\\(\\$\\w+\\{\\d+\\}\\s*,\\s*"\\\\n"\\s*\\),\\s*"",\\s*"[^"]+"\\s*\\)', '\\$\\w{1,40}\\s*=\\s*\'[\\.preg_replace\\\']+\';\\s*\\$call_user_func_array\\(\\s*\\$\\w+\\s*,\\s*array\\(\'/\\[\\w+\\]/\\w+\'\\s*,\\s*\\$_REQUEST\\["\\w+"\\]\\s*,\\s*"[^"]+"\\s*\\)\\);@\\w+\\(\\s*\\$_REQUEST\\s*\\);', '(/\\*[^\\*]+\\*/\\$\\w+=\'[^\']+\';){30,}', '\\$login="\\w+";\\s*\\$\\w+=str_rot13\\("\\w+"\\);\\s*\\$\\w+\\s*=\\s*str_rot13\\(\'\\w+\'\\);\\s*\\$\\w+="\\w{32}";\\s*eval\\(\\$mdh\\(\\$md\\(strrev\\(\'', 'error_reporting\\(0\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*\\$\\w+\\s*=\\s*basename\\(__FILE__\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{if\\(strlen\\(\\$\\w+\\)\\s*==\\s*32\\)', '<\\?php\\s*error_reporting\\(0\\);\\s*if \\(!isset\\(\\$_COOKIE\\[\'\\w+\'\\]\\)\\)\\s*deny\\(\\);\\s*\\$cookieData', '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*(\'\\w\'\\s*=>\\s*\'\\w\'\\s*,?\\s*){26,80}\\);\\s*eval(/\\*[^\\*]{0,40}\\*)?/\\(\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\s*\\);', 'assert_options\\(ASSERT_WARNING,0\\);\\s*\\$\\w+=\'[0-9a-fA-F]+\';.*?chr\\(hexdec.*?\\$\\w+=\'eval\\(\\$\\w+\\)\';\\s*assert\\(\\$\\w+\\);', 'eval\\(stripslashes\\(array_pop\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\)\\)\\)', '(\\$\\w+\\d+\\{\\d+\\}\\s*\\.?\\s*){10,}.+?\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\$\\w+\\s*\\(\\s*array\\(\\$\\w+\\d+\\{\\d+\\}\\s*,\\s*"\\\\n"\\),\\s*"",\\s*".+?\\)\\s*\\)\\s*\\);\\s*\\$\\w+\\(\\);', 'php_uname()\\(\\)\\.\'<br></b>\';\\s*echo\\s*\'<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">\'.*?if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'_upl\'\\]\\s*==\\s*"Upload"\\s*\\)\\s*\\{\\s*if\\(\\@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\s*\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)', 'function\\s*\\w+\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\{\\$\\w+="base64_decode.*?curl_init.*?"/wp\\\\-login\\\\\\.php.*?/\\\\/administrator\\\\//".*?phpmyadmin/i".*?define\\("___NOTSELF___\',1\\);.*?include_once.*?\\*/\\}\\}\\}', '<\\?\\s*eval\\(gzuncompress\\(base64_decode\\(\'.{22000,25000}\'\\)\\)\\);', '\\$\\w{1,40}\\s*=\\s*1;\\s*\\$\\w+\\s*=\\s*get_userdata\\(\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+->\\w+;\\s*wp_set_current_user\\(\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*wp_set_auth_cookie\\(\\$\\w+\\);\\s*do_action\\(\'wp_login\'\\s*,\\s*\\$\\w+\\);', ',\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(["\'].+?["\'],\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*\\(\\$\\w+\\s*\\);\\s*\\?>', '<font color="red">pwn pwnd owned hacked</font>', 'error_reporting\\(round\\(\\d+\\)\\);mb_internal_encoding\\(_\\w+\\(\\d+\\)\\);mb_regex_encoding\\(_\\w+\\(\\d+\\)\\);mb_http_output\\(_\\d+\\(\\d+\\)\\);mb_http_input', ';\\s*eval\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\)\\);\\?>', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZZH', 'if\\s*\\(\\$upload\\s*&&\\s*\\$user\\s*&&\\s*wp_check_password\\(\\$passwd,\\s*\\$user->data->user_pass,\\s*\\$user->ID\\)\\s*&&\\s*is_super_admin', 'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\$time\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0\\d+\\);\\s*eval\\(base64_decode\\(', 'Array\\((\'.\'=>\'.\'\\s*,?\\s*)+\\);\\s*eval/(\\*\\w+\\*/)?\\(\\s*\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*\\);\\s*\\?>\\s*$', '<title>Pro\\s*Mailer\\s*V2</title>', '\\$fullurl\\s*=\\s*""\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"<br><p>Emails:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$\\w+\\s*.\\s*"</TEXTAREA></p><p>Engenharia:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$mensagem\\[\\d+\\]."</TEXTAREA>', '<title>Hacked by NG689Skw</title><center>', '\\$result\\s*=\\s*dns_get_record\\(\\s*\\$domain\\s*\\.\\s*"\\.multi\\.uribl\\.com"\\);', '\';@\\$\\w+\\([eval\\."]+\\(\'(\\\\x[a-fA-F0-9]{2}){10,1100}\'\\);"\\);\\s*$', 'if\\(smtp_mail\\(\\$email,\\s*\\$subject,\\s*\\$message,\\s*\\$Header,\\s*\\$from_email\\)\\)\\s*{\\s*echo\\s*"good";\\s*}\\s*else\\s*{\\s*echo\\s*"Some error occured";\\s*}\\s*\\?>', '(mail\\((\\$\\w+,\\s*\\$\\w+,\\s*\\$\\w+(,\\s*\\$header)?\\))|(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\));(\\s*})?)\\s*if\\(\\$\\w+\\)\\s*{\\s*echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*(echo)?\\s*\'\\w+\\s*:\\s*\'', '<\\?php\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$\\w+\\){echo\\s*(trim\\()?\'\\w+\'\\)?;}\\s*else\\s*{echo\\s*\'\\w+\\s*:\\s*\'\\.\\$\\w+;}', '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\'[^\']+\'\\);\\s*\\$\\w+=\\$\\w+\\(\\$\\w+\\(\\)\\);\\$\\w+\\(\\);\\s*\\$\\w+\\(\\$\\w+,"\\$\\w+\\(', '@move_uploaded_file.+?echo"<center><b>Done ==> \\$userfile_name</b></center>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\)\\)\\s*\\$to = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*else\\s*{\\s*echo "404 error";\\s*exit;\\s*}\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{', 'if \\(!empty \\(\\$hostname\\) \\) {\\s*\\$output = "";\\s*@exec \\("nslookup\\.exe -type=MX \\$hostname\\.", \\$output\\);\\s*\\$imx=-1;', '<?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*){3,}\\$result\\s+=\\s+mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){echo \'thank you\';}', '\\$result\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){\\s*echo\\s*\'\\w+\';\\s*}else{\\s*echo\\s*\'\\w+\\s*:\\s*\'\\s*\\.\\s*\\$result;\\s*}', '\\$message\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["body"\\]\\);\\s*set_time_limit\\s*\\(\\d+\\);\\s*@ignore_user_abort\\s*\\(true\\);\\s*\\$to_ar = explode\\(\',\',\\s*\\$to\\);', 'if\\(\\$vas\\){echo\\s*\'lessloss\';}else{echo\\s*\'cramdam\\s*:\\s*\'.\\$v', 'else\\s*{\\s*\\$result\\s*=\\s*mail\\(stripslashes\\(\\$to\\)\\s*,\\s*stripslashes\\(\\$subject\\)\\s*,\\s*stripslashes\\(\\$message\\)\\);\\s*}\\s*if\\(\\$result\\){echo\\s*\'good\';}else{echo\\s*\'error\\s*:\\s*\'\\.\\$result;}', '<\\?php\\s+mb_http_input\\("iso-8859-1"\\);.*?B L E S S E D S I N N E R .*?<\\/DIV>.+<\\/div>.+?<\\/form>', 'echo "<html><head>.*?Safe mode:</span>.*?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\\'\\w+\\\'\\]\\s*===\\s*\\\'uploadFile\\\'\\).*?echo \\"</body><\\/html>\\";', '//PING.*?sav.php\\?p=\\w+&url=.*?\\@ob_start\\(\\\'obCacheStart\\\'\\);', '\\$GLOBALS\\[\'\\w+\'\\]=Array\\((base64_decode\\((\\\'[A-Za-z0-9\\/\\=]*\\\'\\s*\\.*)+\\)\\,*)+.*?\\[\\d+\\]\\(\\$_\\w+\\),\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\);}\\s*\\?>', 'class PluginJoomla.+\\$\\w+\\s*=\\s*@?\\$_COOKIE\\[\\\'\\w+\\\'\\]\\;\\s*.*\\$\\w+\\s*=\\$\\w+\\(@?\\$_COOKIE\\[\\\'\\w+\\\']\\)\\;.+\\$\\w+\\s*=\\s*new\\s*PluginJoomla;', '\\$mcdata=array\\(\\);\\$mcdata\\[0\\]=base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\);array_filter\\(\\$mcdata, base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\)\\);\\?>', 'file_put_contents\\(\'\\w+\',\'<\\?php \'\\.\\$m\\);include\\(\'\\w+\'\\);\\s*$', '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\)\\s*{\\$\\w+="[^"]{2000,}";', '\\.(chr\\(\\d+\\)\\."[a-zA-Z0-9/\\\\ ]*?"\\.){5,}', 'if\\s*\\(isset\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\);\\s*}\\s*}elseif\\(isset', 'if \\(\\$whattime\\s*==\\s*"goodtime" \\|\\|\\s*empty\\(\\$settings\\)\\) {', '<title>Bypass\\s*shell</title>', 'if \\(md5\\(\\$_COOKIE\\[\'i\'\\]\\) == \'.{32}\'\\)\\s*{\\s*function file_download\\(\\$filename, \\$mimetype=\'application/octet-stream\'\\) {', '<\\?php if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["ms\\-load"\\]\\)==".{32}"\\){\\s*\\$p=\\$_SERVER\\["DOCUMENT_ROOT"\\];', '\\$a\\s*=\\s*[\\.\\sbase64decode_"]+;\\s*assert\\(\\$a\\(', '\\$GLOBALS\\[\'\\w+\'\\]\\(\\$\\w+\\[(\\$\\w\\d+\\[\\d+\\]\\.)+\\$\\w\\d+\\[\\d+\\]\\]\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\$\\w+\\s*=\\s*array\\(\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*\\$\\w+,\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*"",', '<\\?php\\s*if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*\\(\\s*\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\s*\\$www\\s*\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*}\\s*$', '"User-Agent:\\s*\\$template"\\s*\\."\\|\\$pathToDor"\\s*\\."\\|\\$pathOnMyHost"', '<\\?php\\s*\\$\\w+=([.]?chr\\(\\d+\\)[.;])+\\s*eval\\(\\$\\w+\\(\\$_REQUEST\\[\\w+\\]\\)\\);\\s*$', '}elseif\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eval\'\\]\\){\\s*\\$qV\\s*=\\s*"stop_";', '\\$\\w{1,40}\\.=\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)&0xFF\\);}eval\\(\\$\\w+\\);exit\\(\\);\\s*$', '(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}\\$\\w+ = "base64_decode";(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}', '}exit;if\\(\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\)!==false\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}else{\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\)\\);echo _\\d+\\(\\d+\\);}exit;}\\s*\\?>\\s*$', 'preg_replace\\(\\$\\w+.\\$\\w+,"(\\\\x[a-zA-Z0-9]+){3,}.{3000,}\\?>', 'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'check\'\\]\\)\\) {\\s*echo "ok";\\s*}\\s*else\\s*{\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{', '<html>.+?<title>utf</title>.+?echo "<h1>Welcome</h1>\\\\n";.+touch\\(\\$newfile,\\s*\\$time\\);.+</html>', 'file_put_contents\\(str_rot13\\("[^"]+"\\), file_get_contents\\(str_rot13\\("uggc://[^"]+"\\)\\)\\);.+@\\$strings\\(str_rot13\\(file_get_contents', '\\$folder = str_replace\\(\\$_SERVER.+ http_build_query.+function http_parse_headers.+\\$s \\.= \\$m\\[2\\]\\.\\$m\\[3\\];', 'GLOBALS\\[\'_\\d+_\'\\]\\[1\\]\\(\\$_REQUEST,\\$_1\\);\\$_1=\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\);while\\(round\\([^\\)]+\\)-round\\([^\\)]+\\)\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+]\\(\\$_REQUEST,\\$_REQUEST\\);.+echo \\$_\\d+;\\s*\\?>', 'riny\\(tmhapbzcerff\\(onfr64_qrpbqr\\(\'', '<\\?php\\s*error_reporting\\(0\\);\\s*ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*function str_1replace\\(\\$needle', 'if \\(strpos\\(\\$check_result,\'BLOCK\'\\) !== false \\|\\| strpos\\(\\$check_result,\'FOUND\'\\) !== false \\|\\| strpos', '\\$wp_enc_file\\s*=\\s*\'<\\?php eval\\("\\?>"\\s*\\.\\s*base64_decode\\("\'\\.\\$wp_code\\.\'"\\)\\);\\s*\\?>\';', '<\\?\\s*\\$lin=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["link"\\];\\s*switch \\(\\$lin\\) {', '\\$return = smtpmail\\(\\$smtp_host, \\$smtp_port, \\$smtp_login, \\$smtp_passw, \\$email_polucha, \\$telo_pisma, \\$headers\\);', '\\$file_path = dirname\\(__FILE__\\) \\. \'/\' \\. basename\\(\\$_FILES\\["file"\\]\\["name"\\]\\);\\s*move_uploaded_file\\(\\$_FILES\\["file"\\]\\["tmp_name"\\], \\$file_path\\);\\s*\\$file_name = basename\\(\\$file_path\\);', '<\\?php\\s*if\\(\\s*empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'ineedthispage\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*ini_set\\(\\s*\'display_errors\'\\s*,\\s*"Off"\\s*\\)\\s*;\\s*ignore_user_abort\\(1\\)', 'return\\s*\\$c0\\[\\$c_\\];}\\$GLOBALS\\[\'_\\d+_\'\\]\\[0\\]\\(a_\\(0\\),a_\\(1\\),a_\\(2\\)\\);\\s*}', '<\\?php\\s*echo md5\\(\\d+\\)\\."<form\\s*method=post\\s+enctype=multipart/form-data><input type=file name=filename>', '<\\?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*)+\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if.+?{echo\\s*\'\\w+ :\\s*\'\\s*\\.\\s*\\$ejfkqexizs;}', '\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$default_charset,\\$auth_pass,\\$color,\\$default_charset\\)', '<\\?php\\s+\\$\\w+=\'base.+?\\(\\s*str_replace\\(.+@?setcookie\\s*\\([\'"]\\w+[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).+</form>', '\\$sess\\s*=\\s*md5\\(\\s*@\\$_COOKIE\\[ssid\\]\\);', 'class\\s+PlgSystemXcalendarJoomlaBase', '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\(.+?wso_version.+eval\\(gzuncompress\\(base64_decode\\(.+==\'\\)\\)\\);\\s*\\?>', '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\((\'[a-zA-Z0-9/\\+=]+\',?)+\\);.+\\$default_action=.+\\)\\)\\)\\); \\?>', 'print\\s*"<h1>\\w+</h1>\\\\n";\\s*echo "Your IP: ";\\s*echo \\$_SERVER\\[\'REMOTE_ADDR\'\\];.+move_uploaded_file.+touch.+</html>', '<title>Sender Anonym Email :: FLoodeR :: SpameR</title>', '\\$i=strpos\\(\\$im,\'\\[UPD_CONTENT-\'\\);', 'global \\$\\w+; \\$\\w+=array\\(\'\\$\\w+\\[0\\]=array_pop\\(\\$\\w+\\);\\$\\w+=\\w+\\(\\d+,\\d+\\);.+create_\';if\\(function_exists.+?\\)\\);};unset\\(\\$\\w+\\);', '\\[3ran\\]\\s*\\*/\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["mailto"\\]\\)\\)', '\\$sh_name = base64_decode\\(\\$sh_id\\)\\.\\$sh_ver;', '<\\?php\\s*\\$r6\\s*=\\s*pow\\(2,6\\);\\s*\\$stringus\\s*=', '@\\$\\w+\\(\'\\#\\#e\'\\s*,\\s*"\\\\x[^"]+"\\s*,\\s*\'\'\\);', 'charCode\\(\\$\\w+\\);\\s*function charCode\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*array\\(.+?\\$\\w+\\[\\d+\\];return\\s+EvAl\\(\\$\\w+\\);\\s*}', '<\\?php\\s*\\$(\\w+)=".+?";eval\\(\\$\\1\\("[\\w+/=]+"\\)\\);', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZ.+\\)\\)\\);\\s*\\?>', 'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[str_rot13\\(pack\\("H\\*",\\s*"\\w+"\\)\\)]\\)\\)\\s*{\\$_', 'else\\s*{\\s*ClosingDelicateHolesButton\\s*(\\s*);\\s*}', '}\\s*function [a-z0-9]{10,}\\(\\){}\\sfunction [a-z0-9]{10,}\\(\\){\\$.+?array\\(\\d+,\\d+', '<\\?php\\s*\\$a\\s*=\\s*".+?";\\s*assert\\(\\$a\\(', '=Array\\(".+?"=>@phpversion\\(\\),"sv"=>".+?",\\);echo\\s*@serialize\\(\\${\\${', '=\\s*\\$\\w+\\("",\\s*\\$\\w+\\(\\$\\w+\\("\\w+",\\s*"",\\s*\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\s*\\$\\w+\\(\\);\\s*\\?>', '==\\s*FALSE\\)\\s*{\\s*break;\\s*}\\s*if\\s*\\(\\$\\w+\\s*==\\s*\\d+ \\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\[\\$\\w+\\]\\[', '<\\?php\\s*\\$target_urls\\s*=\\s*array.+?\\$n\\s*=\\s*mt_rand\\(0,count\\(\\$target_urls\\)-1\\);.+?\\$rand_url;\\?>\\s*">\\s*', 'function\\s+Check25Port\\(\\)\\s*{\\s*\\$res\\s*=\\s*TRUE;\\s*\\$s\\s*=\\s*socket_create\\(AF_INET,\\s*SOCK_STREAM,\\s*SOL_TCP\\);\\s*if\\(@socket_connect\\(\\$s,\\s*\'gmail-smtp-in', '\\$\\w{1,40}\\s*=\\s*\\w+;\\$\\w+\\s*=\\s*"\\w+";\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*\\d+;\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*false;\\$\\w+\\s*=\\s*implode', 'code\';\\$vvv=\\$vvv\\(str_replace\\("\\\\n"', '\\$imgData\\s*=\\s*@\\$p2\\(@\\$p1\\(\\$imgData\\)\\);', '\\$\\w{1,40}\\s*=\\s*system\\("wget\\s+http:.+?;chmod\\s+\\d+\\s+\\w+;\\./\\w+"\\);\\s*echo\\s+\\$\\w+;\\s*system\\("rm\\s+\\w+"\\);', 'if \\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'multipart\'\\]\\)==\\$multipart\\.\\$part\\){', '<\\?php\\s+eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode\\(.+?\\)\\)\\);"\\);\\s*\\?>', ';file_put_contents\\(\\$_7\\[\'.\'\\]\\[\'\\w+\'\\],\\$_\\d+,FILE_APPEND\\|LOCK_EX\\);}if', 'define\\(\'ALREADY_RUN_\\w*\',\\s1\\);.*eval', 'preg_replace\\(\\"\\\\043\\\\056\\\\052\\\\043\\\\145', 'var_dump\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST),\\s*\\$_GET,\\s*\\$_COOKIE,\\s*\\$_FILES\\);\\s*\\$output = ob_get_clean\\(\\); \\$fp = fopen', 'if\\(strpos\\(\\s*\'fff\'.\\$file,\'home\'\\)>0 or strpos\\(\'fff\'\\.\\$file,\'admin', 'chmod\\(\\s*dirname\\(__FILE__\\).+?{\\$a=Array\\("/\\.\\*/e.+?_\\d+\\(\\d+\\)\\);', '<\\?php\\s*if\\s*\\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+? forbidden!\'; } \\?>', 'function\\s*check_cookie.+?android == true\\)check_cookie\\(\\$android_redirect\\);elseif \\(\\(\\$iphone.+?\\$aaa = false;', 'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\(\'gbk\',\'utf-8//IGNORE', '<title>VaRVaRa\\s*Searcher</title>', 'if\\(!empty\\(\\$_FILES\\[\'\\w*\'\\]\\[\'\\w*\']\\)\\sAND\\s\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'nick\'\\]\\)\\s==\\s\'\\w{32}\'\\)\\)\\s{', '\\$user_agent\\s*=\\s*"ConBot";', 'if\\(isset\\(\\$_COOKIE\\[\\\'\\w{11}\\\'\\]\\X*fsockopen', 'function\\s*xr\\(\\$text,\\$key\\){\\$out="";for\\(\\$i=0;\\$i', '\\beval\\(\\s*\\$_g\\(\\s*\\$_b\\(\\$_r', 'function\\s+WSOsetcookie', '<\\?php\\s+eval\\(\\s*eval\\("\\\\\\$_', '\\beval\\(\\s*"return\\s+eval\\(\\\\\\"\\$code\\\\\\"\\);"\\)\\s+\\?>', 'move_uploaded_file\\s*/\\*;\\*/', '\\$k="ass"\\."ert"', '_POST\\[\\(chr\\(\\d+\\).chr\\(\\d+\\)\\)', '\\$default_charset.*=\\.*\\$dc\\.\\$dc2', 'rand_url\\s*=\\s*\\$target_urls\\[$n', 'DIRECTORY_SEPARATOR\\s*\\.\\s*\\$[A-Za-z0-9]+;\\s*if\\s*\\(@\\$GLOBALS\\[\'[a-z0-9]+\'\\]\\(\\$[A-Za-z0-9]+', '"\\.\\$[\\w]{1,40}\\s*;\\s*\\$[\\w]{1,40}\\((\\$[\\w]{1,40}\\[\\d+\\]\\s*\\.?){4,}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*"\\d+"\\s*\\);', 'disk_free_space\\(\\s*dirname\\(__FILE__\\)\\) , disk_free_space', '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[pass', '\\$color\\s*=\\s*"\\#df5";', 'sprintf\\s*\\(\\s*"%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*for', 'User-Agent: SEoDOR-Client \\(pathOnMyHost-\\$pathOnMyHost', 'if\\s*\\(preg_match\\("/zh-c/i", \\$lang\\)==false\\|\\|preg_match\\("/zh-c/i",s\\*\\$lang\\)==0\\s*\\)\\s*{\\s*echo\\s*"<script', '<title>::\\s+Priv8\\s+vHost\\s+Config\\s+Grabber', ';lets_jump\\(\\$\\{\\$\\w{1,40}},\\$\\{\\$\\w{1,40}\\}\\);\\}\\$\\{\\$\\{', ';\\$\\{\\$\\w{1,40}\\}\\.=pack\\("[^"]{1,20}?",0x00000000,0x00000000,0x00000000,strlen\\(\\$\\{\\$\\{"', 'register_shutdown_function\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Ratel\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*\\(\\s*mktime\\s*\\(\\s*\\)\\s*-\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\|\\|\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*array\\s*\\(\\s*\'NO\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{', 'my\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*while\\s*\\(\\s*<\\s*DATA\\s*>\\s*\\)\\s*;\\s*eval\\s*\\(\\s*unpack\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '\\{if\\(\\$o\\)\\$o\\.=\';\\s*\';\\$o\\.=\\$n\\.\'=\'\\.addslashes\\(\\$v\\);}\\$h\\.=\'Cookie:', 'if\\s*\\(file_exists\\(\\$htaccessPath\\)\\)\\s*{\\s*chmod\\(\\s*\\$htaccessPath\\s*,\\s*0777\\);\\s*if\\s*\\(is_writable\\(\\$htaccessPath\\)\\)\\s*{\\s*\\$htaccessData\\s*=\\s*file_get_contents\\(\\$htaccessPath\\);\\s*\\$htaccessTime\\s*=\\s*filemtime\\(\\$htaccessPath\\);', '\\$expy\\s*=\\s*\\$_POST\\[\'expy\'\\];\\s*\\$cvv\\s*=\\s*\\$_POST\\[\'cvv\'\\];\\s*\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];', '\\)\\s*;\\s*foreach\\s*\\(\\s*\\$blocked_words\\s*as\\s*\\$word\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*substr_count\\s*\\(\\s*\\$hostname\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*>\\s*0\\s*\\)\\s*\\{\\s*header\\s*\\(', '<title>Ekin0x Shell', '\\$\\w{1,40}\\s*=\\s*JOkEr7\\(\'https://www\\.paypal\\.com/', '<\\?php\\s*include\\s*\'check_is_bot\\.php\'\\s*;\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$is_bot\\s*\\)\\s*\\)\\s*\\{\\s*echo', '\\$install_code\\s*=\\s*str_replace\\s*\\(\\s*\'{\\$PASSWORD}\'\\s*,\\s*\\$install_hash\\s*,\\s*base64_decode\\s*\\(\\s*\\$install_code\\s*\\)\\s*\\);', '<title>IndoXploit</title>', '\\&nbsp\\&nbsp\\&nbsp\\&nbsp\\&nbspCant\\s+Edit\\s+>>', '====\\+\\+\\+Coded\\s+By\\s+Izladen\\+\\+\\+===', '</script>";exit;}}}function\\s+\\w{1,40}\\(\\){\\$\\w{1,40}=\'http://\';if\\(\\$_SERVER\\["SERVER_PORT"\\]!="80"\\){\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]\\.":"\\.\\$_SERVER\\["PHP_SELF"\\];}else{\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]', '}\\s*if\\s*\\(\\s*\\$_POST\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*MAILER_CONFIG_FILE\\s*,\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*object\\s*\\)\\s*\\$_POST\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']{0,2000}\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<b>Black\\s*Space\\s*Mailer\\s*201', 'if\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*!="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}', 'die\\(file_get_contents\\(\\$urlSQLServerPage', '\\$rcard\\s*=\\s*\\$m->getRandcards\\(\\s*\\$id\\s*,\\s*\\$idsum\\s*\\);', 'header\\("\\s*location:\\s*ufl\\.php\\?id="\\s*\\.\\s*\\$first\\[0\\]\\);', '<title>Web\\s*Login\\s*Service\\s*-\\s*University\\s*of\\s*Florida</title>', '<title>Mail\\s+form\\s+HTML\\s+v\\d+[^<]+</title>', '\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\(\\s*\'<pre>\'\\s*\\)\\s*;\\s*echo\\s*htmlspecialchars\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*strstr\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{', '(\\$\\w{1,50})\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,50}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,50}\\s*\\)\\s*;\\s*@\\$\\w{1,50}\\s*\\(\\s*\\$\\w{1,50}\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;', 'list\\s*\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)\\s*=\\s*split\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\)\\s*;', '\\$global_version\\s*=\\s*array_walk\\s*/\\*', '\\\\x\\w\\w"\\]}=@?unserialize\\(sh_decrypt\\(@?base64_decode\\(\\${\\$', '=@gzuncompress\\s*\\(\\s*@base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}=\\s*create_function', 'echo\\s*"<form\\s*action\\s*=\\s*\'"\\s*\\.\\s*\\$current\\s*\\.\\s*"&mode=copy&src="\\s*\\.\\s*\\$src\\s*\\.\\s*"\'\\s*method\\s*=\\s*\'POST\'>', '\\(isset\\(\\$_POST\\[\'execl\'\\]\\)\\)\\s*{\\s*echo\\s*\\$_POST\\[\'execl\'\\]\\s*\\.\\s*\'<br>\'\\s*;\\s*echo\\s*myshellexec\\(\\$_POST\\[\'execl\'\\]\\);\\s*}\\s*if\\s*\\(isset\\(\\$_POST\\[\'pcntl_exec\'\\]', 'elseif\\s*\\(\\s*\\$current_blog\\s*===\\s*\'active\'\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*\\$destination\\s*,\\s*\\$blog_id\\s*\\)\\s*;\\s*\\}', ';\\$this->tm_class_name_div=\\$\\{\\$\\{"\\\\x\\w{2}', '<title>Your\\s*University\\s*Grant\\s*Information</title>', '<HEAD><TITLE>IDBI\\s*Bank\\s*-', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\s*\\);\\s*\\$pager->render_pagelinks\\(\\s*\\);\\s*\\Z', 'do_passreturn\\(\\$_POST\\[\'path\'\\],\\$_POST\\[\'code\'\\],\\$_POST\\[\'return\'\\]', '\\$\\w{1,40}\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$username\\s*=\\s*\\$_POST\\[\\s*[\'"][^"\']+[\'"]\\s*\\];\\s*\\$password', 'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.\\$body', 'eval\\(\\s*\\$gzc\\(\\s*\\$b64\\(\\s*\\$r13', '\\A\\s*<\\?php\\s*GIF8(7|9)?\\w?[^\\s]{0,2}\\s*[^\\;]{0,80};', '<title>\\s*PHP\\s+Shellecho\\s+offender', '\\$short\\s*=\\s*make_bitly_url\\s*\\(\\s*[\'"]\\s*https?://wps\\.bank\\.login\\.it', 'value="<\\?\\s*passthru\\("pwd"\\);\\s*\\?>', '\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{24,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{50000,}[\'"];\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[^\\w]{1,3}DQogJHdlYiA9ICRfU0VSVkVSWyJIVFRQX0hPU1QiXTsNCiAkaW5qID0g[^\'"]{1,600}[^\\w]{1,3}\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z', '=@\\$_COOKIE;\\s*\\$', 'include(?:_once)?\\s*[\'"\\(][^\'"\\(]{0,20}cssisma[^/]{0,20}/\\w{1,40}\\.php[\'"\\(];', '\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*(?://?[^/]{0,150}/?\\s*)?\\Z', 'Popping\\s*root\\s*shell[^\\w]{1,40}Don[^\\w]t\\s*forget\\s*to\\s*restore\\s*/tmp/bak', '\\}\\s*elseif\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"](cvv)[\'"]\\s*\\|\\|\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\)\\s*\\{\\s*[^\\[]{1,200}\\s*\\$\\w{1,40}\\s*=\\s*trim\\(\\$rows\\[[\'"]?(number|cardnumber|cn|ccn|cnumber)[\'"]?\\]\\);\\s*\\$\\1', '<meta\\s+name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Wells\\s+Fargo\\s*:\\s*Provider\\s+of\\s+banking\\s*,', '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\s*\\(\\s*@?is_resource\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*@?popen\\(\\s*\\$\\w{1,40},\\s*[\'"]\\w[^\\w]?[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$res', '<title>\\s*Indoxploit', '\\A\\s*<\\?(?:php)?\\s+function\\s+long2str\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{50000,};\\s*@?eval\\s*\\(\\s*\\w{1,9}_decrypt\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\),\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z', '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[^\\$]{1,40}\\s*\\1\\s*(?:\\s*\\)\\s*){1,6};', 'if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*else(?:if)?\\s*\\{\\s*header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*[^\\?]{1,40}\\?>\\s*\\Z', '<title>\\s*Andro\\s*Ghost\\s*69', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.p1.\\]\\); else @unlink\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[', '\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]/app/code/core/Mage[\'"];\\s*\\$\\w{1,40}\\s*=\\s*\\1\\([\'"][^\'"]{1,40}[\'"]\\);', '\\beval\\(\\s*x\\(\\$x', '-\\s*Process\\s*Faker\\s*,[^\\n]{1,200}\\s+Options:\\s+-s\\s+string\\s+Fake\\s+name\\s+process', '\\A\\s*<\\?(?:php)?\\s*error_reporting\\((?:0|false)\\);[^>]{1000,3000}\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\2\\s*\\);\\s*@?eval\\(\\s*\\1\\s*\\);\\s*\\};\\s*die\\(\\);\\s*\\?>\\s*\\Z', '/(?:\\*|/)\\s*PastiGanteng\\s*(?:\\w{1,40}\\.\\d+)?\\s+Shell', '<title>\\s*nShell\\s+\\w?\\d+\\.\\d+', '\\A(\\s*<\\?php\\s*(\\/\\*[^\\*]{100,600}\\*/)?\\s*error_reporting\\((0|false)\\);\\s*ini_set\\(\\s*[\'"]max_execution_time[\'"]\\s*,\\s*(0|false)\\);\\s*eval\\(\\s*base64_decode\\([\'"][^\\?]{1000,2500}break;\\s*\\}\\s*\\}\\s*\\}\\s*eval\\(\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\);\\s*\\?>){3}', '(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\.?){1,5};\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"]php://input[\'"]\\);\\s*\\2\\s*=\\s*CB_XORm\\(\\2,\\s*\\1,\\s*\\d+\\*\\d+\\);\\s*if\\s*\\(\\s*strncmp\\(\\s*[\'"][^\'"]{1,40}["\'],\\s*\\2\\s*,\\s*\\d+\\s*\\)\\s*==\\d+\\s*\\)\\s*\\{', '\\};\\s*WriteToFile\\([\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"],\\s*[\'"][\'"]\\);\\s*Auth\\(\\);\\s*if\\s*\\(\\s*\\(\\s*@?\\$_COOKIE\\[[\'"][^\'"]{1,40}[\'"]\\]\\)\\s*[^\\w]=\\s*md5\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*FileToString\\(\\s*[\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"]\\)\\);\\s*Main\\(\\);\\s*\\?>\\s*\\Z', 'my\\s+\\$botshell\\s*=\\s*[\'"][^\'"]{1,60}[\'"];', ';\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_FILES)\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\1\\[[\'"]?\\2[\'"]?\\][^\\(]{200,300}php_uname\\(\\s*[^\\)]{0,40}\\s*\\)', '<title>\\s*SST\\s*Sheller', '<title>\\s*:\\s*:\\s*Inbox\\s*:\\s*:\\s*Unlimited\\s*</title>\\s*<\\?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(', '<title>\\s*Hacked\\s+by\\s+(?:Dr\\.SiLnT\\s*HilL|your\\s+HaxorsteinBD|Mo[E3]Gza|KIWIL0736|AssasinCyber)', '<title>\\s*Blackhat\\s*Code\\s+Backdoor', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\?]{200,600}Social\\s*Security\\s*Number\\s*:\\s*\\$ssn', '@array_diff_ukey\\(\\s*@array\\(\\(string\\)\\$_REQUEST', 'return\\s*RC4::Encryp', '\\A\\s*GIF8\\d\\w?[^\\s]{0,2}\\s*[^\\?]{0,80}\\s*<\\?\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(', '\\}\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]add_filter[\'"]\\s*\\)\\s*\\)\\s*add_filter\\(\\s*[\'"]all_plugins[\'"]\\s*,\\s*[\'"]fourofour_pp[\'"]\\);\\s*return\\s*1;\\s*\\?>\\s*\\Z', '<title>\\s*[\\[]{0,1}\\s*RileyWilder\\s*(?:\\\'\\s*s)?\\s*Mailer', '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fwrite|fputs)\\(\\s*\\1,\\s*(\\$(?:message|\\w\\d))\\s*\\);\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\2\\s*(?:,\\$\\w{1,40}\\s*)?\\);\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '<\\?(?:php)?\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){0,3}\\s*\\$(?:mensaje|message)\\s*\\.?=\\s*[\'"](pass|passwd|password)[^\\w]{1,40}\\$_POST\\[[\'"]?\\w{0,20}\\1[\'"]?\\]\\.?[\'"]?\\\\n[\'"];', '\\{(\\s*\\$\\w{1,40}\\s*=\\s*[\'"](\\.\\./){1,7}[\'"];){7}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\$\\w{1,40}\\s*\\.\\s*[\'"]wp-config\\.php[\'"]\\);', '<title>\\s*(?:Magic|MySQL|Peterson|indoxploit|CIH\\.)\\s*[^\\?]{0,15}\\s*(?:Web)?Shell', '<title>\\s*File\\s*</\\s*[^\\?]{1,200}<form\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{1,200}<\\?php\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*(\\$_FILES\\[)([\'"][^\'"]{1,40}[\'"])(\\]\\[[\'"][^\'"]{1,40}[\'"])\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\(\\1\\2\\3\\],\\s*\\1\\2(\\]\\[[\'"][^\'"]{1,40}[\'"]\\])\\s*\\)\\s*;\\s*\\$file\\s*=\\s*\\1\\2\\4', '\\$sex\\s*\\.=\\s*[^\\n]{40,100}\\s*@mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,20}\\.html[\'"]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1', '<title>\\s*s72\\s*Shell[^\\w]', '<title>\\s*Symlink(?:_|\\s)\\s*Sa\\s+\\w?\\d+\\.\\d+', '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\$\\w{1,4}\\s*,\\s*[\'"](a|w)\\+?[\'"]\\);\\s*fwrite\\(\\s*\\1\\s*,\\s*[^\\)]{1,20}(\\$bilsmg)[^\\)]{1,20}\\s*\\)\\s*;\\s*fclose\\(\\1\\);\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*@?mail\\s*\\(\\s*\\4\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$((?:email|login|user|username)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:pass|password|passwd)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*[^\\+]{1,400}\\$message\\s*=\\s*[\'"]\\s*[^\\}]{1,200}(FACEBOOK|GOOGLE)', '\\$from\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:user|username|login))\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];', '<\\?pHp\\s*if\\s*\\(file_exists\\s*\\(([\'"]/tmp/[^/]+/sess_[^\'"]{1,40}[\'"])\\)\\)\\s*@?include(?:_once)?\\s*\\(\\1\\);\\s*else\\s*echo\\s*\\(?[\'"]?[^\'"]{0,40}[\'"]?\\)?;\\s*\\$\\w{1,40}\\s*=\\s*"https?://"\\.getenv\\("SERVER_NAME"\\)\\.getenv\\("SCRIPT_NAME"\\);', '<title>\\s*[-:\\[]{1,3}\\s*GreenwooD\\s*[-:\\]]{1,3}\\s*WinX\\s+Shell', '\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*\\$(country)\\s*=\\s*\\w{0,40}\\1\\(\\);\\s*\\$(region)\\s*=\\s*\\w{0,40}\\2\\(\\);\\s*\\$(city)\\s*=\\s*\\w{1,40}\\3\\(\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);)?\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]username[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]password[\'"]\\];', 'copy\\(\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*,\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+system_custom\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*\\$[^\\\\}]{1,40}\\s*if\\s*\\([^\\(]{1,40}\\(\\s*[\'"]exec[\'"]', '<title>\\s*nsT\\s*View', '\\$shell_mode\\s*\\)\\s*\\{\\s*\\?>\\s*[^\\?]{1,99}\\s*<title>\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]?\\s*\\$shell_title;', 'class\\s*\\=\\s*[\'"]tit[\'"]>\\s*Mailer\\s*Inbox', 'makebotlist\\s*\\(\\s*(\\$BotList)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!file_exists\\(\\s*\\1', 'LD_PRELOAD=\\s*\\./libworker.so', '>\\s*Da(?:3|s)s\\s*(?:HaCkEr)?\\s*File\\s+Manager\\s*(?:Version)?\\s*<', '=num_macros\\(\\s*\\${\\s*\\${', 'fopo\\.com\\.ar', '<\\s*title\\s*>\\s*404-server!+\\s*<\\s*/title\\s*>', ';\\s+eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]Dc/JcoIwAADQz1GHQ2WH6SkIqOwBZLt0BBKkBIKyjX59[^\'"]{360}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '@eval\\(\\$r9f35db4\\(', 'mail\\(stripslashes\\(\\$strr1\\), stripslashes\\(\\$strr2\\)', '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"](?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)[\'"]\\s*;\\s*){3,5}[^}]{200,400}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);[^\\?]{400,600}<\\s*form', '\\A\\s*<\\?(?:php)?\\s+/\\*\\s*\\*\\s*MySQL\\s+Web\\s+Interface\\s+By', '<td>\\$\\s*execute\\s*a cmd</td>', '\\A\\s*X5O.{25}EICAR-STANDARD-ANTIVIRUS-TEST-FILE[^\\s]{1,9}\\s*\\Z', '\\A\\s*[^\\w]?PNG.{3000,6000}?<\\?php', 'Usage:\\s*\\w{1,40}\\s*\\[\\s*OPTIONS\\s*\\]\\s*Options:\\s*-a,\\s*--algo\\s*=\\s*ALGO\\s*specify\\s+the\\s+algorithm\\s+to\\s+use\\s*cryptonight', ';eval\\(base64_decode\\(gzuncompress\\(base64_decode\\(\\$\\w+\\)\\)\\)\\);\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*include_once\\s*\\(\\s*"config\\.php"\\s*\\)\\s*;\\s*\\?>\\s*<!DOCTYPE\\s*html', '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^"]*"\\s*\\+\\s*"[^"]*"\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'<img[^)]+\\)\\s*;\\s*</script>\\s*</body>', '^\\s*<\\s*head\\s*>\\s*<\\s*meta\\s*name\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*>\\s*<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="\\d+\\s*;\\s*URL=https?://[^"]*"/\\s*>\\s*<\\s*/head\\s*>\\s*$', '<title>\\s*SexCrime\\s*-\\s*Shell', '\\$backdoor\\s*=\\s*base64_decode\\([\'"][^\'"]{400,600}[\'"]\\);\\s*\\$deface\\s*=\\s*base64_decode\\(', '<td>Hati\\s+Mantan\\s*[^\'"]{1,10}[\'"];\\s*[^\\$]{1,40}\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]', '=>\\s*[\'"]tools[\'"],\\s*\\/\\*\\s*available:(\\s*(ls|search|upload|cmd|eval|sql|mailer|encoders|tools|processes|sysinfo),?\\s*){9,11}\\s*\\*/', '@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[cmd\\]\\)', '\\A\\s*<\\?(?:php)?\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"]\\w{24,40}[\'"];)?\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.aceglpr_]{13,40}\\s*\\;\\s*\\1\\s*\\(\\s*[\'"](.).{0,40}\\2e\\w?[\'"]\\s*,[^\\)]{30000,50000}(?:\\s*\\)\\s*){1,5};[^;]{1,40};\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s+[^\\?]{1,400}@system\\([\'"][^\'"]{0,40}wget\\s+https?://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,40}\\s+-O\\s*(\\w{1,40});[^\\.]{1,40}\\./\\1\\s*>\\s*/dev/null[^;]{0,40}\\Z', '\\$_COOKIE\\s*=\\s*WSOstripslashes', 'if\\s*\\(\\s*\\$reqPwd\\s*!==\\s*vpsp_pwd\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=', 'foreach\\(\\$\\w{1,40}\\s+as\\s+\\$\\w{1,40}=>(\\$pat)\\)\\{\\s*if\\(\\1\\s*==\\s*[\'"][\'"]\\s*&&\\s*\\$\\w{1,40}\\s*==\\s*\\d+\\)\\{\\s*\\$\\w{1,40}\\s*=\\s*true;([^`]{2000,3500})<br\\s*/>[\'"];\\s*\\}\\s*\\}\\s*elseif\\s*\\(\\s*\\$_POST\\[[\'"]type[\'"]\\]\\s*==\\s*[\'"]file[\'"]\\s*\\)\\s*\\{\\s*if\\(unlink\\(\\$_POST\\[[\'"]path[\'"]\\]\\s*\\)\\s*\\)\\s*\\{', '\\]\\(NULL\\);\\s*@\\$GLOBALS\\[', 'myUpload->uploadFile\\(\\s*\\)', 'is_readable\\s*\\(\\s*[\'"]/etc/passwd[\'"]\\s*\\)\\s*\\?[^\\?]{100,600}php_uname\\(\\)', '\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\)\\s*;', 'Made by SexDog Pula', 'base.\\.\\(32\\*2\\)', '\\}\\s*else\\s*\\{\\s*\\$v\\s*=\\s*new\\s+verifier\\(\\);\\s*print_r\\(\\$v->checkemails', '>Gantengers Crew<', '\\+\\+\\$o\\]\\]\\)\\);}}eval\\(\\$d\\)', 'mt_rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$not_android_urls\\)-1\\)', '\\}\\);\\s*function\\s+refreshBotsOnline\\(\\)\\{\\s*\\$\\(\\\\[\'"]\\#nav\\\\[\'"]\\)\\.load\\(\\\\[\'"]inc/\\w{1,40}\\.php\\\\[\'"]\\);\\s*setTimeout\\(refreshBotsOnline,\\s*\\d+\\);\\s*\\}\\s*</script>', 'Mailer\\s+by\\s+Sphinx</title>', '\\$_POST\\[([\'"]botID[\'"])\\]\\)\\)\\s*\\$id\\s*=\\s*filterString\\(\\$_POST\\[\\1\\]\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]track[\'"]\\]', 'eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[', '\\$domain\\s*=\\s*\\$domains\\[\\s*array_rand\\(\\s*\\$domains\\s*,\\s*1\\)', 'POST\\s*=\\s*WSOstripslashes', '\\A\\s*<\\?php\\s*[^\\}]{1,600}\\s*\\}\\s*\\}\\s*define\\(\\s*[\'"]startTime[\'"]\\s*,\\s*getTime\\(\\)\\s*\\);\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]shellexec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s+shellexec\\s*\\(\\s*\\$cmd\\)\\s*\\{', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(__FILE__,\\s*[\'"]\\w[\'"]\\);\\s*fseek\\(\\s*\\1,\\d+\\);\\s*(\\$c)\\s*=\\s*[\'"][\'"];\\s*while\\s*\\(\\s*!feof\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*fread\\(\\s*\\1,\\d+\\);\\s*\\}\\s*@?(?:system|exec|passthru|shell_exec|popen|eval)\\s*\\(\\s*bzdecompress\\(\\2\\)\\);\\s*__halt_compiler\\(\\);\\s*\\?>', '<%@page\\s[^\\!]{1,999}!\\s*(?:\\s*/\\*\\*.{1,200}\\*/\\s*)?(private\\s+static\\s+final\\s+String\\s+PW)\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*[^\\s]{0,40}\\s*\\1_SESSION_ATTRIBUTE\\s*=\\s*[\'"](?:JspSpy|supersuper)\\w{1,9}[\'"];', 'sent\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\+\\s*1\\s*;)?\\s*\\$\\w{1,10}spamm?ed\\s*=\\s*[\'"]spamm?ed[\'"]\\s*;', 'mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*(\\$message)\\s*\\);\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"]\\w{1,40}\\.?\\w{1,10}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*fputs\\(\\s*\\2,\\s*\\1\\);(?:\\s*fclose\\(\\s*\\2\\s*\\);)?\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', 'stripslashes\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["l1"\\]\\);\\$', 'eval\\s*\\(base64_decode\\s*\\(\\s*[\'"]ZXZhbChiYXNlNjRfZGVjb2RlKC[^\']{20,10000}[\'"]\\s*\\)\\s*\\)\\s*;(\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^;]{1,80};\\s*){0,3}(?://[^\\n]{1,40})?\\s*mail\\(', '\\A\\s*\\#!/usr/bin/perl\\s*[^\\(]{1,40}\\s*opendir\\(\\s*my\\s(\\$\\w{1,40})\\s*,\\s*[\'"](/var/www/vhosts/)[\'"]\\s*\\);\\s*foreach\\(\\s*sort\\s*readdir\\s*\\1\\s*\\)\\s*\\{\\s*my\\s\\$\\w{1,40}\\s*=\\s*\\d+;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*if\\s*-d\\s*(\\$_);\\s*(\\$\\w{1,40})\\s*=\\s*\\3;(?:\\s*symlink\\([\'"]\\2[\'"]\\.\\4[^\\)]+[\'"]\\)\\s*;)+\\s*\\}', 'eval\\("\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28\\\\x67\\\\x7A\\\\x69\\\\x6E[^\\)]{9999,}', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_SESSION\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,99}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*\\$_SERVER\\[[^\\]]{1,40}\\];[^/]{150,400}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*gethostbyname\\(\\s*\\$_SERVER\\[[^\\]]{1,40}\\]\\s*\\);\\s*@?mail\\s*\\(', '\\[[\'"]?(cmd)[\'"]?\\]\\s*\\)\\s*;\\s*@?system\\s*\\(\\s*\\$\\1\\s*\\)\\s*;\\s*echo\\s*\\(?\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)?\\s*;\\s*if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*[^\\w]{1,2}=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\?>\\s*</?pre>', '\\*\\s*\\*\\s*arkei\\s+stealer', '<title>\\s*[^\\w]{0,3}\\s*BYSCRA3ZY\\s*[^\\w]{0,3}\\s*</title>', '<title>\\s*jahat\\s*</title>[^\\)]{1,499}php_uname\\(\\)', '<title>\\s*[\\w\\^\\.\\|]{0,3}\\s+Private\\s+Shell\\s', '<title>\\s*Dr\\s+HeX\\s*</', '=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["user_l"\\]\\)', '<title>\\s*[\\w-]{0,9}\\s*(?:cpanel|whm)\\s+[^`]{0,9}\\s*(?:crac|brut)', '<title>\\s*Bienvenido\\s+a\\s+BancaNet\\s*[^\\.]{1,600}\\.banamex\\.com\\.mx/', '\\$headers\\s*=\\s*[\'"][^\'"]{0,40}DHL[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*if\\s*\\(\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!=\\s*false\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:', '\\$\\w{1,40}\\s*=\\s*["\']\\s*Hacked\\s+by\\s+Moroccanwolf\\s*["\']\\s*;', 'if\\(\\s*!\\$os_name\\s*=\\s*@?php_uname\\(\\)\\)\\s*\\{\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]posix_uname[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{600,1500}if\\(!empty\\(\\$_POST\\[([\'"]?php[\'"]?)\\]\\)\\)\\{\\s*ob_start\\(\\);\\s*@?eval\\(\\$_POST\\[\\1\\]\\);', '<title>\\s*[^/]{1,49}\\s+Edited\\s+By\\s+KingDefacer\\s*</title>', ']}=trim\\(\\s*array_pop\\(\\${\\${"', '\\$\\w{1,40}\\s*=\\s*fsockopen\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*30\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print(?:it|r)?\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\d?\\s*\\)\\s*;\\s*\\}\\s*//\\s*Spawn\\s+shell\\s+process', '(\\$\\w{1,40})\\s*=\\s*@stream_socket_client\\(\\s*[\'"]tcp://\\$\\w{1,40}:25[\'"],\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\d+\\);\\s*else\\s*(return)\\s*-?\\d;\\s*if\\s*\\(\\s*!\\s*\\$\\w{1,40}\\)\\s\\s*{\\s*\\2\\s*\\d;\\s*}\\s*else\\s*{\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\1\\);\\s*@fputs\\(\\s*\\1,\\s*[\'"]EHLO\\s*\\$\\w{1,40}\\s*\\\\r\\\\n[\'"]\\s*\\);', '\\A\\s*\\#!/usr/bin/perl\\s*[^;]{1,200}use\\s+strict;\\s*undef\\s+\\$modules::Module::var;\\s*my\\s+\\(\\$Password,[^\\)]{1,200}\\$WinNT,\\$NTCmdSep,\\$UnixCmdSep', '\\$p=strpos\\(\\s*\\$tx,\'{\\#\',\\$p2\\+2', '\\A\\s*<\\?php\\s*file_put_contents\\s*\\(\\s*[\'"]\\w+\\.php[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\\;]{1,200}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\$headers\\s*\\.?=\\s*\\$_POST\\[[\'"](?:username|passwd|password|pass|user)[\'"]\\]\\.[\'"]\\\\n[\'"];\\s*if\\s*\\(mail\\(\\$recipient,\\$subject,\\$message,\\$headers\\)\\)\\s*\\{\\s*header\\("Location:\\s*[^\\)]{1,40}\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\}\\s*\\?>', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$from\\s*=\\s*[\'"]From:\\s*\\w{0,39}\\s*<?hacker@', '\\$ip[\'"]?;\\s*\\$from\\s*=\\s*[\'"]From:\\s*Banco\\s+Azteka', '@?fclose\\s*\\(\\s*@?fwrite\\s*\\(\\s*@?fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](a|w)\\+?[\'"]\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;){0,3}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$headers\\s*\\)', '(\\$headers)\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"];\\s*mail\\([^\\)]{1,40}(\\$\\w{1,40})\\s*\\);\\s*if\\s*\\(\\s*mail\\(\\s*[^\\)]{1,40}\\s*\\2\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;', '\\A\\s*<\\?php\\s+error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*@?ini_set\\(\'memory_limit\',\\s*\'\\d+M\'\\);\\s*if\\s*\\([^\\)]{1,20}\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\]\\)\\s*,\\s*\'\\w+\'\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.1 301 Moved Permanently[\'"]\\);\\s*exit\\(?\\)?;\\s*\\}[^%]+\\}\\s*/\\*\\s+@hash:\\s+\\w{16,40}\\s+-\\s+\\w{1,9}\\s+\\*/\\s*\\Z', '\\A\\s*<\\?php\\s*\\$[0_O]{1,12}=[\'"][^\'"]*[\'"];\\s*\\$[0_O]{1,12}=[\'"]wp-admin[\'"];\\s*\\$[0_O]{1,12}=\\([^\\)]{20,60}[^`]{40000,45000}\\(\\);\\}unset\\(\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"](?:\\\\x\\w{2}){1,12}[\'"]\\}\\[[^\\]]{1,99}\\]\\(\\);\\s*(?:\\?>|\\Z)', '<title>\\s*unzip\\s*file\\s*by\\s*ahwak2000', 'refresh[\'"]\\s*content=[\'"]\\d+;\\s*url=(http://(?:bestselect2019|fastsmartassist|globalmedsreward|goodfastquality|herbal(?:drugsvalue|genericinc)|luckybestmart|newhealthprogram|online(?:firsttrade|hotprice|smartmall)|organicfirstdeal|pure(?:first|organice)shop|the(?:aidoutlet|pillsupply))\\.[senbrut]{1,3})/?[\'"]\\s*>\\s*<script\\s*type=[\'"]text/javascript[\'"]>\\s*window\\.location\\.href\\s*=\\s*[\'"]\\1[^\\?]{80,300}\\s*</body>\\s*</html>\\s*\\Z', '\\#!/usr/bin/(?:ba|z|t)?sh\\s*USEFUL\\s*=\\s*\\([^\\)]{1,99}\\)[^\\?]{999,2000}Cant\\s*Read\\s*\\[\\s*/etc/named\\.conf\\s*]\\\\c[\'"]\\s*fi\\s*echo\\s*-e\\s*[\'"][\'"]\\]\\}\\\\c[\'"]', '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.pass.\\]\\);\\s*exit\\(\\);', 'eval\\(\\s*base64_decode\\(\\s*\\$o\\s*\\)\\s*\\);\\s*\\?>', 'AddType\\s+application/x-httpd-cgi\\s+\\.alfa', '!\\s*isset\\s*\\(\\s*\\$_SESSION\\s*\\[\\s*([\'"]nst[\'"])\\s*\\]\\s*\\)\\s*\\w{2,3}\\s*\\$_SESSION\\s*\\[\\s*\\1\\s*\\]\\s*[^\\w]{2,3}\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*[\'"]\\s*<title>', '<\\?php\\s*@?include\\(\\s*[\'"]\\w{1,20}\\.php[\'"]\\s*\\);\\s*\\$ip\\w?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]CARD(?:TYPE|NUMBER|CVV2?)?\\w{1,10}[\'"]\\];){2}', 'if\\s*\\(\\$else_dot\\)\\s*\\{\\s*\\$new_v_f=fopen\\([\'"]\\$f_creat_name\\.\\$else_dot[\'"],[\'"](?:w|a)\\+?[\'"]\\);\\s*\\}', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]iIugH9gTRC5pMitCT9HmWj9tXHNmuAuhvHzNANRz9[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*', 'html_footer\\s*\\(\\)\\s*\\{\\s*[^>]{1,99}<h\\d*>\\s*Coded\\s*by\\s*MizoZ', '\\{\\s*\\$\\w\\s*=\\s*Array\\s*\\((\\s*[\'"][^\'"]{1,40}[\'"],?\\s*){4}[\'"]aHR0cDovL2M4Ni50cnVlYmFia2EucnUv[\'"]', '<title>\\s*Facebook\\s*</title>\\s*<\\?php\\s*include(?:_once)?\\s*\\(?[\'"][^\\.]{1,99}\\.php[\'"]\\);', '\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*(WebShell|backdoor)\\(\\);\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s+system\\([\'"]pwd[\'"]\\)[^\\(]{1,40}system\\([\'"]cat\\s+/etc/passwd[^\\?]{1,600}define\\([\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;', '\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\s*\\+\\s*1;\\s*\\$txtspamed\\s*=\\s*[\'"]\\w{1,40}[\'"];\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{', '\\A\\s*<\\?php(?:\\s*@\\w{7,15}\\([^\\)]{1,40}\\);){0,9}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_\\1\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\](?:\\s*\\)\\s*){1,6};\\s*\\}\\s*exit;\\s*(?:\\?>)?\\s*\\Z', '<title>\\s*HTTP\\s+404\\s+Not\\s+Found\\s*</title>[^`]{1,600}\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\s*[\'"](?:\\.\\./){5,9}?wp-config\\.php[\'"]', 'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,40}\\]\\s*==\\s*[\'"]stop[\'"]\\s*\\)\\s*\\{\\s*(?:@|\\#)?shell_exec\\s*\\(\\s*[\'"]killall\\s*bot\\.pl[\'"]\\);', '<title>\\s*[^\\w]{1,3}\\s*Trenggalek\\s+Mafia', '\\A\\s*<\\?php\\s*\\$\\w{1,9}\\s*=\\s*array\\([\'"][^@]+@(?:[\\w\\-\\.]+)\\.(?:[a-z]{2,5})[\'"]\\);\\s*(?:\\$\\w{1,9}=[\'"][^\']*[\'"];|\\$\\w{1,9}=array\\([^\\)]+\\);){1,5}for\\s*\\((\\$\\w)=0;\\1<\\d;\\1\\+\\+\\)\\s*\\{\\s*(\\$\\w{1,9})=\\$\\w{1,9}\\[\\1\\]\\s*;\\s*(\\$\\w{1,9})\\s*\\.=\\s*\\$\\w{1,9}\\[\\2\\]\\s*;\\s*\\}\\s*\\3\\([^\\)]{1,400}[\'"]\\);\\s*\\?>\\s*\\Z', 'for\\s*\\(\\s*(\\$\\w)\\s*=\\s*0;\\s*\\1\\s*<\\s*strlen\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*\\);\\s*\\1\\s*=\\s*\\1\\s*\\+\\s*\\d+\\s*\\)\\s*\\$search\\s*\\.?=\\s*[\'"]%[\'"]\\s*\\.\\s*substr\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*,\\s*\\1,\\s*\\d+\\s*\\);\\s*\\$wp_template\\s*=\\s*@?preg_replace\\s*\\(', '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '\\#!/usr/bin/(?:ba|z|t)?sh\\s*DIR=\\$1\\s*IFS=\\$[^\\&]{199,399}\\s*permnum=[\'"]0777[\'"]\\s*permhuman=[\'"]drwxrwxrw[\'"][^\\?]{500,}\\$permcolor\\\\[\'"]\\},\\s*done\\s*echo\\s*[\'"]\\{\\}\\][\'"]', '\\#!/usr/bin/perl\\s*[^\\?]{450,600};\\s*system\\(\\s*decode_base64\\s*\\(\\s*\\$\\w{1,40}\\s*\\{\\s*[\'"]cmd[\'"]\\s*\\}\\s*\\)\\s*\\)\\s*;\\s*print\\s*[\'"]</pre>[\'"]\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{0,40}[\'"];\\s*[^\\$]{0,99}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"];)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"]FilesMan[\'"];[^\\}]{1,200}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit', ';\\s*(passthru|exec|shell_exec|popen|system|eval)\\(\\s*[\'"]\\./findsock[^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\][^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_PORT[\'"]\\]\\s*\\)\\s*\\?>', '<(?:h\\d|title)>\\s*Moshkela\\s+Hacker', 'cover\\(\\s*[\'"]IndoXploit[\'"]\\s*\\);', 'exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*(\\$_POST)\\s*\\[\\s*(\'_evalText\')\\s*\\]\\s*\\)\\s*@?eval\\s*\\(\\s*\\1\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\1\\s*\\[\\s*\'_upl\'\\s*\\]\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@copy\\s*\\(\\s*(\\$_FILES)\\s*\\[\\s*[^\\)]+\\s*\\)\\s*\\)\\s*\\{[^\\}]+\\}\\s*else\\s*\\{[^\\}]+\\}\\s*\\}', 'printf\\("Usage: findsock ip port', '<title>\\s*PHP\\s*.\\s*Mailer\\s*by\\s*iskorpitx', 'IndoXploit\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}(?:aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3|aHR0cDovL3Bhc3RlYmluLmNvbS9yYXc)[^\'"]{0,40}[\'"]\\s*;', '(?:\\$(?:message|spam|bilsmg)\\s*\\.?=\\s*[\'"]\\s*(?:Password|Pass|PWD?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);)[^\\?]{1,600}\\$headers\\s*\\.=\\s*\\$_POST\\[[\'"]eMailAdd[\'"]\\]', '<title>\\s*Don\\s+Cordoba\\s+Mailer', 'if\\s*\\(\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{(?:\\s*\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,4}\\s*header\\(\\s*[\'"]Location:', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(\\$message)\\s*\\.?=\\s*[\'"]Email[^\\n]{1,40}\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Password', '\\A\\s*<\\?php\\s+/\\*\\*\\s*\\*\\s*Smtp\\s*Auto\\s*Change\\s*Password\\s*By\\s*VvebOs', '\\$subject\\s*=\\s*[\'"][^\\$]{1,40}[\'"]\\.\\$ip\\.[""]\\\\n[\'"];\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '@gzinflate\\(\\s*@base64_decode\\(\\s*@str_replac', ';\\s*\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)(?:O|\\\\x4f)(?:B|\\\\x42)(?:A|\\\\x41)(?:L|\\\\x4c)(?:S|\\\\x53)[\'"]\\}\\[[\'"](?:z|r|_|\\\\x7a|\\\\x5f|\\\\x72){1,40}[\'"]\\]\\(\\$[zr_]{1,40},CURLOPT_USERAGENT,\\\\[\'"]WHR\\\\[\'"]\\);', 'echo\\s*[\'"]<pre>[\'"];\\s*system\\(\\$_REQUEST\\[\'c\'\\]\\);\\s*die;', '(\\$b374k)\\s*=\\s*@\\$\\w{1,40}\\([^\\)]{20,99}\\)\\)\\);[\'"]\\);\\s*@\\1\\([\'"]', '\\A\\s*<\\?php\\s*\\$\\w{1,9}pass\\s*=\\s*[\'"][^\'"]{1,40}[\'"];[^\\<]{1,600}function\\s+masuk\\(\\)\\s*\\{\\s*die\\([\'"]', '<html>\\s*<title>\\s*Symlink\\s*Bypass\\s*\\d+\\s*by\\s+hAxOr', '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}\\.html?[\'"]\\s*;\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\1\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*[^;]{0,39}\\s*;\\s*fwrite\\(\\s*\\2\\s*,\\s*(\\$MESSAGE)\\s*\\);\\s*fclose\\(\\2\\);\\s*@?mail\\(\\$TO,\\$SUBJECT,\\3,\\$HEADER\\);', ';\\s*print\\s+"Flooded:\\s*\\$ip\\s*on\\s*port\\s*\\$rand', '<title>\\s*Fastest\\s+Zone-H\\s*Mass\\s+Deface\\s+Poster', '\\)\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"]block-mail\\.txt[\'"],\\s*[\'"]r[\'"]\\);', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$datamasii\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*\\$(user|userid|login|email)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\1[\'"]\\s*\\]\\s*;\\s*\\$(pass|password|pwd)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\2[\'"]\\s*\\]\\s*;\\s*[^\\?]{1,600}\\s+@?mail\\s*\\(', '\\|\\s*md5\\s*\\(\\s*\\$_GET\\[[\'"]?[^\'"]{1,10}[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{24,40}[\'"]\\s*\\)\\s*die\\s*;\\s*function\\s+execute\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{100,300}\\s*(\\$\\w{1,40})\\s*=\\s*@?shell_exec\\(\\$\\w\\);\\s*return\\s*\\1;\\s*\\}\\s*elseif', '\\A\\s*<\\?php\\s*(?:\\s*die\\s*\\(\\s*)?@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<title>\\s*Dark Shell\\s*</title>.*fsockopen', '\\$su\\s*=\\s*str_replace\\(\'\\$name\'\\s*,\\s*\\$n\\s*,\\s*stripslashes\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'z2\'\\s*\\]\\s*\\)\\s*\\)\\s*\\);', '\\$data = curl_get_from_webpage_one_time\\(\\$url', '\\$weff_client\\s*=\\s*new\\s+TWeffClient\\(\\);', '\\$Content_mb=getHTTPPage\\(\\$Remote_server\\."/index\\.(html|php)\\?host', 'str_replace\\(\'define\\("PRENAME","\\d+"\\);\'\\s*,\\s*\'define\\("PRENAME"', '<title>\\s*Dark Shell\\s*</title>.+clearstatcache', '<\\?php\\s*\\$arrId\\s*=\\s*array\\((\'\\d+-\\d+\'\\s*,\\s*)', '\\$array\\s*=\\s*base64_decode\\(\\$array\\);\\s*@assert\\(\\$array\\);', '\\$\\w{1,40}\\s*=\\s*"[^"]+";\\$\\w+\\s*=(\\s*\\$\\w{1,40}\\[\\d+\\]\\s*\\.?){5,};\\$\\w+\\s*=\\s*[^;]+;\\$\\w+\\s*=\\s*"[^"]+";\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*"', 'curl_setopt\\s*\\(\\s*(\\$cu)\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*\\d\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*\\}\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\{\\s*\\$\\w{1,4}\\s*=\\s*\\$\\w{1,4}\\[\\d+\\]\\s*;\\s*\\$\\w{1,4}\\s*=\\s*[\'"]moban[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\{', 'if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?]\\s*[^\\w]{1,2}=\\s*[\'"]eval[\'"]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"]?exec[\'"]?\\]\\);\\s*exit;\\s*\\}\\s*(?://[^\\n]{1,80})?\\s*if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?\\]\\s*==\\s*[\'"]GetArticleById[\'"]', 'if\\s*\\(\\$mode_work\\s*==\\s*[\'"]cngbot[\'"]\\s*\\)\\s*\\{', '\\(\\s*[\'"]{0,1}DZe1r', 'fopen\\(\\$s1\\.\'accesson\\.php', '\\./\\*-/\\*-\\*/"', 'code\\.google\\.com/p/b374k-shell', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\(\\s*\\$_POST\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;[^`]+?iterator_apply\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+,\\s*array\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*;', '\\$MESSAGE\\s*=\\s*wordwrap\\(\\$MESSAGE,\\d+\\)\\s*;\\s*[\\#]{50,80}\\s*\\$SUBJECT\\s*=\\s*["\']\\(\\$\\w{1,40}\\)\\((?:BILLING|LOGIN)\\)\\(\\$IP\\)\\(\\$(?:nama_negara|country)\\)[\'"];', 'echo\\swelcome\\sto\\sr57\\sshell', '[\\#]{2}\\s*ReCoded\\s*By\\s*Syechrul\\s*Imam', '\\A\\s*<\\?php\\s*\\$GLOBALS\\[[^\\%]{60000,}%[^\\?]{999,3000}\\?\\s*[^\\&]{1000,1500}\\.\\./wp-config\\.php', '\\A\\s*<\\?php\\s+if\\(!function_exists\\("(\\w{1,40})"\\)\\){function\\s\\w+\\(\\$\\w+\\)\\{\\$\\w+=base64_decode\\(\\$\\w+\\);\\$\\w+=0;\\$\\w+=0;\\$\\w+=0;\\$\\w+=\\(ord\\(\\$\\w+\\[1\\]\\)<<8\\)\\+ord\\([^\\?]{1500,3000}\\?"\\.">"\\.\\$\\w+;return\\s\\$\\w+;\\}\\}\\}\\}eval\\(\\1\\("QAIAPD9waHAgABEkY29sb3Ig', '\\A\\s*<\\?php[ ]+system\\s*\\(\\s*[\'"]pwd[\'"]\\s*\\)\\s*(?:\\?>)?\\s*\\Z', 'phpversion\\s*\\(\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]find\\s[^;]{1,99}<head[\'"]{1,3};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]<script\\s+src\\s*=\\s*[\'"]https?://[^\\?]{1,40}\\.js\\?', '<title>\\s*To0?olz\\s+\\d+\\s*-\\s*Cyb3r-dz', '\\$emailusr\\s*\\.?=\\s*[\'"][^@]{1,40}@protonmail\\.com[\'"]\\s*;\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', 'mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*[\'"]OK(?:\\s*By\\s*King)?<br>[\'"]\\s*;\\s*flush\\s*\\(\\s*\\)\\s*;', '<title>\\s*Mailer\\s+By\\s+ME', '\\$(email|user|username|login)\\s*=\\s*\\$_POST\\[[\'"](email|user|username|login)[\'"]\\];\\s*\\$((?:\\1)?(?:pass|password|passwd))\\s*=\\s\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$message\\s*=\\s*[\'"][^\\$]{0,250}facebook', '<title>\\s*[^\\w\\s]{0,3}\\s*T\\.C\\.T\\s*[^\\w\\s]{0,3}\\s*</', '\\#\\#\\s+\\w{1,40}\\s+(Priv8|Private)\\s+Webshell', '\\A\\s*<\\?php\\s*/\\*[^\\*]{0,99}Mini\\s+Shell\\.?\\s+(?:@\\s+c[o0]ded\\s+)?by\\s+:\\s+shutdown57', '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*[^\\}]{1,100}\\s*fwrite\\(\\s*\\$\\w{1,4}\\s*,\\s*\\1\\s*\\);', '\\#\\s*Jakarta-Blackhat\\s*Hacker(?:`|\'|")s', 'if\\s*\\(\\s*!\\s*empty\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*include(?:_once)?\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*strpos\\(\\s*\\1', '<\\?php\\s+\\$GLOBALS\\[[\'"]\\w{1,40}[\'"]\\]=Array\\([\'"][^\\)]{200,600}[\'"]\\);function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\((?:[\'"][^\'"]{1,40}[\'"]\\s*,){0,5}\\s*[\'"]https?://stoligowo\\.ru/', ';@\\$fun\\(\\s*str_rot13\\(', '\\}\\s*Wordpress\\s*\\$\\w{1,40}\\s*=\\s*fopen\\([\'"]4O4\\.php[\'"],[\'"](a|w)\\+?[\'"]\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_GET\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*DirFilesR\\s*\\(\\s*@?\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]]\\s*\\)\\s*;', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZXJyb3JfcmVwb3J0aW5nKDApOw0KJHNoX2[^\'"]{60000,}[\'"]\\)\\);\\s*\\?>\\Z', '(\\$headers)\\s*\\.?=\\s*\\$_POST\\[[\'"]\\$ip[\'"]\\]\\.?[\'"]?\\\\n[\'"];\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*error_reporting\\(\\d\\);[^\\?]{300,600}</form>[\'"];\\s*if\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?]\\s*[^\\w]{1,2}=\\s*"home"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\$_FILES\\[[\'"]?[^\'"]{1,40}[\'"]?\\][^\\?]{40,200}\\s*else\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\}\\s*exit;\\s*\\}\\s*\\?>\\s*\\Z', '\\$\\w{1,40}\\(\\);\\s*\\}\\s*\\}\\s*\\?>\\s*<html>\\s*<head><title>404\\s+Not\\s+Found', 'implode\\(".r.n",array\\("%1html%3","%1head%3",head\\(\\),"%2head%3","%1body%3', '<\\?php\\s+\\$Class_WP_Index\\s*=\\s*"', '<title>\\s*Bypass\\s*Root\\s*Path\\s*by\\s*Mauritania\\s*Attacker', '\\A\\s*<\\?(?:php)?\\s+[^\\{]{1,400}\\s*class\\s+pBot\\s*\\{\\s*var\\s*\\$', '<br>\\s*(?:\\[info\\])?\\s*Gaza\\s+HaCKeR\\s+Team\\s*<', ',\\s*[\'"]index\\.html\\.bak\\.bak[^\\?]{1,600}\\$is_(?:wp|wordpress)\\s*=\\s*(?:false|0);\\s*\\$is_(?:jm|joomla)\\s*=\\s*(?:false|0);', 'DOCUMENT_ROOT[\'"]\\]\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\w{1,40}\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*[^\'"]{1,40}[\'"](a|w)\\+?[\'"]\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;', '<TITLE>\\s*cgi-shell\\.py', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\!\\s*class_exists\\s*\\([^@]{250,600}const\\s*\\w{1,40}\\s*=\\s*[\'"][ ]{200,}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*[\'"]\\s*;', 'my\\s*%\\w{1,9}\\s*=\\s*\\(\\);\\s*my\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]/etc/passwd[\'"];\\s*open\\s*\\(\\s*PASSWD,\\s*[\'"]\\s*<\\s*\\1', '<title>\\s*Small\\s*Web\\s*Shell\\s*by', '\\)\\s*,\\s*array\\(\\s*\\$resf,\\s*\\$ltime,\\s*\\$delp\\s*\\),\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1000,5000}[\'"]\\s*\\)\\s*\\);\\s*file_put_contents\\s*\\(', '<title>\\s*Ani\\s*-\\s*Shell', ';\\s*[\\#]{5,200}\\s*\\$SUBJECT\\s*=\\s*[\'"]\\s*\\((AMAZON|ADOBE|AZURE)\\)\\s*\\((BILLING|LOGIN)\\)\\s*\\(\\s*\\$IP\\s*\\)\\s*\\(\\s*\\$COUNTRYNAME\\s*\\)\\s*[\'"]\\s*;', '<title>\\s*Katrina\\s+v\\d+\\.\\d+\\s*-\\s*Welcome\\s*Master', 'if\\s*\\(\\s*\\$params\\s*[^\\w]{1,2}=\\s*false\\s*\\|\\|\\s*substr\\(\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\],\\s*\\d+,\\s*\\d+\\)\\s*[^\\w]{1,2}=\\s*[\'"]Spark[\'"]\\)\\s*\\{\\s*header\\([\'"]Status:\\s*404\\s*Not\\s*Found[\'"]\\);[^`]{2000,2500}botid\\s*=', '<title>\\s*Handanovix\\s*X_Shell\\s*GTA', '<title>\\s*C99\\s*(?:mad)?\\s*shell', '<title>\\s*Security007\\s+webshell', '\\}\\s*function\\s*comshelL\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2->exec\\s*\\(\\s*"cmd\\.exe\\s+/?\\w?\\s*\\1"\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3->StdOut\\(\\);\\s*return\\s*\\4->ReadAll\\(\\);\\s*\\}\\s*function', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\$?_SERVER[\'"]?;[^\\}]{1,200}\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]curl_init[\'"]\\s*;\\s*[^{]+if\\s*\\(\\s*is_callable\\(\\1\\)\\s*\\)', '<title>\\s*AnonymousFox', '\\}\\s*else\\s*\\{\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*add_filter\\(\\s*[\'"]init[\'"],\\s*[\'"]wp_is_plugin_load[\'"]\\);\\s*\\}\\s*add_action\\(\\s*[\'"]init[\'"],\\s*array\\(\\s*[\'"]Akismet[\'"],', '<title>\\s*EgY_SpIdEr\\s+ShElL', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^;]{20,60};\\s*(\\$\\w{1,40})\\s*=\\s*(\\$_SERVER)\\[[\'"]HTTP_HOST[\'"]\\];\\s*(\\$inj)\\s*=\\s*\\2\\[[\'"]REQUEST_URI[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*rawurldecode\\(\\1\\.\\3\\);\\s*\\$\\w{1,40}\\s*=\\s*@?mail\\s*\\(', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"].{100,200};\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*\\1.{6000,8000}\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\?>', '<title>\\s*Sim\\s*Shell\\s*-?\\s*Simorgh', '\\$\\w{1,40}\\[\\w{1,40}\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];(\\s*(system|shell_exec|exec|popen|passthru)\\s*\\(\\)\\s*;){3,5}', '\\};@?eval\\(\\$[O0]{4,24}\\([\'"]QHNldF90aW1lX2xpbWl0KDM2MDApOw0KQGlnbm9yZV91c2VyX2Fib3', '(\\$message)\\s*=\\s*[\'"][^\'"]{0,40}OFFICE\\s+365\\s+[^\'"]{0,40}[\'"];\\s*[^\\?]{1,400}\\s*\\1\\s*\\.?=\\s*[\'"](Password|pwd|pass)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)\\s*\\$\\w{0,9}title\\s*=\\s*[\'"]\\s*b374k', '\\]\\(""\\s*,\\s*@\\$_COOKIE\\[', '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/', '(,\\s*[\'"]\\^[^\'"]+[\'"]\\s*,\\s*){1,}["\']\\^[^\'"]+["\']\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{', '\\$g___g_\\s*=\\s*\\$', '\\)\\s*eval\\(gzuncompress\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[', '<title>\\s*\\[?Mister\\]?\\s*\\[?Spy\\]?\\s*Masse\\s*-\\s*S3ND3R', '(\\$message)\\s*\\.=\\s*[\'"][^\'"]{1,40}Office365[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Email\\s*:\\s*[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](Password|Pass|Pwd)\\s*:[^;]{1,40}[\'"];\\s*[^`]{1,600}\\$send', '<title>\\s*[^\\<]{0,19}\\s*r57c99\\.com', 'if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]phoneNumber[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\|\\|\\s*\\$_POST\\s*\\[\\s*[\'"]recEmail[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*[^\\)]{1,40}\\s*\\$message\\s*,\\s*\\$headers\\s*\\)\\s*;', '(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$ip\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;', '\\?>\\s*<\\?(?:php)?\\s*eval\\(base64_decode\\([\'"][^\'"]{1000,3000}[\'"]\\)\\);\\s*\\?>\\s*</title>', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$(?:message|spam|bilsmg))\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"]\\s*(?!(Subscr|news))[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;', 'else\\{print "preg_fail";\\}\\}else\\{print "preg_empty"', '(\\$\\w+)=\'base64_decode\';(\\$\\w+)=\'create_function\';if\\(!empty\\(\\$_REQUEST\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=strrev\\(\\$_REQUEST\\[\'\\3\'\\]\\);(\\$\\w+)=\\2\\(\'\',\\1\\(\\4\\)\\);\\5\\(\\);}', '\\$_\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*trim\\s*\\(\\s*preg_replace\\s*\\(\\s*rawurldecode\\s*\\(\\s*"[^"]{1,200}"\\s*\\)\\s*,\\s*\'\'\\s*,\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;', 'base64_decode\\(\'ZXJyb3JfcmVwb3J0aW5n\'\\),base64_decode\\(\'Y3Vyb', '(\\$\\w+)=scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);for\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\){if\\(stristr\\(\\1\\[\\2\\],\'php\'\\)\\){(\\$\\w+)=filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);break;}}touch\\(dirname\\(__FILE__\\),\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\3\\);.*?(\\$\\w+)=new ZipArchive\\(\\).*?\\4->extractTo\\(\\$\\w+\\);.*?<form enctype="multipart/form-data" method="post" action=""><label><input class="\\w+" type="file" name="\\w+" /></label><br /><input type="submit" name="submit" class="\\w+" value="\\w+" /></form></body></html>', '(\\$\\w+)=\'preg_replace\';(\\$\\w+)=\'eval\\(base64_decode\\("[^"]+"\\)\\);.*?;(\\$\\w+)="/(\\w+)/e";\\1\\(\\3,\\2,\'\\4\'\\);', '\\);\\$\\w+=\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\("\\w+","",\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\$\\w+\\(\\);', '(\\$\\w+)="assert";\\1\\([\'|"]eval\\(gzuncompress\\(base64_decode\\([\'|"][^\'|^"]+\'\\)\\)\\);[\'|"]\\);exit;', '<\\?php\\s*goto\\s*\\w{1,40};\\w{1,40}.{24000,28000}goto\\s*\\w{1,40};\\w{1,40}:\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\?>', '\\]\\[\\d+\\]\\(\\$_\\d+\\);include\\("\\{\\$_\\d+\\}\\w{1,40}\\.php"\\);\\$GLOBALS\\[\'_', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*["\'][^\'"]*["\']\\s*\\}\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\s*\\{\\s*["\'][^"\']*["\']\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*[\'"][^\']*[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\(isset\\((\\$_(?:GET|POST|REQUEST|COOKIE)\\[\'\\w{1,40}\'\\])\\)\\)\\{eval\\(\\1\\);exit;\\}', 'extract\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\)&&\\$shall\\(stripslashes\\(\\$\\w{1,40}\\)\\s*\\)&&exit;', '<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(_[^\']*)\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*.+?\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\}', '(\\$\\w{1,20}(\\[[\'"].[\'"]\\])?\\s*\\.\\s*){10,20}', '\\$\\s*(?:\\{[^{}]+\\}\\s*)+\\([^()]*\\$\\s*\\{', 'array_filter\\(\\s*(/\\*.+?\\*/)?\\s*@{0,}array\\(\\s*(/\\*.+?\\*/)?@{0,}\\${"_(GET|POST|COOKIE|REQUEST|SERVER)', '\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\'\'\\s*\\);', '(\\$\\w+\\s*=\\s*([\'"]\\w*[\'"]|\\d+);\\s*){2,}\\$\\w+\\s*=\\s*array\\s*\\((["\'][a-zA-Z0-9/+=_]{2,}["\']\\s*(,\\s*)?){10,}?', '\\${\\s*\\w+\\s*\\(\\s*["\':][^\':"]+["\']\\)\\s*}\\s*\\(\\w+\\s*\\(', 'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*\'OK\';', '<iframe src="https?://[^"]+"\\s*frameborder="0%?"\\s*width="0%?"\\s*height="0%?"', '(\\$\\w{1,20}\\s*=\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+(\\^|\\&|\\|)\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+;\\s*){5,}', '\\b((pics|hot|online)|(cumshot|blowjob|uncensored|viagra|cialis|levitra|tramadol|nude|celebrity|porno?|gay|teens?|squirt|sexiest|sex|fuck|tits?|lesbian)\\b[\\s\\-]+){2,}', 'new\\s*CoinHive\\.Anonymous', '<title>\\s*Navicat\\s*HTTP\\s*Tunnel\\s*Tester\\s*</title>', 'default_action\\s*=\\s*\\\\[\'"]FilesMan', 'default_action\\s*=\\s*[\'"]FilesMan', 'IO::Socket::INET->new\\(Proto\\s*=>\\s*"tcp"\\s*,\\s*LocalPort\\s*=>\\s*36000\\s*,\\s*Listen\\s*=>\\s*SOMAXCONN', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]{0,1}p2[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}chmod[\'"]{0,1}', 'Captain\\s+Crunch\\s+Team', 'by\\s+Grinay', 'hacked\\s+by\\s+Hmei7', 'system\\s+file\\s+do\\s+not\\s+delete', '\\$info \\.= \\(\\(\\$perms\\s*&\\s*0x0040\\)\\s*\\?\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\\\\[\'"]s\\\\[\'"]\\s*:\\s*\\\\[\'"]x\\\\[\'"]\\s*\\)\\s*:\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\'S\'\\s*:\\s*\'-\'\\s*\\)', 'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*\\\\[\'"]HTTP_HOST\\\\[\'"]\\s*\\]\\s*\\)', 'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*[\'"]HTTP_HOST[\'"]\\s*\\]\\s*\\)', 'wsoEx\\s*\\(\\s*\\\\[\'"]\\s*tar\\s*cfzv\\s*\\\\[\'"]\\s*\\.\\s*escapeshellarg\\s*\\(\\s*\\$_POST\\[\\s*\\\\[\'"]p2\\\\[\'"]\\s*\\]\\s*\\)', 'eval\\s*\\(?\\s*base64_decode\\s*\\(?\\s*@?\\$_', 'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*\\\\[\'"]filepath\\\\[\'"]\\s*\\]\\s*\\)', 'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]filepath[\'"]\\s*\\]\\s*\\)', 'rename\\s*\\(\\s*\\s*[\'"]{0,1}wso\\.php[\'"]{0,1}\\s*,', '\\$MessageSubject\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}msgsubject[\'"]{0,1}\\s*\\]\\s*\\)', 'SELECT\\s+1\\s+FROM\\s+mysql\\.user\\s+WHERE\\s+concat\\(\\s*`user`\\s*,\\s*\'@\'\\s*,\\s*`host`\\s*\\)', 'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*[\'"]HTTP_ACCEPT_LANGUAGE', 'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*\\\\[\'"]HTTP_ACCEPT_LANGUAGE', '{\\s*\\$\\s*{\\s*passthru\\s*\\(?\\s*\\$cmd\\s*\\)\\s*}\\s*}\\s*<br>', 'runcommand\\s*\\(\\s*[\'"]shellhelp[\'"]\\s*,\\s*[\'"](GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]', 'ncftpput\\s*-u\\s*\\$ftp_user_name', '\\$login\\s*=\\s*@?posix_getuid\\(?\\s*\\)?', '!@?\\$_REQUEST\\s*\\[\\s*[\'"]c99sh_surl[\'"]\\s*\\]\\s*\\)', 'setcookie\\(?\\s*[\'"]mysql_web_admin_username[\'"]\\s*\\)?', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]\\$cmd\\s+1>\\s*/tmp/cmdtemp\\s+2>&1;\\s*cat\\s+/tmp/cmdtemp;\\s*rm\\s+/tmp/cmdtemp[\'"]\\);', '\\$fe\\([\'"]\\$cmd\\s+2>&1[\'"]\\)', '\\$function\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}cmd[\'"]{0,1}\\s*\\]\\s*\\)?', '\\$cmd\\s*=\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*\\)', 'eva1[a-zA-Z0-9_]+Sir', '\\$ini\\s*\\[\\s*[\'"]{0,1}users[\'"]{0,1}\\s*\\]\\s*=\\s*array\\s*\\(\\s*[\'"]{0,1}root[\'"]{0,1}\\s*=>', 'proc_open\\s*\\(\\s*[\'"]{0,1}IHSteam', '[\'"]{0,1}httpd\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}vhosts\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}cfg\\.php[\'"]{0,1}\\s*,\\s*[\'"]{0,1}config\\.php[\'"]{0,1}', '\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}root[\'"]{0,1}\\s*\\]\\s*}', 'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*/e[\'"]{0,1}', 'eval\\s*\\(?\\s*file_get_contents\\s*\\(?', '@?setcookie\\s*\\(?\\s*[\'"]{0,1}hit[\'"]{0,1},\\s*1\\s*,\\s*time\\s*\\(?\\s*\\)?\\s*\\+', 'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*@?\\$_', 'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*array_pop\\s*\\(?\\s*@?\\$_', 'fopen\\s*\\(?\\s*[\'"]{0,1}/etc/passwd[\'"]{0,1}', '\\$GLOBALS\\[[\'"]{0,1}____', 'is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\)?\\s+and\\s+!in_array\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*,\\s*\\$disablefuncs', 'file_get_contents\\s*\\(?\\s*trim\\s*\\(\\s*\\$.+?\\[\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}.+?[\'"]{0,1}\\]\\]\\)\\);', 'wp_posts\\s+WHERE\\s+post_type\\s*=\\s*[\'"]{0,1}post[\'"]{0,1}\\s+AND\\s+post_status\\s*=\\s*[\'"]{0,1}publish[\'"]{0,1}\\s+ORDER\\s+BY\\s+`ID`\\s+DESC', 'exec\\s*\\(\\s*[\'"]ipfw', 'strrev\\(?\\s*[\'"]{0,1}tressa[\'"]{0,1}\\s*\\)?', 'strrev\\(?\\s*[\'"]{0,1}edoced_46esab[\'"]{0,1}\\s*\\)?', 'function\\s+urlGetContents\\s*\\(?\\s*\\$url\\s*,\\s*\\$timeout\\s*=\\s*\\d+\\s*\\)', 'fwrite\\s*\\(?\\s*\\$fpsetv\\s*,\\s*getenv\\s*\\(\\s*[\'"]HTTP_COOKIE[\'"]\\s*\\)\\s*', 'isset\\s*\\(?\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}execgate[\'"]{0,1}\\s*\\]\\s*\\)?', 'UNION\\s+SELECT\\s+[\'"]{0,1}0[\'"]{0,1}\\s*,\\s*[\'"]{0,1}<\\? system\\(\\\\\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[cpc\\]\\);exit;\\s*\\?>[\'"]{0,1}\\s*,\\s*0\\s*,0\\s*,\\s*0\\s*,\\s*0\\s+INTO\\s+OUTFILE\\s+[\'"]{0,1}\\$[\'"]{0,1}', '\\$GLOBALS\\[[\'"]{0,1}.+?[\'"]{0,1}\\]=Array\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)', 'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*\\[.+?\\]\\?/e[\'"]{0,1}\\s*,\\s*str_replace', '\\$GLOBALS\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\d+\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*\\)', '\\$beecode\\s*=@?file_get_contents\\s*\\(?[\'"]{0,1}\\s*\\$urlpurs\\s*[\'"]{0,1}\\)?\\s*;\\s*echo\\s+[\'"]{0,1}\\$beecode[\'"]{0,1}', '\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"]', '<\\?php\\s+\\$_F\\s*=\\s*__FILE__\\s*;\\s*\\$_X\\s*=', 'if\\s+\\(?\\s*mail\\s*\\(\\s*\\$recp\\s*,\\s*\\$subj\\s*,\\s*\\$stunt\\s*,\\s*\\$frm', 'if\\s+\\(\\s*strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/mootools\\.js[\'"]\\s*\\)\\s*===\\s*false\\s+&&\\s+strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/caption\\.js[\'"]{0,1}', 'eval\\s*\\(?\\s*stripslashes\\s*\\(?\\s*array_pop\\(?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'if\\s*\\(?\\s*isset\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\]\\s*\\)?\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\];\\s*eval\\s*\\(?\\s*\\$\\w+\\s*\\)?', 'preg_replace\\s*\\(\\s*[\'"]/\\^\\(www\\|ftp\\)\\\\\\./i[\'"]\\s*,\\s*[\'"][\'"],\\s*@\\$_SERVER\\s*\\[\\s*[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\s*\\]\\s*\\)', 'if\\s*\\(!function_exists\\s*\\(\\s*[\'"]posix_getpwuid[\'"]\\s*\\)\\s*&&\\s*!in_array\\s*\\(\\s*[\'"]posix_getpwuid', '=\\s*preg_split\\s*\\(\\s*[\'"]/\\\\,\\(\\\\ \\+\\)\\?/[\'"],\\s*@?ini_get\\s*\\(\\s*[\'"]disable_functions', '\\$b\\s*\\.\\s*\\$p\\s*\\.\\s*\\$h\\s*\\.\\s*\\$k\\s*\\.\\s*\\$v', '\\(\\s*[\'"]INSHELL[\'"]\\s*', '(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]___[\'"]\\s*', 'array_pop\\s*\\(?\\s*\\$workReplace\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*,\\s*\\$countKeysNew', 'if\\s*\\(?\\s*@?preg_match\\s*\\(?\\s*str', '@\\$_COOKIE\\[[\'"]{0,1}statCounter[\'"]{0,1}\\]', 'fopen\\s*\\(?\\s*[\'"]http://[\'"]\\s*\\.\\s*\\$check_domain\\s*\\.\\s*[\'"]:80[\'"]\\s*\\.\\s*\\$check_doc\\s*,\\s*[\'"]r[\'"]', '@?gzinflate\\s*\\(\\s*@?base64_decode\\s*\\(\\s*@?str_replace', 'file_put_contentz\\s*\\(?\\s*\\$', '&&\\s*function_exists\\s*\\(?\\s*[\'"]{0,1}getmxrr[\'"]{0,1}\\)\\s*\\)\\s*{\\s*@getmxrr\\s*\\(?\\s*\\$', '\\$postResult\\s*=\\s*curl_exec\\s*\\(?\\s*\\$ch', 'function\\s+sql2_safe\\s*\\(', 'exit\\s*\\(\\s*[\'"]{0,1}<script>\\s*setTimeout\\s*\\(\\s*\\\\[\'"]{0,1}document\\.location\\.href', 'eval\\(\\s*stripslashes\\(\\s*\\\\\\$_REQUEST', '!touch\\([\'"]{0,1}\\.\\./\\.\\./language/', 'Dc0RHa[\'"]', 'header\\s*\\([\'"]Location:\\s*[\'"]\\s*\\.\\s*\\$to\\s*\\.\\s*urldecode', 'if\\s*\\(\\s*stripos\\s*\\(\\s*\\$_SERVER\\[[\'"]{0,1}HTTP_USER_AGENT[\'"]{0,1}\\]\\s*,\\s*[\'"]{0,1}Android[\'"]{0,1}\\)\\s*!==false\\s*&&\\s*!\\$_COOKIE\\[[\'"]{0,1}dle_user_id', 'echo\\s+@file_get_contents\\s*\\(\\s*\\$get', 'default_action\\s*=\\s*[\'"]{0,1}FilesMan[\'"]{0,1}', 'Mysterious\\s+Wire', 'preg_replace\\s*\\(?\\s*[\'"]/\\.\\+/esi', 'define\\s*\\(?\\s*[\'"]SBCID_REQUEST_FILE[\'"]\\s*,', '\\$tld\\s*=\\s*array\\s*\\(\\s*[\'"]com[\'"],[\'"]org[\'"],[\'"]net[\'"]', 'Brazil\\s+HackTeam', 'if\\(!empty\\(\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)\\s+AND\\s+\\(md5\\(\\$_POST\\[[\'"]{0,1}nick[\'"]{0,1}\\]\\)\\s*==\\s*[\'"]{0,1}', 'time\\(\\)\\s*\\+\\s*10000\\s*,\\s*[\'"]/[\'"]\\);\\s*echo\\s+\\$m_zz;\\s*eval\\s*\\(\\$m_zz', 'return\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'echo\'\\s*\\)\\s*==\\s*false\\s*\\?\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'print\'', 'set_time_limit\\s*\\(\\s*0\\s*\\);\\s*if\\s*\\(!SecretPageHandler::checkKey', '@header\\([\'"]Location:\\s*[\'"]\\.[\'"]h[\'"]\\.[\'"]t[\'"]\\.[\'"]t[\'"]\\.[\'"]p[\'"]', 'IrSecTeam', '\\$rBuffLen\\s*=\\s*ord\\s*\\(\\s*VC_Decrypt\\s*\\(\\s*fread\\s*\\(\\s*\\$input,\\s*1\\s*\\)\\s*\\)\\s*\\)\\s*\\*\\s*256', 'clearstatcache\\(\\s*\\);\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$fld\\s*\\)\\s*\\)\\s*return', 'content=[\'"]{0,1}no-cache[\'"]{0,1};\\s*\\$config\\[[\'"]{0,1}description[\'"]{0,1}\\]\\s*\\.=\\s*[\'"]{0,1}', 'tmhapbzcerff', 'file_get_contents\\s*\\(?\\s*ADMIN_REDIR_URL\\s*,\\s*false\\s*,\\s*\\$ctx\\s*\\)', 'if\\s*\\(\\s*\\$i\\s*<\\s*\\(\\s*count\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}q[\'"]{0,1}\\s*\\]\\s*\\)\\s*-\\s*1', 'isset\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]', '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\s*\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\s*\\)\\s*\\]', '@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}message[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*,\\s*\\$security_code\\s*\\.\\s*"/"\\s*\\.\\s*\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)', 'eval\\s*\\(?\\s*strrev\\s*\\(?\\s*str_replace', '\\$res=mysql_query\\([\'"]{0,1}SELECT\\s+\\*\\s+FROM\\s+`watchdog_old_05`\\s+WHERE\\s+page', '\\^downloads/\\(\\[0-9\\]\\*\\)/\\(\\[0-9\\]\\*\\)/\\$\\s+downloads\\.php\\?c=\\$1&p=\\$2', 'preg_replace\\s*\\(\\s*\\$exif\\[\\s*\\\\[\'"]Make\\\\[\'"]\\s*\\]\\s*,\\s*\\$exif\\[\\s*\\\\[\'"]Model\\\\[\'"]\\s*\\]', 'fclose\\(\\$f\\);\\s*echo\\s*[\'"]o\\.k\\.[\'"]', 'function\\s+inject\\(\\$file,\\s*\\$injection=', 'execl\\([\'"]/bin/sh[\'"]\\s*,\\s*[\'"]/bin/sh[\'"]\\s*,\\s*[\'"]-i[\'"]\\s*,\\s*0\\)', 'find\\s+/\\s+-type\\s+f\\s+-perm\\s+-04000\\s+-ls', 'if\\s*\\(\\s*function_exists\\s*\\(\\s*\'pcntl_fork', 'urlencode\\(print_r\\(array\\(\\),1\\)\\),5,1\\)\\.c\\),\\$c\\);}eval\\(\\$d\\)', 'array_key_exists\\s*\\(\\s*\\$fileRas\\s*,\\s*\\$fileType\\)\\s*\\?\\s*\\$fileType\\[\\s*\\$fileRas\\s*\\]', 'if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$handle\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'if\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}path[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}[\'"]{0,1}\\s*\\)\\s*{\\s*\\$uploadfile\\s*=\\s*\\$_FILES\\[\\s*[\'"]{0,1}file[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}name[\'"]{0,1}\\s*\\]', 'if\\s*\\(\\s*\\$dataSize\\s*<\\s*BOTCRYPT_MAX_SIZE\\s*\\)\\s*rc4\\s*\\(\\s*\\$data,\\s*\\$cryptkey', ',\\s*array\\s*\\(\'\\.\',\'\\.\\.\',\'Thumbs\\.db\'\\)\\s*\\)\\s*\\)\\s*{\\s*continue;\\s*}\\s*if\\s*\\(\\s*is_file', '\\)\\s*\\.\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*strrev\\s*\\(\\s*\\$', 'assert\\s*\\(\\s*@?stripslashes', '[\'"]e/\\*\\./[\'"]', 'echo[\'"]{0,1}<center><b>Done\\s*==>\\s*\\$userfile_name', 'if\\s*\\(\\$key\\s*!=\\s*[\'"]{0,1}mail_to[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_server[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_port', 'strpos\\(\\$ua,\\s*[\'"]{0,1}yandexbot[\'"]{0,1}\\)\\s*!==\\s*false', 'if\\(CheckIPOperator\\(\\)\\s*&&\\s*!isModem\\(\\)\\)', 'url=<\\?php\\s*echo\\s*\\$rand_url;\\?>', 'echo\\s*[\'"]answer=error[\'"]', '\\$post\\s*=\\s*[\'"]\\\\x77\\\\x67\\\\x65', 'if\\s*\\(detect_mobile_device\\(\\)\\)\\s*{\\s*header', 'IrIsT\\.Ir', '\\$letter\\s*=\\s*str_replace\\s*\\(\\s*\\$ARRAY\\[0\\]\\[\\$j\\]\\s*,\\s*\\$arr\\[\\$ind\\]\\s*,\\s*\\$letter', 'create_function\\s*\\(\\s*[\'"]\\$m[\'"]\\s*,\\s*[\'"]if\\s*\\(\\s*\\$m\\s*\\[\\s*0x01\\s*\\]\\s*==\\s*[\'"]L[\'"]', '\\$p\\s*=\\s*strpos\\(\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)', '\\$user_agent\\s*=\\s*preg_replace\\s*\\(\\s*[\'"]\\|User\\\\\\.Agent\\\\:\\[\\\\s \\]\\?\\|i[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$user_agent', 'print\\("\\#\\s+info\\s+OK\\\\n\\\\n"\\)', '\\]\\s*}\\s*=\\s*trim\\s*\\(\\s*array_pop\\s*\\(\\s*\\${\\s*\\${', '\\]=[\'"]{0,1}ip[\'"]{0,1}\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_SERVER\\[', 'print\\s*\\$sock "PRIVMSG "\\.\\$owner', 'if\\(/\\^\\\\:\\$owner!\\.\\*\\\\@\\.\\*PRIVMSG\\.\\*:\\.msgflood\\(\\.\\*\\)/\\){', '\\[-\\]\\s+Connection\\s+faild', '<!--\\#exec\\s+cmd=[\'"]{0,1}\\$HTTP_ACCEPT[\'"]{0,1}\\s*-->', '[\'"]{0,1}From:\\s*[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}realname[\'"]{0,1}\\]\\.[\'"]{0,1} [\'"]{0,1}\\.[\'"]{0,1} <[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}from[\'"]{0,1}\\]\\.[\'"]{0,1}>\\\\n[\'"]{0,1}', 'if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$FullPath\\s*\\)\\s*\\)\\s*AllDir\\s*\\(\\s*\\$FullPath\\s*,\\s*\\$Files\\s*\\);\\s*}\\s*}', '\\$p\\s*=\\s*strpos\\s*\\(\\s*\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)', 'preg_match_all\\([\'"]{0,1}/<a href="\\\\/url\\\\\\?q=\\(\\.\\+\\?\\)\\[&\\|"\\]\\+/is[\'"]{0,1}, \\$page\\[[\'"]{0,1}exe[\'"]{0,1}\\], \\$links\\)', '\\$url\\s*=\\s*\\$url\\s*\\.\\s*[\'"]{0,1}\\?[\'"]{0,1}\\s*\\.\\s*http_build_query\\(\\$query\\)', 'print\\s+\\$sock\\s+[\'"]{0,1}NICK [\'"]{0,1}\\s+\\.\\s+\\$nick\\s+\\.\\s+[\'"]{0,1}\\\\n[\'"]{0,1}', 'PRIVMSG\\.\\*:\\.owner\\\\s\\+\\(\\.\\*\\)', '\\$resultFUL\\s*=\\s*stripcslashes\\s*\\(\\s*\\$_POST\\[[\'"]{0,1}resultFUL[\'"]{0,1}', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\s*\\)', 'if\\s*\\(\\s*@?md5\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'echo\\s+file_get_contents\\s*\\(\\s*base64_url_decode\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'fwrite\\s*\\(\\s*\\$fh\\s*,\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'if\\s*\\(\\s*mail\\s*\\(\\s*\\$mails\\[\\$i\\]\\s*,\\s*\\$tema\\s*,\\s*base64_encode\\s*\\(\\s*\\$text', '\\$gzip\\s*=\\s*@?gzinflate\\s*\\(\\s*@?substr\\s*\\(\\s*\\$gzencode_arg', 'move_uploaded_file\\(\\$_FILES\\[[\'"]{0,1}elif[\'"]{0,1}\\]\\[[\'"]{0,1}tmp_name', 'header\\([\'"]{0,1}s:\\s*[\'"]{0,1}\\s*\\.\\s*php_uname\\s*\\(\\s*[\'"]{0,1}n[\'"]{0,1}\\s*\\)', 'By\\s+WebRooT', '\\$OOO0O0O00=__FILE__;\\s*\\$OO00O0000\\s*=\\s*0x1b540;\\s*eval', '\\$mailer\\s*=\\s*\\$_POST\\[[\'"]{0,1}x_mailer[\'"]{0,1}\\]', 'preg_match\\([\'"]/\\(yandex\\|google\\|bot\\)/i[\'"],\\s*getenv\\([\'"]HTTP_USER_AGENT', 'echo\\s+\\$ifupload=[\'"]{0,1}\\s*ItsOk\\s*[\'"]{0,1}', 'fsockopen\\s*\\(\\s*\\$ConnectAddress\\s*,\\s*25', '\\$_SESSION\\[[\'"]{0,1}session_pin[\'"]{0,1}\\]\\s*=\\s*[\'"]{0,1}\\$PIN', '\\$url[\'"]{0,1}\\s*\\.\\s*\\$session_id\\s*\\.\\s*[\'"]{0,1}/login\\.html', 'f\\s*=\\s*\\$q\\s*\\.\\s*\\$a\\s*\\.\\s*\\$b\\s*\\.\\s*\\$x', 'if\\s*\\(md5\\(trim\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'die\\s*\\(\\s*PHP_OS\\s*\\.\\s*chr\\s*\\(', 'create_function\\s*\\([\'"][\'"]\\s*,\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)', '\\$headers\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}headers[\'"]{0,1}\\]', 'file_put_contents\\s*\\([\'"]{0,1}1\\.txt[\'"]{0,1}\\s*,\\s*print_r\\s*\\(\\s*\\$_POST\\s*,\\s*true', 'fwrite\\s*\\(\\s*\\$flw\\s*,\\s*\\$fl\\s*\\)', '\\$sys_params\\s*=\\s*@?file_get_contents', '\\$allemails\\s*=\\s*@split\\("\\\\n"\\s*,\\s*\\$emaillist\\)', 'file_put_contents\\(SVC_SELF\\s*\\.\\s*[\'"]/\\.htaccess', 'create_function\\([\'"][\'"],\\s*\\$opt\\[1\\]\\s*\\.\\s*\\$opt\\[4\\]', '<script\\s+type=[\'"]{0,1}text/javascript[\'"]{0,1}\\s+src=[\'"]{0,1}jquery-u\\.js[\'"]{0,1}></script>', 'URL=<\\?echo\\s+\\$index;\\s+\\?>', '\\#\\s*securityspace\\.com', '\\#\\s*stealth\\s*bot', 'Apple\\s+SpAm\\s+ReZulT', 'is_writable\\(\\$dir\\.[\'"]wp-includes/version\\.php[\'"]', 'if\\(empty\\(\\$_COOKIE\\[[\'"]x[\'"]\\]\\)\\){echo', '\\)\\];}if\\(isset\\(\\$_SERVER\\[_', 'if\\(@\\$vars\\(get_magic_quotes_gpc\\(\\)\\s*\\?\\s*stripslashes\\(\\$uri\\)', 'base[\'"]{0,1}\\.\\(\\d+\\s*\\*\\s*\\d+\\)', '\\$param\\s*=\\s*\\$param\\s*x\\s*\\$n\\.substr\\s*\\(\\$param\\s*,\\s*length\\(\\$param\\)', 'register_shutdown_function\\(\\s*[\'"]{0,1}read_ans_code', 'base64_decode\\(\\$_POST\\[[\'"]{0,1}_-', 'if\\(isset\\(\\$_POST\\[[\'"]{0,1}msgsubject[\'"]{0,1}\\]\\)\\)', 'mail\\(\\$arr\\[[\'"]{0,1}to[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}subj[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}msg[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}head[\'"]{0,1}\\]\\);', 'file_get_contents\\(trim\\(\\$f\\[\\$_GET\\[', 'ini_get\\([\'"]{0,1}filter\\.default_flags[\'"]{0,1}\\)\\){foreach', 'chunk_split\\(base64_encode\\(fread\\(\\${\\${[\'"]{0,1}', '\\$str=[\'"]{0,1}<h1>403\\s+Forbidden</h1><!--\\s*token:', '<\\?php\\s+rename\\([\'"]wso\\.php[\'"]', '\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/\\s*\\.\\s*\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/', '@?mail\\(\\$mosConfig_mailfrom, \\$mosConfig_live_site', '\\$t=\\$s;\\s*\\$o\\s*=\\s*[\'"][\'"];\\s*for\\(\\$i=0;\\$i<strlen\\(\\$t\\);\\$i\\+\\+\\){\\s*\\$o\\s*\\.=\\s*\\$t{\\$i}', 'mmcrypt\\(\\$data, \\$key, \\$iv, \\$decrypt = FALSE', 'tnega_resu_ptth', 'tsoh_ptth', 'REREFER_PTTH', 'webi\\.ru/webi_files/php_libmail', 'substr_count\\(getenv\\(\\\\[\'"]HTTP_REFERER', 'function reload\\(\\){header\\("Location', 'img src=[\'"]opera000\\.png', 'echo\\s*md5\\(\\$_POST\\[[\'"]{0,1}check[\'"]{0,1}\\]', 'eVaL\\(\\s*trim\\(\\s*baSe64_deCoDe\\(', 'fsockopen\\(\\$m\\[0\\],\\$m\\[10\\],\\$_,\\$__,\\$m', '[\'"]=>\\${\\${[\'"]\\\\x', 'preg_replace\\([\'"].UTF\\\\-8:\\(.\\*\\).Use', '::[\'"]\\.phpversion\\(\\)\\.[\'"]::', '@stream_socket_client\\([\'"]{0,1}tcp://\\$', '==0\\){jsonQuit\\(\\$', 'loc\\s*=\\s*[\'"]{0,1}<\\?echo\\s+\\$redirect;\\s*\\?>', 'array\\(\\$en,\\$es,\\$ef,\\$el\\)', '[\'"]{0,1}.c.[\'"]{0,1}\\.substr\\(\\$vbg,', 'fuck\\s+your\\s+mama', 'call_user_func\\(\\s*[\'"]action[\'"]\\s*\\.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'str_replace\\(\\$find\\s*,\\s*\\$find\\s*\\.\\s*\\$html\\s*,\\s*\\$text', 'file_exists\\s*\\(?\\s*[\'"]/var/tmp/', '&&\\s*!empty\\(\\s*\\$_COOKIE\\[[\'"]fill[\'"]\\]', 'function\\s+inDiapason', 'make_dir_and_file\\(\\s*\\$path_joomla', 'listing_page\\(\\s*notice\\(\\s*[\'"]symlinked', 'list\\s*\\(\\s*\\$host\\s*,\\s*\\$port\\s*,\\s*\\$size\\s*,\\s*\\$exec_time', 'filemtime\\(\\$basepath\\s*\\.\\s*[\'"]/configuration\\.php', 'function\\s+read_pic\\(\\s*\\$A\\s*\\)\\s*{\\s*\\$a\\s*=\\s*\\$_SERVER', 'chr\\(\\s*\\$table\\[\\s*\\$string\\[\\s*\\$i\\s*\\]\\s*\\*\\s*pow\\(64\\s*,\\s*1', '\\]\\s*\\){eval\\(\\s*\\$[a-zA-Z0-9_]+\\[\\s*\\$', 'Location::isFileWritable\\(\\s*EncodeExplorer::getConfig', 'by\\s+Shunceng', '{eval\\(\\${\\$s2', 'eval\\(\\$s21\\(\\${\\$', 'RamZkiE\\s+-\\s+exploit', '[\'"]remove_scripts[\'"]\\s*=>\\s*array\\([\'"]Remove', '\\$back_connect_pl\\s*=\\s*[\'"]', '\\$site_root\\.\\$fileunp_dir\\.\\$fileunp_fn', '@preg_replace\\([\'"]/ad/e', '<b>\\$uid\\s*\\(\\$uname\\)</b>', 'Fx29Googler', 'envir0nn', 'array\\([\'"]\\*/[\'"],[\'"]/\\*[\'"]\\),base64_decode', '<\\?=\\s*@php_uname\\(\\);\\s*\\?>', 'sUxCrew\\s+V', 'WarBot\\s+sUxCrew', 'exec\\([\'"]cd\\s+/tmp;curl\\s+-O\\s+[\'"]\\.\\$url', 'Batavi4\\s+Shell', '@extract\\(\\$_REQUEST\\[[\'"]fx29shcook', 'TuX_Shadow', '=@fopen\\s*\\([\'"]php\\.ini[\'"]\\s*,\\s*[\'"]w', 'LebayCrew', '\\$headers\\s*\\.=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]eMailAdd[\'"]\\s*\\]', 'bogel\\s*-\\s*exploit', '\\[uname\\][\'"]\\s*\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"]\\[/uname\\]', '\\]\\(\\$_1,\\$_1\\)\\);else{\\$GLOBALS', 'file:file:////', 'function\\s+MCLogin\\(\\)\\s*{\\s*die', '{echo [\'"]yes[\'"]; exit;}else{echo [\'"]no[\'"]; exit;}}}', ';\\?><\\?=\\${[\'"]_[\'"]\\.\\$_}\\[[\'"]_[\'"]\\]', '\\$a\\[1\\]==[\'"]bypassip[\'"]\\);\\$c=self::c1', '\\$dir\\.[\'"]/[\'"]\\.\\$f\\.[\'"]/wp-config\\.php', 'eval\\([\'"]return\\s+eval', 'fwrite\\(\\$[a-zA-Z0-9_]+,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\([\'"]gbk[\'"],[\'"]utf-8//IGNORE[\'"],\\$body', 'echo\\s+[\'"]__success__[\'"]\\s*\\.\\s*\\$NowSubFolders\\s*\\.\\s*[\'"]__success__', 'ob_start\\(\\);\\s*var_dump\\(\\$_POST\\s*,\\s*\\$_GET\\s*,\\s*\\$_COOKIE\\s*,\\s*\\$_FILES', 'getenv\\("HTTP_HOST"\\)\\.\' ~ Shell I', 'eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode', 'assert\\(\\$[a-zA-Z0-9_]+\\(', '\\$defacer=\'ReZK2LL', '<%\\s*eval\\s+request', 'new_time\\(\\$path2file,\\$GLOBALS', '\\$str=str_replace\\("\\[t\\d+\\]"\\s*,\\s*"<\\?",\\s*\\$res\\);', '\\$__a="[a-zA-Z0-9_]+";\\s*\\$__a\\s*=\\s*str_replace\\("[a-zA-Z0-9_]+",\\s*"[a-zA-Z0-9_]+",\\s*\\$__a\\);', '<!--\\w{32}--><\\?php\\s*@ob_start\\(\\);@ini_set', 'if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{\\$function', '\\$s\\("~\\[discuz\\]~e",\\$_POST', 'PlgSystemXcalendarHelper::getInstance\\(\\)', 'is_dir_empty\\(\\$_POST\\[[\'"]directory[\'"]\\]\\)\\)\\s*{\\s*echo\\s+1;', 'if\\(isset\\(\\$_POST\\[[\'"]__bscode', 'base64_encode\\(clean_url\\(\\$_SERVER', '\\$_GET\\[[\'"]mod[\'"]\\]==[\'"]0XX', '\\$folder\\.[\'"]/please_rename_UNZIPFIRST\\.zip', '@\\$strings\\(str_rot13\\(\'riny\\(onfr64_qrpbqr', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\)', '\\$this->server\\s*=\\s*[\'"]http://[\'"]\\.\\$this->server\\.[\'"]/img/\\?q=', 'echo\\s*"<center><b>Done\\s*==>\\s*\\$userfile_name', 'file_get_contents\\(\\$[a-zA-Z0-9_]+\\);\\s*[a-zA-Z0-9_]+\\([\'"]https://dl\\.dropboxusercontent\\.com', 'if\\(file_exists\\(\\$newPath\\)\\)\\s*{\\s*echo\\s*"publish success', 'function\\s+KillMe\\(\\)\\s*{\\s*unlink\\(\\s*MyFileName\\(\\)', '<\\?php\\s*error_reporting\\(E_ERROR\\);\\s*\\$remote_path="http://', 'echo\\s+php_uname\\(\\);\\s*@unlink\\(__FILE__\\);', '<title><\\?php\\s+echo\\s+\\$shell_title;\\s+\\?></title>', 'chr\\(ord\\(\\$str\\[\\$i\\]\\)\\s*\\^\\s*\\$key\\);\\s*eval\\(\\$ev\\);', '\\$wp__wp=\\$wp__wp\\(str_replace', '<\\?php\\s*\\$wp__wp=', '<\\?php\\s*eval\\([\'"]\\\\x65', '@preg_replace\\([\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '<title>W3Lcome</title>', 'if\\(stristr\\(\\$files\\[\\$i\\],\\s*[\'"]php[\'"]\\)\\)\\s*{\\s*\\$time\\s*=\\s*filemtime', '\\)\\){\\s*include\\(getcwd\\(\\)\\.[\'"]/[a-zA-Z0-9_]+\\.php[\'"]\\);\\s*exit;}\\s*\\?>', '<title>[\'"]\\.ucfirst\\(\\$key\\)', '<\\?php\\s*/\\*\\s*WSO', 'function_exists\\("c99_sess_put', '3xp1r3\\s*Cyber\\s*Army', 'file_get_contents\\(~\\s*base64_decode\\(', 'hexdec\\(substr\\(md5\\(\\$_SERVER\\[[\'"]REQUEST_URI', 'root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once', '\\$_SERVER\\["REMOTE_ADDR"\\];if\\(\\(preg_match\\("/69\\.42\\.', '<\\?php\\s*if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{', '\\)\\){if\\(isset\\(\\$_FILES\\[[\'"]im[\'"]\\]\\)\\){\\$dim=getcwd\\(\\)', 'class\\s+JSYSOPERATION_SetPassword', '\\);array_filter\\(\\$mcdata\\s*,\\s*base64_decode\\(', '<\\?php if\\(\\$message\\) echo "<p>\\$message</p>"; \\?>\\s*<form', 'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);touch\\(\\$_SERVER\\[[\'"]SCRIPT_FILENAME[\'"]\\],', '<title>FakeSender', '\\$Conf\\s*=\\s*@?file_get_contents\\(\\$pg\\.[\'"]/\\?d=[\'"]\\s*\\.\\s*\\$_SERVER\\[[\'"]HTTP_HOST[\'"]\\]\\);', '<\\?\\s*include\\([\'"][\'"]\\.\\$droot\\.[\'"]/bitrix/images/iblock/', '\\$file\\[\\$key\\]\\s*=\\s*\\$ex\\[0\\]\\.\\$link\\.[\'"]</body>[\'"]\\.\\$ex\\[1\\];', '\\$\\w{1,45}\\[\\$\\w{1,45}\\]=chr\\(ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}\\]\\)\\^ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}%\\$\\w{1,45}\\]\\)\\);return\\s*\\$\\w{1,45};}private static function', 'if\\s*\\(\\s*move_uploaded_file\\(\\s*\\$nazwa_plik\\s*,\\s*\\$uploadfile\\)', 'if\\(strstr\\(\\$tempStr,[\'"]//file end', 'trim\\(\\s*removeBOM\\(\\s*_file_get_contents\\(\\s*API_URL\\s*\\)\\s*\\)\\s*\\)', '\\$\\w{1,45}\\s*=\\s*str_replace\\(\\s*[\'"]\\[t1\\][\'"]\\s*,\\s*[\'"]<.php[\'"]\\s*,\\s*\\$', '\\*/\\$\\w{1,45}\\s*=\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*\\w{1,45}\\s*\\];', 'foreach\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\)\\s*{\\s*\\$Keys\\s*\\.=\\s*chr', 'touch\\(\\$extract_path\\s*\\.\\s*\\$stat\\[[\'"]name[\'"]\\]\\s*,\\s*filemtime\\(\\s*\\$archive_path', '\\$Conf\\s*=\\s*@file_get_contents\\(\\s*[\'"]http://', '\\$zip_status\\s*=\\s*\\$zip->open\\(\\s*[\'"][a-zA-Z0-9_]+\\.zip[\'"]\\s*\\);\\s*if\\s*\\(\\s*\\$zip_status\\s*===\\s*true\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$zip->setPassword', '>config\\s*root\\s*man<', '=\\s*create_function\\([\'"][\'"]\\s*,\\s*\\$JSubMenu\\s*\\)', '\\$arrayRows\\[count\\(\\$arrayRows\\)\\]\\s*=\\s*\\$email\\.[\'"]::1[\'"];', 'Post\\.new\\(URI\\.encode\\("/\\?q=user/password&name\\[\\#post_render', 'unserialize\\(\\s*\\$this->getImageDecodedText\\(\\s*file_get_contents', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_POST\\s*\\[\\s*[\'"].+?[\'"]\\s*\\]\\s*\\.\\s*"\\s*2\\s*>\\s*&1\\s*[\'"]', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]uname\\s+-a[\'"]\\s*\\)?', '@?assert\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*', 'php\\s+[\'"]\\s*\\.\\s*\\$wso_path', 'find\\s+/\\s+-name\\s+\\.ssh\\s+>\\s+\\$dir/sshkeys/sshkeys', 'system\\s*\\(?\\s*[\'"]{0,1}whoami[\'"]{0,1}\\s*\\)?', 'curl_setopt\\s*\\(\\s*\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*[\'"]{0,1}http://\\$host:\\d+[\'"]{0,1}\\s*\\)', '\\beval\\(\\s*\\$\\s*{\\s*\\$[a-zA-Z0-9_]+', 'if\\(\\s*in_array\\(\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\]\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\)\\s*\\$[a-zA-Z0-9_]+=\\$[a-zA-Z0-9_]+\\[rand\\(0,count\\(\\$[a-zA-Z0-9_]+\\)-1\\)\\];', 'arr2html\\(\\$_REQUEST', '\\$mdetails\\s*\\.=\\s*[\'"]<!--Deregister\\(\\)\\s*Default\\s*Widgets:', 'wp_remote_retrieve_body\\(\\s*wp_remote_get\\(\\s*\\$jquery', '@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*\\);\\s*[\'"]\\s*\\);\\s*\\$\\w{1,45}\\(\\s*\\)', 'js_infection\\s*=\\s*array_reverse\\(\\s*str_split', '\\$host\\.[\'"]ui[\'"]\\.[\'"]jquery\\.org/jquery', 'handle_bot_cmd_shell', '{echo\\s*[\'"]200[\'"]\\s*;\\s*exit\\s*;\\s*}', 'eval\\(\\s*KeyRegistration\\(\\s*KeyGeneration', '\\$to\\s*=\\s*base64_decode\\(\\$par\\[1\\]\\);\\s*redirect\\(\\$to\\);', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\);\\s*\\$pager->render_pagelinks\\(\\);', 'eval\\(\\${\\$', 'password\\s*=\\s*str_replace\\([\'"]%%DOMAIN%%[\'"]\\s*,\\s*\\$first_lvl_domain', '\\$_POST\\[gogogo\\]', 'if\\(file_exists\\(\\$redate_file\\)\\){', '\\$this->quit\\(file_put_contents', '\\$data\\s*=\\s*\\$db->{\\s*\\$cmd\\[[\'"]m[\'"]\\]\\s*}\\s*\\(\\s*\\);', '\\$ncontent=gethttpcnt\\(', '\\$testcloack\\s*=\\s*cloack\\(\\$ip\\);', '\\$2\\.php\\?rewrite_params=\\$1&page_url=', '\\$\\w{1,45}\\s*=\\s*\\(\\s*-\\s*\\(\\s*-\\d+\\)\\s*\\+\\s*\\d+', 'return\\s*\\$\\w{1,45}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,45}\\s*,\\s*ceil\\s*\\(\\s*strlen', '=[\'"]base64_decode[\'"]\\s*;\\s*return\\s*\\$\\w{1,45}\\s*\\(\\s*\\$\\w{1,45}\\s*\\)', 'class\\s*WapClick', '\\b(include|include_once|require|require_once)\\s*[\'"]{0,1}zip:', '\\b(include|include_once|require|require_once)\\s*\\(\\s*[\'"]{0,1}zip:', 'file_get_contents\\(SRV_NAME\\s*\\.\\s*[\'"]\\?action=get_sites&noda_name=', 'Location:\\s*[a-zA-Z0-9_]+\\.document\\.exe', 'if\\(!preg_match\\([\'"]/Hacked by/i[\'"],\\$', 'By\\s+Am!r', 'Content-Type:\\s*\\$_', 'eval\\s*\\(?\\s*gzinflate\\s*\\(?\\s*str_rot13', 'if\\s*\\(\\s*is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*\\)?', 'eval\\s*\\(?\\s*get_option\\s*\\(?', 'add_filter\\s*\\(?\\s*[\'"]{0,1}the_content[\'"]{0,1}\\s*,\\s*[\'"]{0,1}_bloginfo[\'"]{0,1}\\s*,\\s*.+?\\)?', 'is_writable\\s*\\(?\\s*[\'"]/var/tmp', 'symlink\\s*\\(?\\s*[\'"]/home/', 'isset\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\s*or\\s*die\\(?.+?\\)?', 'gzuncompress\\s*\\(?\\s*substr\\s*\\(?\\s*base64_decode', '\\$___\\s*=', 'if\\s*\\(\\s*preg_match\\s*\\(\\s*[\'"]\\#yandex', '@setcookie\\([\'"]m[\'"],\\s*[\'"][a-zA-Z0-9_]+[\'"],\\s*time\\(\\)\\s*\\+\\s*86400', 'echo\\s+[\'"]o\\.k\\.[\'"];\\s*\\?>', 'symbian\\|midp\\|wap\\|phone\\|pocket', 'function\\s*chmod_R\\s*\\(\\s*\\$path\\s*,\\s*\\$perm\\s*', 'eval\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13', 'eval\\s*\\(\\s*str_rot13', 'preg_replace\\s*\\(\\s*[\'"]/\\.\\*/', '\\$mailer\\s*=\\s*\\$_POST\\[\\s*[\'"]{0,1}x_mailer[\'"]{0,1}\\s*\\]', 'preg_replace\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'echo\\s+[\'"]{0,1}install_ok[\'"]{0,1}', 'Spam\\s+completed', 'array\\(\\s*[\'"]Google[\'"]\\s*,\\s*[\'"]Slurp[\'"]', '<h1>403 Forbidden</h1><!-- token', '/e[\'"]\\s*,\\s*[\'"]\\\\x', 'php_[\'"]\\.\\$ext\\.[\'"]\\.dll[\'"]{0,1}', 'mx2\\.hotmail\\.com', 'preg_replace\\(\\s*[\'"]e[\'"],[\'"]{0,1}', 'fopen\\([\'"]{0,1}\\.\\./\\.\\./\\.\\./[\'"]{0,1}\\.\\$filepaths', '\\$data\\s*=\\s*array\\([\'"]{0,1}terminal[\'"]{0,1}\\s*=>', '\\$b\\s*=\\s*md5_file\\(\\$fileb\\)', 'portlets/framework/security/login', '\\$fileb\\s*=\\s*file_get_contents', 'site_from=[\'"]{0,1}\\.\\$_SERVER\\[[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\]\\.[\'"]{0,1}&site_folder=[\'"]{0,1}\\.\\$f\\[1\\]', 'while\\(count\\(\\$lines\\)>\\$col_zap\\) array_pop\\(\\$lines\\)', '\\$string\\s*=\\s*\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[[\'"]{0,1}nutzername[\'"]{0,1}\\]', 'if \\(!strpos\\(\\$strs\\[0\\],[\'"]{0,1}<\\?php', '\\$isevalfunctionavailable', 'David\\s+Blaine', 'if \\(date\\([\'"]{0,1}j[\'"]{0,1}\\)\\s*-\\s*\\$newsid', '<!--\\s+js-tools', 'if\\(@preg_match\\(strtr\\([\'"]{0,1}/', '_[\'"]{0,1}\\]\\[2\\]\\([\'"]{0,1}Location:', '\\$_POST\\[[\'"]{0,1}smtp_login', 'if\\s*\\(@is_writable\\(\\$index', '@ini_set\\s*\\([\'"]{0,1}include_path[\'"]{0,1},[\'"]{0,1}ini_get\\s*\\([\'"]{0,1}include_path', 'Zend\\s+Optimization\\s+ver\\s+1\\.0\\.0\\.1', '\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[\\$name\\]\\s*=\\s*\\$value', 'if\\s*\\(function_exists\\([\'"]scan_directory', 'array\\(\\s*[\'"]h[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]p[\'"]', '\\$counterUrl\\s*=\\s*[\'"]{0,1}http://', 'for\\(\\$[a-zA-Z0-9_]+=\\d+;\\$[a-zA-Z0-9_]+<\\d+;\\$[a-zA-Z0-9_]+-=\\d+\\){if\\(\\$[a-zA-Z0-9_]+!=\\d+\\)\\s*break;}', 'if\\(@function_exists\\([\'"]{0,1}fread', '\\$opt\\s*=\\s*\\$file\\(@?\\$_COOKIE\\[', 'preg_replace\\(\\){return\\s+__FUNCTION__', 'if\\s*\\(check_acc\\(\\$login,\\$pass,\\$serv', 'print\\s+[\'"]{0,1}dle_nulled[\'"]{0,1}', 'if\\(mail\\(\\$email\\[\\$i\\],\\s*\\$subject,\\s*\\$message,\\s*\\$headers', 'TeaM\\s+MosTa', '[\'"]{0,1}DZe1r', 'pack\\s+"SnA4x8"', '\\$_Post\\[[\'"]{0,1}SSN[\'"]{0,1}\\]', 'Ethnic\\s+Albanian\\s+Hackers', 'By\\s+DZ27', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}cmd\\.exe', 'Auto\\s*Xploiter', 'by\\s+g00n', 'if\\(\\$o<16\\){\\$h\\[\\$e\\[\\$o\\]', 'if\\(is_dir\\(\\$path\\.[\'"]{0,1}/wp-content[\'"]{0,1}\\)\\s+AND\\s+is_dir\\(\\$path\\.[\'"]{0,1}/wp-admin', 'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*\\$index_path\\s*,\\s*\\$code', '@array\\(\\s*\\(string\\)\\s*stripslashes\\(\\s*\\$_REQUEST', 'str_replace\\s*\\(\\s*[\'"]{0,1}/public_html', 'if\\(\\s*isset\\(\\s*\\$_REQUEST\\[[\'"]{0,1}cid', 'catatan\\s+situs', '/index\\.php\\?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=\\d+', 'setcookie\\(\\s*\\$z\\[0\\]\\s*,\\s*\\$z\\[1\\]', '\\$S\\[\\$i\\+\\+\\]\\(\\$S\\[\\$i\\+\\+\\]\\(', '\\[\\$o\\]\\);\\$o\\+\\+\\){if\\(\\$o<16\\)', 'typeof\\s*\\(dle_admin\\)\\s*==\\s*[\'"]{0,1}undefined[\'"]{0,1}\\s*\\|\\|\\s*dle_admin\\s*==', 'create_function\\(substr\\(2,1\\),\\$s\\)', 'plugins/search/query\\.php\\?____pgfa=http%3A%2F%2Fwww\\.google', 'return\\s+base64_decode\\(\\$a\\[\\$i\\]\\)', '\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'curl_init\\(\\s*base64_decode', 'eval\\([\'"]\\?>[\'"]\\.base64_decode', '[\'"][\'"]\\s*\\.\\s*BAse64_deCoDe', '[\'"][\'"]\\s*\\.\\s*gzUncoMpreSs', 'grep\\s+-v\\s+crontab', 'crc32\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}cmd', '\\$bkeyword_bez=[\'"]', 'file_get_contents\\(basename\\(\\$_SERVER\\[[\'"]{0,1}SCRIPT_NAME', '\\s*[\'"]{0,1}rookee[\'"]{0,1}\\s*,\\s*[\'"]{0,1}webeffector', '\\s*[\'"]{0,1}slurp[\'"]{0,1}\\s*,\\s*[\'"]{0,1}msnbot', 'eval\\s*\\(\\s*TPL_FILE', '@?array_diff_ukey\\(\\s*@?array\\(\\s*\\(string\\)\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '\\$path\\s*=\\s*\\$_SERVER\\[\\s*[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\s*\\]\\s*\\.\\s*[\'"]{0,1}/images/stories/[\'"]{0,1}', '\\$sape_option\\[\\s*[\'"]{0,1}fetch_remote_type[\'"]{0,1}\\s*\\]\\s*=\\s*[\'"]{0,1}socket[\'"]{0,1}', 'file_put_contents\\(\\s*\\$name\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'ereg_replace\\([\'"]{0,1}%5C%22[\'"]{0,1}\\s*,\\s*[\'"]{0,1}%22[\'"]{0,1}\\s*,\\s*\\$message', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}ur[\'"]{0,1}\\]\\)\\)\\s*\\$mode\\s*\\|=\\s*0400', '/plugins/search/query\\.php\\?____pgfa=http', '@?file_put_contents\\(\\s*\\$this->file\\s*,\\s*strrev', 'preg_match_all\\(\\s*[\'"]\\|\\(\\.\\*\\)<\\\\!-- js-tools', 'header\\([\'"]{0,1}r:\\s*no\\s+com', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]ls\\s+/var/mail', '\\$dor_content=preg_replace', '__url_get_contents\\(\\$l', '\\$GLOBALS\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*NULL', 'uname\\][\'"]{0,1}\\s*\\.\\s*php_uname\\(\\)\\s*\\.\\s*[\'"]{0,1}\\[/uname', '@\\$func\\(\\$cfile, \\$cdir\\.\\$cname', '\\beval\\(\\s*\\$[a-zA-Z0-9_]+\\(\\s*\\$<amc', '\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+\\s*\\]\\(\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+', 'eregi\\(\\s*sql_regcase\\(\\s*\\$_', '\\#Use[\'"]{0,1}\\s*,\\s*file_get_contents\\(', 'mkdir\\(\\s*[\'"]/home/', 'fopen\\(\\s*[\'"]/home/', '\\$user_agent_to_filter\\s*=\\s*array\\(', 'file_put_contents\\([\'"]{0,1}\\./libworker\\.so', '\\#!/bin/shncd\\s+[\'"]{0,1}[\'"]{0,1}\\.\\$SCP\\.[\'"]{0,1}[\'"]{0,1}nif', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]{0,1}at\\s+now\\s+-f', 'crontab\\s+-l\\|grep\\s+-v\\s+crontab', 'David\\s*Blaine', 'exploit-db\\.com/search/', 'file_put_contents\\(\\s*[\'"]{0,1}/home', 'mail\\(\\s*\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody', '\\$content\\s*=\\s*http_request\\([\'"]{0,1}http://[\'"]{0,1}\\s*\\.\\s*\\$_SERVER\\[[\'"]{0,1}SERVER_NAME[\'"]{0,1}\\]\\.[\'"]{0,1}/', '!file_put_contents\\(\\s*\\$dbname\\s*,\\s*\\$this->getImageEncodedText\\(\\s*\\$dbname', 'scripts\\[\\s*gzuncompress\\(\\s*base64_decode\\(', 'send_smtp\\(\\s*\\$email\\[[\'"]{0,1}adr[\'"]{0,1}\\]\\s*,\\s*\\$subj\\s*,\\s*\\$text', '=\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'touch\\(\\s*[\'"]{0,1}\\$basepath/components/com_content', '\\([\'"]\\$tmpdir/sess_fc\\.log', 'file_exists\\(\\s*[\'"]/tmp/tmp-server', 'mail\\(\\s*\\$retorno\\s*,\\s*\\$asunto\\s*,\\s*\\$mensaje', '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\)\\s*\\]\\.rand', '__file_get_url_contents\\(\\s*\\$remote_url', '=by\\s+DRAGON=', 'substr\\(\\s*\\$string2\\s*,\\s*strlen\\(\\s*\\$string2\\s*\\)\\s*-\\s*9\\s*,\\s*9\\)\\s*==\\s*[\'"]{0,1}\\[l,r=302\\]', '\\[\\]\\s*=\\s*[\'"]RewriteEngine\\s+on', 'fwrite\\(\\s*\\$f\\s*,\\s*get_download\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'tar\\s+-czf\\s+"\\s*\\.\\s*\\$FORM{tar}\\s*\\.\\s*"\\.tar', 'scopbin[\'"]', '<div\\s+id=[\'"]link1[\'"]><button onclick=[\'"]processTimer\\(\\);[\'"]>', '<guid><\\?php\\s+echo\\s+\\$current_url', 'int32\\(\\(\\(\\$z\\s*>>\\s*5\\s*&\\s*0x07ffffff\\)\\s*\\^\\s*\\$y\\s*<<\\s*2', 'fopen\\(\\s*\\$root_dir\\s*\\.\\s*[\'"]/\\.htaccess', '\\$in_Perms\\s+&\\s+0x4000', 'file_get_contents\\(\\s*[\'"]/var/tmp', '/pmt/rav/', 'fwrite\\(\\$fp\\s*,\\s*strrev\\(\\s*\\$context\\s*\\)\\s*\\)', 'Masri\\s+Cyber\\s+Team', 'Us3\\s+Y0ur\\s+br41n', 'Masr1\\s+Cyb3r\\s+Te4m', 'tHANKs\\s+tO\\s+Snoppy', ',\\s*[\'"]/index\\\\\\.\\(php\\|html\\)/i[\'"]\\s*,\\s*RecursiveRegexIterator', 'file_put_contents\\(\\s*\\$index_path\\s*,\\s*\\$code', 'getprotobyname\\(\\s*[\'"]tcp[\'"]\\s*\\)\\s+\\|\\|\\s+die\\s+shit', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]cd\\s+/tmp;wget', '<a\\s+href=[\'"]oshibka-', 'if\\(\\s*\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]!=\\s*[\'"][\'"]\\s*\\)\\s*\\$id=\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]', 'if\\([\'"]substr_count\\([\'"]\\$_SERVER\\[[\'"]REQUEST_URI[\'"]\\]\\s*,\\s*[\'"]query\\.php[\'"]', '\\$fill = \\$_COOKIE\\[\\\\[\'"]fill\\\\[\'"]\\]', '\\$result=smartCopy\\(\\s*\\$source\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\s*\\$file', '\\$bannedIP\\s*=\\s*array\\(\\s*[\'"]\\^66\\.102', '<loc><\\?php\\s+echo\\s+\\$current_url;', '\\$setcook\\);setcookie\\(\\$set', '\\);function\\s+string_cpt\\(\\$', '[\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"]', 'if\\(preg_match\\([\'"]\\#wordpress_logged_in\\|admin\\|pwd', 'g_delete_on_exit\\s*=\\s*new\\s+DeleteOnExit', 'SELECT\\s+\\*\\s+FROM\\s+dor_pages', 'Academico\\s+Result', 'value=[\'"]<\\?\\s+\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]', '\\d+&@preg_match\\(\\s*strtr\\(', 'chr\\(\\s*hexdec\\(\\s*substr\\(\\s*\\$makeup', 'read_file_new_2\\(\\$result_path', '\\$index_path\\s*,\\s*0404', '\\$file_for_touch\\s*=\\s*\\$_SERVER\\[[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\]', '\\$_SERVER\\[[\'"]{0,1}REMOTE_ADDR[\'"]{0,1}\\];if\\(\\(preg_match\\(', '==\\s*[\'"]cshell[\'"]', 'file_exists\\(\\s*\\$FileBazaTXT', 'resultsign_warning', 'function\\s+getfirstshtag', 'file_get_contents\\(ROOT_DIR\\.[\'"]/templates/[\'"]\\.\\$config\\[[\'"]skin[\'"]\\]\\.[\'"]/main\\.tpl', 'new\\s+conectBase\\([\'"]aHR', '\\$id\\s*\\.\\s*[\'"]\\?d=[\'"]\\s*\\.\\s*base64_encode\\(\\s*\\$_SERVER\\[\\s*[\'"]HTTP_USER_AGENT', 'do_work\\(\\s*\\$index_file\\s*\\)', 'header\\s*\\(\\s*_\\d+\\(', 'By\\s+WebRooT', 'Coded\\s+by\\s+EXE', 'trim\\(\\s*\\$headers\\s*\\)\\s*\\)\\s*as\\s*\\$header\\s*\\)\\s*header\\(\\s*\\$header', '@\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]>[\'"]\\s*\\.\\s*[\'"]\\\\r\\\\n[\'"]', 'file_get_contents\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine', 'touch\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine', 'PHPSHELL_VERSION', '<\\?\\s*=@`\\$[a-zA-Z0-9_]+`', '&_SESSION\\[payload\\]=', 'gzuncompress\\(\\s*file_get_contents\\(\\s*[\'"]http', 'if\\(\\s*!empty\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}tp2[\'"]{0,1}\\s*\\]\\)\\s*and\\s*isset\\(\\s*\\$_POST', 'if\\(\\s*true\\s*&\\s*@preg_match\\(\\s*strtr\\(\\s*[\'"]/', '==\\s*0\\)\\s*{\\s*echo\\s*PHP_OS\\s*\\.\\s*\\$', 'isset\\(\\s*\\$_SERVER\\[\\s*_\\d+\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*\\?\\s*\\$_SERVER\\[\\s*_\\d+\\(\\d+\\)\\s*\\]\\s*:\\s*_\\d+\\(\\d+\\)', '\\$index\\s*=\\s*str_replace\\(\\s*[\'"]<\\?php\\s*ob_end_flush\\(\\);\\s*\\?>[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$index', '\\$status_loc_sh\\s*=\\s*file_exists', '\\$POST_STR\\s*=\\s*file_get_contents\\("php://input', 'ge\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]mes', '\\$table\\[\\$string\\[\\$i\\]\\]\\s*\\*\\s*pow\\(64\\s*,\\s*2\\)\\s*\\+\\s*\\$table', 'if\\(\\s*stripos\\(\\s*[\'"]\\*\\*\\*\\$ua', 'flush_end_file\\(\\s*\\$filename\\s*,\\s*\\$filecontent', 'preg_match\\(\\s*[\'"]{0,1}~Location:\\(\\.\\*\\?\\)\\(\\?:\\\\n\\|\\$', 'touch\\(\\s*\\$this->conf->root', '\\beval\\(\\s*\\${\\s*\\$[a-zA-Z0-9_]+\\s*}\\[', 'if\\s*\\(\\s*@filetype\\(\\$leadon\\s*\\.\\s*\\$file', 'file_put_contents\\(\\s*\\$dir\\s*\\.\\s*\\$file\\s*\\.\\s*[\'"]/index', 'filesize\\(\\s*\\$put_k_failu', 'age\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]{0,1}mes[\'"]\\]', 'function\\s+findHeaderLine\\s*\\(\\s*\\$template', '\\$status_create_glob_file\\s*=\\s*create_file', 'echo\\s+show_query_form\\(\\s*\\$sqlstring', '==\\s*FALSE\\s*\\?\\s*\\d+\\s*:\\s*ip2long', 'function\\s+mailer_spam', 'EditHtaccess\\(\\s*[\'"]RewriteEngine', '\\$pathToDor', '\\$cur_cat_id\\s*=\\s*\\(\\s*isset\\(\\s*\\$_GET', '@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\(\\s*@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\s*\\)\\s*\\)', 'header\\([\'"]Location:\\s*http://\\$pp\\.org', 'return\\s+[\'"]/home/[a-zA-Z0-9_]+/[a-zA-Z0-9_]+/', '[\'"]wp-[\'"]\\s*\\.\\s*generateRandomString', '\\$[a-zA-Z0-9_]+==[\'"]featured[\'"]\\s*\\)\\s*\\){\\s*echo\\s+base64_decode', '\\$[a-zA-Z0-9_]+\\s*=\\s*\\$jq\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]', 'exploit\\s*::\\.</title>', '\\$[a-zA-Z0-9_]+=str_replace\\([\'"]\\*a\\$\\*', 'chr\\(\\s*\\$[a-zA-Z0-9_]+\\s*\\);\\s*}\\s*eval\\(\\s*\\$[a-zA-Z0-9_]+', 'if\\(\\s*isInString1?\\(\\$[a-zA-Z0-9_]+,[\'"]google', '\\$pp\\s*=\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]', 'file_put_contents\\(DIR\\.[\'"]/[\'"]\\.[\'"]index\\.php', '@get_headers\\(\\s*\\$fullpath\\)', '@\\$_GET\\[[\'"]pw[\'"]\\]', 'json_encode\\(alexusMailer', '=[\'"]\\)\\);[\'"]\\)\\);', '=\\s*\\$[a-zA-Z0-9_]+\\(\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(', '\\]\\s*}\\s*\\(\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'request\\.servervariables\\(\\s*[\'"]HTTP_USER_AGENT[\'"]\\s*\\)\\s*,\\s*[\'"]Googlebot', 'eval\\([\'"]\\?>[\'"]\\s*\\.\\s*join\\([\'"][\'"],file\\(\\$', 'setopt\\(\\$ch\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*http_build_query\\(\\$data', 'mysql_connect\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'request\\.servervariables\\([\'"]HTTP_USER_AGENT[\'"]\\),[\'"]aidu[\'"]', '\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\${\\$', 'by\\s+Error\\s+7rB', '@ircservers\\[rand\\s+@ircservers\\]', 'set_time_limit\\(intval\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'nick\\s+[\'"]chanserv[\'"];', 'Magic\\s+Include\\s+Shell', '\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+=create_function\\([\'"][\'"],\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+\\(\\)', 'curlOpen\\(\\$remote_path\\.\\$param_value', 'fwrite\\(\\$fp,[\'"]\\\\xEF\\\\xBB\\\\xBF[\'"]\\.\\$body\\);', '\\$[a-zA-Z0-9_]+\\+\\+\\)\\s*{\\s*\\$[a-zA-Z0-9_]+\\s*=\\s*array_unique\\(array_merge\\(\\$[a-zA-Z0-9_]+\\s*,\\s*[a-zA-Z0-9_]+\\([\'"]\\$[a-zA-Z0-9_]+', 'and\\s*\\(!\\s*strstr\\(\\$ua,[\'"]rv:11[\'"]\\)\\)', 'echo\\s+\\$ok\\s+\\?\\s+[\'"]SHELL_OK[\'"]', ';eval\\(\\$todocontent\\[0\\]\\)', 'or\\s+strtolower\\(@ini_get\\([\'"]safe_mode', 'if\\(!isset\\(\\$_REQUEST\\[chr\\(', '\\$processo\\s*=\\s*\\$ps\\[rand\\s+scalar\\s+@ps\\]', 'echo\\s+[\'"]uname\\s+-a;\\s*\\$uname', '\\.tcpflood\\s+<target>', '\\$bot\\[[\'"]server[\'"]\\]=\\$servban\\[rand\\(0,count\\(', '\\.:\\s+w33d\\s+:\\.', 'BLACKUNIX\\s+CREW', ';\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$', 'case\\s*[\'"]create_symlink[\'"]:', 'socket_connect\\(\\$[a-zA-Z0-9_]+,\\s*[\'"]gmail-smtp-in\\.l\\.google\\.com[\'"]\\s*,\\s*25\\)\\s*==\\s*FALSE', 'call_user_func\\(@unhex\\(0x[a-zA-Z0-9_]+\\)\\(\\$_', '\\$_=@\\$_REQUEST\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\.@\\$_\\(\\$_REQUEST\\[', '\\$GLOBALS\\[\\$GLOBALS\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$GLOBALS\\[', '\\.\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\.[\'"]{[\'"]\\)\\);};unset\\(\\$', 'http_build_query\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\)\\.[\'"]&ip=[\'"]\\s*\\.\\s*\\$_SERVER', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]/sbin/ifconfig[\'"]', '<\\?php\\s+if\\s*\\(isset\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]images[\'"]\\]\\)\\)\\s*{\\$', '<title>GORDO\\s+20', 'copy\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)', 'sprintf\\([a-zA-Z0-9_]+\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\s*\\)', '=\\s*str_replace\\(\\s*[\'"]\\|\\|\\|[a-zA-Z0-9_]+\\|\\|\\|[\'"]\\s*,\\s*[\'"][\'"]', '\\$[a-zA-Z0-9_]+\\[0\\]=pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]\\);array_filter\\(\\$[a-zA-Z0-9_]+,pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]', 'eval\\(\\${\\${"', '--visitorTracker--', '<%--SuExp--%>', 'str_rot13\\(\\s*[\'"]riny', '\\$__a\\s*=\\s*str_replace\\(".",\\s*".",\\s*\\$__.\\);\\s*\\$__.\\s*=\\s*str_replace', 'echo\\s*exec\\([\'"]whoami[\'"]\\);', 'file_put_contents\\([\'"][a-zA-Z0-9_]+\\.php[\'"],\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\],FILE_APPEND\\);', '\\$dirpath\\.[\'"]/[\'"]\\.\\$value\\.[\'"]/wp-config\\.php[\'"]\\)\\.', 'array_diff_ukey\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', '\\$[a-zA-Z0-9_]+=file_get_contents\\([\'"]http://www\\.ask\\.com/web\\?q=', 'if\\(!empty\\(\\s*\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\)\\){copy\\(\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\],\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\);}', 'register_shutdown_function\\s*\\(\\s*create_function\\(\\s*@?\\${\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*,\\s*@?\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\);', '@?filter_var\\s*\\(@?\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\s*\\(\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*=>\\s*\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\)\\s*;', 'if\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]!=\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\){extract\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\);\\s*usort\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\);}', 'declare\\(\\s*ticks=\\d+\\s*\\)\\s*;@?register_tick_function\\(\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\${[\'"]{0,1}_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]{0,1}}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\);', 'define\\([a-zA-Z0-9_]+\\s*,\\s*\\$_SERVER\\[[a-zA-Z0-9_]+\\]\\);\\s*@?register_shutdown_function\\(\\s*create_function\\(\\$[a-zA-Z0-9_]+,[a-zA-Z0-9_]+\\)\\s*\\);', '\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}=@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES);@?!\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]&&@?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\)\\?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}:@?@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\);', 'setcookie\\([\'"][a-zA-Z0-9_]+[\'"]\\s*,\\s*serialize\\(@?\\$_<GPC>\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)', '</div>\\s*<%--PortScan--%>', 'GIF89...<\\?php', '\\$[a-zA-Z0-9_]+\\s*=\\s*fopen\\([\'"][a-zA-Z0-9_]+\\.php[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\);\\s*fputs\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\);\\s*fclose\\(\\$[a-zA-Z0-9_]+\\);\\s*unlink\\(__FILE__\\);', 'CreateJoomCode\\(\\$[a-zA-Z0-9_]+\\);', 'function\\s+CreateWpCode', '<br>[\'"]\\.php_uname\\(\\)\\.[\'"]<br></b>', 'if\\(\\$[a-zA-Z0-9_]+\\s*=\\s*@?strpos\\(\\$[a-zA-Z0-9_]+,"check_meta\\(\\);"\\)\\)', 'if\\(isset\\(\\$_GET\\[[\'"]install[\'"]\\]\\)\\){\\s*\\$db->exec\\([\'"]CREATE TABLE IF NOT EXISTS article', 'arr2html\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\);', 'function\\s+get_text_fr_serv\\(\\s*\\$url_s', 'function\\s+curl_get_from_webpage_one_time\\(\\s*\\$url', '\\$article\\d+\\s*=\\s*explode\\("\\#\\#\\#",\\$str\\d+\\)', 'echo\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\s*.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]', 'file_get_contents\\([\'"]http://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,45}\\.php\\?h=', 'class\\s*LLM_base', 'fn_dolly_get_filename_from_headers', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}', 'eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*\\$\\w{1,45}\\)\\s*;', 'if\\s*\\(!\\s*\\$_POST\\s*\\[[\'"]to[\'"]\\]\\s*&&\\s*!\\s*\\$_GET\\s*\\[[\'"]ch[\'"]\\]\\s*&&\\s*count', 'google\'\\)\\s*!==\\s*false\\s*\\)\\s*\\\\{\\s*header\\(\'HTTP/1\\.0\\s*404', 'call_user_func\\(\\$\\w{1,45},\'\\$code=function', 'eval\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'assert\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[', '<b>eval\\s*\\(\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\s*\\(', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]wget', '==[\'"]\\)\\);return;\\?>', 'uggc://', '\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]=chr\\(\\$[a-zA-Z0-9_]+\\[ord\\(\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\)\\]\\);', '\\$[a-zA-Z0-9_]+\\[chr\\(\\d+\\)\\]\\([a-zA-Z0-9_]+\\(', '\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\["', '\\$[a-zA-Z0-9_]+=array\\([\'"]\\$[a-zA-Z0-9_]+\\[\\s*\\]=array_pop\\(\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+', '\\$[a-zA-Z0-9_]+=pack\\([\'"]H\\*[\'"],substr\\(\\$[a-zA-Z0-9_]+,\\s*-\\d+\\)\\);\\s*return\\s+\\$[a-zA-Z0-9_]+\\(substr\\(', '\\$[a-zA-Z0-9_]+\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\[', '</form>[\'"];if\\(isset\\(\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){if\\(is_uploaded_file\\(\\$_FILES\\[[\'"]\\w{1,45}[\'"]\\]\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){@copy\\(\\$_FILES', '\\./host\\s+encrypt\\s+publickey\\.pub\\s+[\'"]/home', '\\$res_el\\[[\'"]link[\'"]\\]\\.[\'"]-\\|\\|-good[\'"]', '=\\s*explode\\([\'"]_\\|\\|_[\'"],\\$_POST', '\\$current\\s*=\\s*file_get_contents\\([\'"]http://.{0,500}?\\$id[\'"]\\);\\s*file_put_contents\\(\\$id,\\s*\\$current\\);', '\\$domain\\s*=\\s*\\$domains\\[array_rand\\(\\$domains,\\s*1\\)\\];\\s*\\$url', '\\$\\w{1,45}\\s*=\\s*\\$\\w{1,45}\\.[\'"]/api\\.php\\?action=fulltxt&config=[\'"]\\.\\$\\w{1,45}\\.[\'"]&\\w{1,45}=[\'"]\\.\\$\\w{1,45};', '\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\);@eval', 'function\\s*rs2html\\(&\\$rs,\\$ztabhtml=false,\\$zheaderarray=false', 'if\\(isset\\(\\$_GET\\[[\'"]p[\'"]\\]\\)\\)\\s*{\\s*header\\([\'"]Content-Type:\\s*text/html;charset=windows-1251[\'"]\\);\\s*\\$path=\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]', 'session_write_close\\(\\);\\s*LocalRedirect\\(\\$download_dir', 'GetThisIp\\(\\);\\s*if\\(\\$action\\s*==\\s*"fileinfo', 'if\\s*\\(\\s*s\\.indexOf\\([\'"]google[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]bing[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]yahoo[\'"]\\)', '@chmod\\([\'"]\\.htaccess[\'"],\\d+\\);\\s*@chmod\\([\'"]index\\.php[\'"],\\d+\\);', 'ping\\s+-c\\s+[\'"]\\s*\\.\\s*\\$ping_count', 'Antichat\\s+Socks5', 'function\\s+BridgeEstablish2', 'function\\s*__obfuscate_redirect', '\\$_POST\\[\\s*[\'"]pwd[\'"]\\]=[\'"]Weak\\s+Liver', '\\[BITRIX\\]\\s*\\[WordPress\\]\\s*\\[osCommerce\\]\\s*\\[Joomla\\]</h3>', '<title>\\s*Kazuya404', 'if \\(@\\$array\\[\\d+\\] == \\d+\\)\\s*{\\s*header\\s*\\(\\s*[\'"]Location:\\s*\\$url', 'if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]proxy[\'"]\\]\\s*\\)\\s*\\)\\s*{\\s*curl_setopt', '\\b(include|include_once|require|require_once)\\s*\\(\\s*\\$path\\s*\\.\\s*\\$_', 'die\\(substr\\(md5\\(microtime\\(\\)\\)\\s*,', 'function mkdirr\\(\\$pn,\\$mode=null', '\\]}\\){return self::MOBILE_GRADE_A;}', 'if\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\'\\w{1,45}\'\\]\\s*\\)\\s*{\\s*echo\\s*"OK";\\s*exit\\s*\\(\\s*\\);\\s*}', '\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(file_get_contents\\([\'"]http://', '}\\s*=\\s*file_get_contents\\([\'"]http://', 'if\\s*\\(\\s*is_mobile\\(\\s*\\)\\s*\\)\\s*exit\\([\'"]<script', '\\$\\w{1,45}\\s*,\\s*"\\.php\\.suspected"', '\\$\\w{1,45}\\s*=\\s*\\$_GET\\["link"\\];\\s*switch\\s*\\(\\$\\w{1,45}\\)\\s*{\\s*case\\s*"[a-zA-Z0-9_]+"\\s*:\\s*\\$\\w{1,45}="http', 'include_once\\(urldecode\\(', 'gethttpcnt\\(\\$url\\s*,\\s*\\$timeout', ';eval\\(""\\);if', '\\.php";@file_put_contents\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}\\);echo\\s*"http', '@preg_replace\\(\\$exif\\[[\'"]{0,1}ImageDescription', '\\$testcloack\\s*=\\s*cloack\\(\\s*\\$ip\\s*\\)', 'function\\s*get_exec_local', 'preg_match\\("/\\$engines/"\\s*,\\s*\\$_SERVER', 'preg_match\\("/\\$spider/"\\s*,\\s*\\$uagent', 'echo\\s*eval\\s*/\\*\\*/\\s*\\(\'\\?>\'\\s*\\.\\s*join\\(""\\s*,\\s*file'); public static function optimizeSig(&$sigs) { $sigs = array_unique($sigs); foreach ($sigs as &$s) { $s .= '(?<X' . hash('crc32b', $s) . '>)'; } unset($s); $fix = array('([^\\?\\s])\\({0,1}\\.[\\+\\*]\\){0,1}\\2[a-z]*e' => '(?J)\\.[+*](?<=(?<d>[^\\?\\s])\\(..|(?<d>[^\\?\\s])..)\\)?\\g{d}[a-z]*e', 'http://.+?/.+?\\.php\\?a' => 'http://[^?\\s]++(?<=\\.php)\\?a', '\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*' => '.+?', '[\'"]{0,1}.+?[\'"]{0,1}' => '.+?'); $sigs = str_replace(array_keys($fix), array_values($fix), $sigs); $fix = array('~^\\\\[d]\\+&@~' => '&@(?<=\\d..)', '~^((\\[\'"\\]|\\\\s|@)(\\{0,1\\}\\.?|[?*]))+~' => ''); $sigs = preg_replace(array_keys($fix), array_values($fix), $sigs); self::optimizeSigCheck($sigs); $tmp = array(); foreach ($sigs as $i => $s) { if (!preg_match('#^(?>(?!\\.[*+]|\\\\\\d)(?:\\\\.|\\[.+?\\]|.))+$#', $s)) { unset($sigs[$i]); $tmp[] = $s; } } usort($sigs, 'strcasecmp'); $txt = implode('
+', $code); for ($i = 0; $i < count($lines); $i++) { if ($i != 0) { self::displayBreak(); } self::display('  ' . str_pad((string) ($i + 1), strlen((string) count($lines)), ' ', STR_PAD_LEFT) . ' | ', 'yellow'); self::display($lines[$i], 'white', null, false); } if ($log) { self::log($string); } } public static function log($string, $color = '') { $string = trim($string); if (!empty($string)) { $string = trim($string, '.'); $string = str_replace(self::eol(1), ' ', $string); $string = preg_replace('/[\\s]+/m', ' ', $string); $type = 'INFO'; switch ($color) { case 'green': $type = 'SUCCESS'; break; case 'yellow': $type = 'WARNING'; break; case 'red': $type = 'DANGER'; break; } $string = '[' . date('Y-m-d H:i:s') . '] [' . $type . '] ' . $string . PHP_EOL; file_put_contents(Application::$PATH_LOGS, $string, FILE_APPEND); } } public static function escape($string) { return mb_convert_encoding(preg_replace('/(e|\\x1B|[[:cntrl:]]|\\033)\\[([0-9]{1,2}(;[0-9]{1,2})?)?[mGKc]/', '', $string), 'utf-8', 'auto'); } public static function helplist($type = null) { $list = ''; if (empty($type) || $type == 'exploits') { $exploit_list = implode(self::eol(1) . '- ', array_keys(Definitions::$EXPLOITS)); $list .= self::eol(1) . 'Exploits:' . self::eol(1) . "- {$exploit_list}"; } if (empty($type)) { $list .= self::eol(1); } if (empty($type) || $type == 'functions') { $functions_list = implode(self::eol(1) . '- ', Definitions::$FUNCTIONS); $list .= self::eol(1) . 'Functions:' . self::eol(1) . "- {$functions_list}"; } self::displayTitle(trim($type . ' List'), 'black', 'cyan'); self::displayLine($list, 2); die; } public static function helper() { self::displayTitle('Help', 'black', 'cyan'); $dir = __DIR__; $help = "\r\nArguments:\r\n<path>                       - Define the path to scan (default: current directory)\r\n                               ({$dir})\r\n\r\nFlags:\r\n-a   --agile                 - Help to have less false positive on WordPress and others platforms\r\n                               enabling exploits mode and removing some common exploit pattern\r\n-f   --only-functions        - Check only functions and not the exploits\r\n-e   --only-exploits         - Check only exploits and not the functions,\r\n                               this is recommended for WordPress or others platforms\r\n-s   --only-signatures       - Check only virus signatures (like exploit but more specific)\r\n-h   --help                  - Show the available flags and arguments\r\n-l   --log=\"\"                - Write a log file on 'scanner.log' or the specified filepath\r\n-r   --report                - Report scan only mode without check and remove malware. It also write\r\n                               a report with all malware paths found to 'scanner_infected.log'\r\n-u   --update                - Update scanner to last version\r\n-v   --version               - Get version number\r\n\r\n--max-filesize=\"\"            - Set max filesize to scan (default: -1)\r\n\r\n--exploits=\"\"                - Filter exploits\r\n--functions=\"\"               - Define functions to search\r\n--whitelist-only-path        - Check on whitelist only file path and not line number\r\n\r\n--list                       - Get default exploit and functions list\r\n--list-exploits              - Get default exploits list\r\n--list-functions             - Get default functions lists\r\n     \r\nNotes: \r\nFor open files with nano or vim run the scripts with \"-d disable_functions=''\"\r\n\r\nExamples: php -d disable_functions='' scanner ./mywebsite/http/ -l -s --only-exploits\r\n          php -d disable_functions='' scanner -s --max-filesize=\"5MB\"\r\n          php -d disable_functions='' scanner --agile --only-exploits\r\n          php -d disable_functions='' scanner --exploits=\"double_var2\" --functions=\"eval, str_replace\""; self::displayLine($help . self::eol(2) . Application::$ARGV->usage(), 2); die; } }; class CSV { public static function read($filename) { if (!file_exists($filename)) { return array(); } $file_handle = fopen($filename, 'r'); $array = array(); while (!feof($file_handle)) { $array[] = fgetcsv($file_handle, 1024); } fclose($file_handle); return $array; } public static function generate($data, $delimiter = ',', $enclosure = '"') { $handle = fopen('php://temp', 'r+'); foreach ($data as $line) { fputcsv($handle, $line, $delimiter, $enclosure); } $contents = ''; rewind($handle); while (!feof($handle)) { $contents .= fread($handle, 8192); } fclose($handle); return $contents; } public static function write($filename, $data, $delimiter = ',', $enclosure = '"') { $csv = self::generate($data, $delimiter, $enclosure); return file_put_contents($filename, $csv); } }; class Definitions { public static $EXPLOITS = array('eval_chr' => '/chr[\\s\\r\\n]*\\([\\s\\r\\n]*101[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*118[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*97[\\s\\r\\n]*\\)[\\s\\r\\n]*\\.[\\s\\r\\n]*chr[\\s\\r\\n]*\\([\\s\\r\\n]*108[\\s\\r\\n]*\\)/i', 'eval_preg' => '/(preg_replace(_callback)?|mb_ereg_replace|preg_filter)[\\s\\r\\n]*\\(.+(\\/|\\\\x2f)(e|\\\\x65)[\\\'\\"].*?(?=\\))\\)/i', 'eval_base64' => '/eval[\\s\\r\\n]*\\([\\s\\r\\n]*base64_decode[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'eval_comment' => '/(eval|preg_replace|system|assert|passthru|(pcntl_)?exec|shell_exec|call_user_func(_array)?)\\/\\*[^\\*]*\\*\\/\\((?<=\\().*?(?=\\))\\)/', 'eval_execution' => '/(eval\\(\\$[a-z0-9_]+\\((?<=\\()@?\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'align' => '/(\\$\\w+=[^;]*)*;\\$\\w+=@?\\$\\w+\\((?<=\\().*?(?=\\))\\)/si', 'b374k' => '/(\\\'|\\")ev(\\\'|\\")\\.(\\\'|\\")al(\\\'|\\")\\.(\\\'|\\")\\(\\"\\?>/i', 'weevely3' => '/\\$\\w=\\$[a-zA-Z]\\(\'\',\\$\\w\\);\\$\\w\\(\\);/i', 'c99_launcher' => '/;\\$\\w+\\(\\$\\w+(,\\s?\\$\\w+)+\\);/i', 'too_many_chr' => '/(chr\\([\\d]+\\)\\.){8}/i', 'concat' => '/(\\$[\\w\\[\\]\\\'\\"]+\\.[\\n\\r]*){10}/i', 'concat_vars_with_spaces' => '/(\\$([a-zA-Z0-9]+)[\\s\\r\\n]*\\.[\\s\\r\\n]*){6}/', 'concat_vars_array' => '/(\\$([a-zA-Z0-9]+)(\\{|\\[)([0-9]+)(\\}|\\])[\\s\\r\\n]*\\.[\\s\\r\\n]*){6}.*?(?=\\})\\}/i', 'var_as_func' => '/\\$_(GET|POST|COOKIE|REQUEST|SERVER)[\\s\\r\\n]*\\[[^\\]]+\\][\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'global_var_string' => '/\\$\\{[\\s\\r\\n]*(\\\'|\\")_(GET|POST|COOKIE|REQUEST|SERVER)(\\\'|\\")[\\s\\r\\n]*\\}/i', 'extract_global' => '/extract\\([\\s\\r\\n]*\\$_(GET|POST|COOKIE|REQUEST|SERVER).*?(?=\\))\\)/i', 'escaped_path' => '/(\\\\x[0-9abcdef]{2}[a-z0-9.-\\/]{1,4}){4,}/i', 'include_icon' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')([^"\\\']*)(\\.|\\\\056\\\\046\\\\2E)(\\i|\\\\151|\\\\x69|\\\\105)(c|\\\\143\\\\099\\\\x63)(o|\\\\157\\\\111|\\\\x6f)(\\"|\\\')((?=\\))\\))?/mi', 'backdoor_code' => '/eva1fYlbakBcVSir/i', 'infected_comment' => '/\\/\\*[a-z0-9]{5}\\*\\//i', 'hex_char' => '/\\\\[Xx](5[Ff])/i', 'hacked_by' => '/hacked[\\s\\r\\n]*by/i', 'killall' => '/killall[\\s\\r\\n]*\\-9/i', 'globals_concat' => '/\\$GLOBALS\\[[\\s\\r\\n]*\\$GLOBALS[\\\'[a-z0-9]{4,}\\\'\\]/i', 'globals_assign' => '/\\$GLOBALS\\[\\\'[a-z0-9]{5,}\\\'\\][\\s\\r\\n]*=[\\s\\r\\n]*\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\.\\$[a-z]+\\d+\\[\\d+\\]\\./i', 'base64_long' => '/[\\\'\\"][A-Za-z0-9+\\/]{260,}={0,3}[\\\'\\"]/', 'base64_inclusion' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')data\\:text/plain;base64[\\s\\r\\n]*\\,[\\s\\r\\n]*\\$_GET\\[[^\\]]+\\](\\\'|")[\\s\\r\\n]*((?=\\))\\))?/si', 'clever_include' => '/@?include[\\s\\r\\n]*(\\([\\s\\r\\n]*)?("|\\\')[\\s\\r\\n]*[^\\.]+\\.(png|jpe?g|gif|bmp|ico).*?("|\\\')[\\s\\r\\n]*((?=\\))\\))?/i', 'basedir_bypass' => '/curl_init[\\s\\r\\n]*\\([\\s\\r\\n]*[\\"\\\']file:\\/\\/.*?(?=\\))\\)/i', 'basedir_bypass2' => '/file\\:file\\:\\/\\//i', 'non_printable' => '/(function|return|base64_decode).{,256}[^\\x00-\\x1F\\x7F-\\xFF]{3}/i', 'double_var' => '/\\${[\\s\\r\\n]*\\${.*?}(.*)?}/i', 'double_var2' => '/\\${\\$[0-9a-zA-z]+}/i', 'global_save' => '/\\[\\s\\r\\n]*=[\\s\\r\\n]*\\$GLOBALS[\\s\\r\\n]*\\;[\\s\\r\\n]*\\$[\\s\\r\\n]*\\{/i', 'hex_var' => '/\\$\\{[\\s\\r\\n]*(\\\'|\\")\\\\x.*?(?=\\})\\}/i', 'register_function' => '/register_[a-z]+_function[\\s\\r\\n]*\\([\\s\\r\\n]*[\\\'\\"][\\s\\r\\n]*(eval|assert|passthru|exec|include|system|shell_exec|`).*?(?=\\))\\)/i', 'safemode_bypass' => '/\\x00\\/\\.\\.\\/|LD_PRELOAD/i', 'ioncube_loader' => '/IonCube\\_loader/i', 'nano' => '/\\$[a-z0-9-_]+\\[[^]]+\\]\\((?<=\\().*?(?=\\))\\)/', 'ninja' => '/base64_decode[^;]+getallheaders/', 'execution' => '/\\b(eval|assert|passthru|exec|include|system|pcntl_exec|shell_exec|base64_decode|`|array_map|ob_start|call_user_func(_array)?)[\\s\\r\\n]*\\([\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\\))\\)/', 'execution2' => '/\\b(array_filter|array_reduce|array_walk(_recursive)?|array_walk|assert_options|uasort|uksort|usort|preg_replace_callback|iterator_apply)[\\s\\r\\n]*\\([\\s\\r\\n]*[^,]+,[\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\\))\\)/', 'execution3' => '/\\b(array_(diff|intersect)_u(key|assoc)|array_udiff)[\\s\\r\\n]*\\([\\s\\r\\n]*([^,]+[\\s\\r\\n]*,?)+[\\s\\r\\n]*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\\$_(GET|REQUEST|POST|COOKIE|SERVER))[\\s\\r\\n]*\\[[^]]+\\][\\s\\r\\n]*\\)+[\\s\\r\\n]*;/', 'shellshock' => '/\\(\\)[\\s\\r\\n]*{[\\s\\r\\n]*[a-z:][\\s\\r\\n]*;[\\s\\r\\n]*}[\\s\\r\\n]*;/', 'silenced_eval' => '/@eval[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/', 'silence_inclusion' => '/@(include|include_once|require|require_once)[\\s\\r\\n]+([\\s\\r\\n]*\\()?("|\\\')([^"\\\']*)(\\\\x[0-9a-f]{2,}.*?){2,}([^"\\\']*)("|\\\')[\\s\\r\\n]*((?=\\))\\))?/si', 'silence_inclusion2' => '/@(include|include_once|require|require_once)[\\s\\r\\n]+([\\s\\r\\n]*\\()?("|\\\')([^"\\\']*)(\\[0-9]{3,}.*?){2,}([^"\\\']*)("|\\\')[\\s\\r\\n]*((?=\\))\\))?/si', 'ssi_exec' => '/\\<\\!\\-\\-\\#exec[\\s\\r\\n]*cmd\\=/i', 'htaccess_handler' => '/SetHandler[\\s\\r\\n]*application\\/x\\-httpd\\-php/i', 'htaccess_type' => '/AddType\\s+application\\/x-httpd-(php|cgi)/i', 'file_prepend' => '/php_value[\\s\\r\\n]*auto_prepend_file/i', 'iis_com' => '/IIS\\:\\/\\/localhost\\/w3svc/i', 'reversed' => '/(noitcnuf\\_etaerc|metsys|urhtssap|edulcni|etucexe\\_llehs|ecalper\\_rts|ecalper_rts)/i', 'rawurlendcode_rot13' => '/rawurldecode[\\s\\r\\n]*\\(str_rot13[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/i', 'serialize_phpversion' => '/\\@serialize[\\s\\r\\n]*\\([\\s\\r\\n]*(Array\\(|\\[)(\\\'|\\")php(\\\'|\\")[\\s\\r\\n]*\\=\\>[\\s\\r\\n]*\\@phpversion[\\s\\r\\n]*\\((?<=\\().*?(?=\\))\\)/si', 'md5_create_function' => '/\\$md5[\\s\\r\\n]*=[\\s\\r\\n]*.*create_function[\\s\\r\\n]*\\(.*?\\);[\\s\\r\\n]*\\$.*?\\)[\\s\\r\\n]*;/si', 'god_mode' => '/\\/\\*god_mode_on\\*\\/eval\\(base64_decode\\([\\"\\\'][^\\"\\\']{255,}[\\"\\\']\\)\\);[\\s\\r\\n]*\\/\\*god_mode_off\\*\\//si', 'wordpress_filter' => '/\\$md5[\\s\\r\\n]*=[\\s\\r\\n]*[\\"|\\\']\\w+[\\"|\\\'];[\\s\\r\\n]*\\$wp_salt[\\s\\r\\n]*=[\\s\\r\\n]*[\\w\\(\\),\\"\\\'\\;$]+[\\s\\r\\n]*\\$wp_add_filter[\\s\\r\\n]*=[\\s\\r\\n]*create_function\\(.*?\\);[\\s\\r\\n]*\\$wp_add_filter\\(.*?\\);/si', 'password_protection_md5' => '/md5[\\s\\r\\n]*\\([\\s\\r\\n]*@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)[^)]+\\)[\\s\\r\\n]*===?[\\s\\r\\n]*[\\\'\\"][0-9a-f]{32}[\\\'\\"]/si', 'password_protection_sha' => '/sha1[\\s\\r\\n]*\\([\\s\\r\\n]*@?\\$_(GET|REQUEST|POST|COOKIE|SERVER)[^)]+\\)[\\s\\r\\n]*===?[\\s\\r\\n]*[\\\'\\"][0-9a-f]{40}[\\\'\\"]/si', 'custom_math' => '/%\\(\\d+\\-\\d+\\+\\d+\\)==\\(\\-\\d+\\+\\d+\\+\\d+\\)/si', 'custom_math2' => '/\\(\\$[a-zA-Z0-9]+%\\d==\\(\\d+\\-\\d+\\+\\d+\\)/si', 'uncommon_function' => 'function\\s+_[0-9]{8,}\\((?<=\\().*?(?=\\))\\)', 'download_remote_code' => '/file_get_contents[\\s\\r\\n]*\\([\\s\\r\\n]*base64_url_decode[\\s\\r\\n]*\\([\\s\\r\\n]*@*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/i', 'download_remote_code2' => '/fwrite[\\s\\r\\n]*(\\(\\w+\\((?<=\\().*?(?=\\))\\))?[^\\)]*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'download_remote_code3' => '/(file_get_contents|fwrite)[\\s\\r\\n]*\\([\\s\\r\\n]*@?*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'php_uname' => '/php_uname\\(["\'asrvm]+\\)/si', 'etc_passwd' => '/(\\/)*etc\\/+passwd\\/*/si', 'etc_shadow' => '/(\\/)*etc\\/+shadow\\/*/si', 'explode_chr' => '/explode[\\s\\r\\n]*\\(chr[\\s\\r\\n]*\\([\\s\\r\\n]*\\(?\\d{3}([\\s\\r\\n]*-[\\s\\r\\n]*\\d{3})?[\\s\\r\\n]*\\).*?(?=\\))\\)/si', 'imap_open' => '/imap_open\\((\\\'|\\"){(\\\'|\\")[\\s\\r\\n]*\\.[\\s\\r\\n]*\\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\\))\\)/si', 'imap_open_proxy' => '/x[\\s\\r\\n]*\\-oProxyCommand[\\s\\r\\n]*\\=(.*?\\|base64(\\\\t\\-d)?(\\|sh)?)?/si'); public static $FUNCTIONS = array('il_exec', 'shell_exec', 'eval', 'system', 'create_function', 'exec', 'assert', 'syslog', 'passthru', 'define_syslog_variables', 'posix_kill', 'posix_uname', 'proc_close', 'proc_get_status', 'proc_nice', 'proc_open', 'proc_terminate', 'inject_code', 'apache_child_terminate', 'apache_note', 'define_syslog_variables'); public static $SIGNATURES = array('<\\?php\\s*eval\\(\\s*base64_decode\\(\\s*"ew0KaWYgKCFkZWZpbmVkKC[^"]{100,60000}"\\)\\);\\s*(\\?>)?', '<\\?php\\s*eval\\(base64_decode\\("ew0KaWYgKCFkZ.{100,1000}Qp9DQp9"\\)\\);\\?>\\s*', 'eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]{1000,20000}hbC8qbmxpcHlmbWNreSovKGliY2ticmJ2KCRzaXVyeGJyYSwgJHlkKSk7Cn0="\\s*\\)\\s*\\)\\s*;', '<script\\s*[^>]{0,40}>var\\s*(\\w{1,40})\\s*=\\s*\\[["\'][^\\]]{400,550}[\'"]\\];\\s*var\\s*url\\s*=\\s*String\\[\\1\\[\\d\\][^`]{700,950}var\\s*(\\w)\\s*=\\s*true;\\s*for\\(var\\s*i=scrpts\\[\\1\\[15\\]\\];\\w--;\\)\\{if\\(scrpts\\[\\w\\]\\[\\1\\[\\d+\\]\\]\\s*==\\s*\\1\\[\\d+\\]\\)\\{\\2\\s*=\\s*false\\}\\};if\\(\\2\\s*==\\s*true\\)\\{a\\(\\)\\}\\}</script>', '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*\\[(?:[\'"](?:\\\\x\\w{1,2}){1,40}[\'"]\\,?){1,40}\\]\\s*\\;\\s*.{700,1250}\\s*==\\s*\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*(\\w{1,40})\\s*=\\s*false\\s*\\}\\s*\\}\\s*;\\s*if\\s*\\(\\s*\\2\\s*==\\s*true\\s*\\)\\s*\\{\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\}\\s*\\}', '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;', 'var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;', '<script\\s+language=javascript>\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;</script>', '\\A\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.base64_dco]{15,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.creat_funio]{17,40}[\'"]\\s*;\\s*\\s*\\$\\w{1,40}\\s*=\\s*["\'][\'"\\s\\.gzuncompres]{15,40}\\s*\\;.{2500,3000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*//\\w{32}', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[["][^`]{40000,64000}\\}=create_function\\([\'"][\'"],@?gzuncompress\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)\\);\\$\\{\\$\\w{1,40}\\}\\(\\);\\s*\\?>\\Z', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"](Ratel)[\'"]\\s*\\)\\s*\\)\\s*\\{.{9000,9999}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*return\\s*TRUE\\s*;\\s*\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*new\\s*\\1\\s*;\\s*\\2->init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*@?preg_match\\s*\\(\\s*[\'"]/?(?:checkout|admin|\\|){1,3}/?[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,20}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?file_put_contents\\s*\\(\\s*.{1,200}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"]Ratel[\'"]\\s*\\)\\s*\\)\\s*\\{.{42000,44000}\\s*echo\\s*[\'"]\\$\\w{1,40}[\'"]\\s*;\\s*unset\\s*\\((?:\\s*\\$\\w{1,40}\\s*\\,?\\s*){1,9}\\)\\s*\\;\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*[\'"]\\s*\\)\\s*\\;\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\)\\;\\s*\\?>', '\\A\\s*<\\?php\\s*[^`]{1000,60000}\\s*\\?>\\s*(<\\?php\\s+/\\*\\*\\s*\\*\\sFront\\sto\\sthe\\sWordPress\\sapplication)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((?:\\s*[\'"][^\'"]{24,96}[\'"]\\s*,?){50,70}\\s*\\)\\s*;.{0,284}eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '@file_put_contents\\([\'"]\\w{1,40}\\.php[\'"]\\s*,\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/raw[^\\)]{1,40}\\)\\)\\;', '<\\?php\\s*(?:\\s*\\$\\w{1,9}\\s*=\\s*(?:\\s*chr\\(\\d+\\)\\.?){1,20}\\;|\\s*\\$\\w{1,9}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)(?:\\s*\\[\\s*[\'"][^\'"]{1,9}[\'"]\\s*\\])?\\s*;\\s*){1,20}(?:\\s*\\$\\w{1,9}\\s*[\\(,\\.\\)]\\s*){1,9}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\$\\w{1,9}\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*(?:\\s*(?:error_reporting|set_time_limit|ignore_user_abort)\\s*\\(\\s*\\w{0,40}?\\s*\\)\\s*;){3}(?:\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,210}?[\'"]\\s*;){2}\\s*do\\s*\\{.{100,300}@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*\\;\\s*chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*while\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*@?(echo)\\s*[\'"][^\\;]{15,250}[\'"]\\s*\\;\\s*if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]_upl[\'"]\\s*\\]\\s*==\\s*[\'"]\\w[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\@?copy\\s*\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\[[^\\{]{1,40}\\s*\\{\\s*\\1\\s*[\'"].{1,40}[\'"]\\;\\s*\\}\\s*else\\s*\\{\\s*\\1[^\\}]{1,40}(\\s*\\}\\s*){2}\\s*\\?>', '\\A\\s*<\\?php\\s+[^\\$]{0,10}\\$\\w{1,40}[^\\$]{0,10}\\=[\'"]\\w{1,40}[\'"]\\;.{10,150}\\s*;\\s*(\\$\\w{1,40})\\s*=\\$\\w{1,40}\\s*\\(\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\1\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*@?extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\&\\&\\s*@?(assert|eval)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\&\\&\\s*@?exit\\s*;\\s*', '\\*/@\\$\\w\\&\\&@\\$\\w\\s*\\(\\s*\\$\\w\\s*\\(\\s*\\$\\w\\s*,\\s*\\$\\w\\s*\\)\\s*\\)\\s*;/\\*', '\\*/extract\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;/\\*', 'if\\s*\\(isset(\\(\\$\\_REQUEST\\[)[^\\]]{1,40}\\]\\)\\s*\\&\\&\\s*isset\\1([^\\]]{1,40})\\]\\)\\s*\\&\\&\\s*\\1\\2\\]\\s*\\=\\=\\s*\\\'\\w{1,40}\\\'\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*([^\\;]{1,40})\\;\\s*switch\\s*\\(.{6000,8000}extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}(\\s*\\/\\/\\$?\\w{1,40}){0,3}', 'call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*\\w{1,40}\\s*\\,\\s*str_rot13\\s*\\(\\s*strrev\\s*\\(\\s*[\'"][^\']{1,400}\'\\)\\)\\)\\);', '\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if.{1,200}\\s*echo\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*@?file_put_contents\\s*\\(\\s*([\'"][^\'"]*[\'"])\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?unlink\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\?>', 'extract\\(\\$_(?:COOKIE|GET|POST|SERVER|REQUEST)\\);\\s*if\\s*\\(\\$\\w\\)\\s*\\{\\s*@\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\s*;\\s*@?\\$\\w\\(\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+echo\\s*[\'"]\\s*Priv8\\s+Home\\s+Root\\s+Uploader.{500,1000}echo\\s*[\'"]gagal\\s+upload[\'"];\\s*}\\s*\\}\\s*\\}\\s*\\?>', 'file_put_contents\\s*\\(\\s*[\'"][^,]{1,120}\\,\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmVjaG8gIlRoaXMgc2hpdCB3b3JrcyEiOw0KaWYgKGlzc2V0KCRfRklMRVNbImZpbGVuYW1lIl0pK[^,]{500,510}\\;(\\s/\\*[\'"]\\)\\;)?', '\\A\\s*<\\?php\\s*\\$\\w{1,40}="[^"]+";\\s*\\$\\w{1,40}=\'[^\']+\';\\s*(\\$\\w{1,40}=(\\$\\w{1,40}\\[\\d+\\]\\.?)+;\\s*){4,10}\\s*\\$\\w{1,40}=\\$\\w{1,40}\\([\'"]{2},\\$\\w{1,40}\\("[^"]+",\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\$\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40}\\(\\$\\w{1,40}\\),\\$\\w{1,40}(,\\d)?\\);\\s*\\?>', '<\\?php\\s*\\$[_0O]{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;[^`]{30000,38000}\\?>\\s*(<\\?php\\s+/\\*\\*\\s+\\*\\sCodeIgniter)', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGFyclswXT0[^"]{60000,}[\'"]\\)\\)\\;', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]wp_func_jquery[\'"]\\s*\\)\\s*\\)\\s*(?:\\{\\s*if\\s*\\(!current_user_can\\(\\s*[\'"]read[\'"]\\s*\\)\\))?\\s*\\{\\s*function\\s*wp_func_jquery\\s*\\(\\s*\\)\\s*{\\s*\\$host\\s*=\\s*[\'"]https?://[\'"]\\s*;.{100,500}?add_action\\([\'"]wp_footer[\'"]\\s*,\\s*[\'"]wp_func_jquery[\'"]\\);\\s*\\}\\s*\\}', 'error_reporting\\(0\\);\\s*ini_set\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+,\\s*\\d+\\);\\s*echo\\s+@?file_get_contents\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+\\);', 'set_time_limit\\(\\d+\\);\\s*error_reporting\\(\\d+\\);\\s*preg_replace\\([\'"]\\\\x[^\'"]+[\'"],[\'"].{50000,}[\'"],[\'"].{2,5}\\);', '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]{10,300};\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]{10,300};\\s*\\?>', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(isset\\(\\$_REQUEST\\[([^]]+)\\]\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'base64_decode.]+;\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\(\\$_REQUEST\\[\\2\\]\\);\\s*eval\\(\\4\\);\\s*\\}\\s*return;\\s*\\}\\s*add_action\\(\'after_setup_theme\'\\s*,\\s*\'\\1\'\\);', '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*(passthru|system|shell_exec|popen)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?>', '<\\?php\\s+\\$\\w{1,40}=\'[^;]+;if\\(isset\\(\\$\\{\\$\\w{1,40}\\[[^}]+}\\[\\$\\w{1,40}[^)]+\\)\\)\\{eval\\(\\$\\{[^)]+\\);\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval.+\'\\)\\);\\s*/\\*,\\*/\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\A<\\?php\\s*(?:\\$[O0_]{1,40}\\s*=[^;]{1,300};+\\s*){3,5}.{50000,};exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>', '\\A<\\?php\\s+\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{800,2000};\\}echo \\$_\\d+;exit;\\}\\s*/\\*', '<\\?php\\s*\\$[O0_]{1,40}=\'.{30000,}Content-Type:text/html;charset=utf-8\\\\\'\\);echo\\s+"\\$[O0_]{1,40}";exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>', '<\\?php\\s*@?(eval|assert)\\s*\\(\\s*\\$_(?:REQUEST|GET|POST|COOKIE|SERVER)\\s*\\[\'p\'\\]\\s*\\)\\s*$', '<\\?php\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65"\\s*,\\s*"[^"]+"\\s*,\\s*""\\s*\\);\\s*\\?>', '<\\?php\\s*\\$[O0_]{1,40}=\'.{10000,40000}ltrim\\(\\s*str_replace\\(\\s*\'index\\.php\'\\s*,\\s*\'\'\\s*,\\s*\\$_SERVER\\[\'REQUEST_URI\'\\]\\)\\s*,\\s*\'/\'\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=.{1,100}str_replace\\(\'[^\']+\'\\s*,\\s*\'\'\\s*,\\s*base64_decode\\(\\s*\'[^\']+\'\\s*\\)\\s*;\\s*call_user_func\\([^;]+;\\s*\\?>', '@include\\s+"(/|\\\\057|\\\\x2f).{20,300}(\\.|\\\\056|\\\\x2e)(i|\\\\x69|\\\\071|\\\\151)(c|\\\\143|\\\\x63)(o|\\\\157|\\\\x6f)"\\s*;', '\\$auth_pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$color\\s*=\\s*"[^"]*"\\s*;\\s*\\$default_use_ajax\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$links\\s*=\\s*new\\s+Get_links\\(\\);\\s*\\$links\\s*=\\s*\\$links->get_remote\\(\\);\\s*echo\\s*\\$links;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '<meta\\s+http-equiv="refresh"\\s+content="\\d+;\\s+url=[^"]+">\\s*<body\\s+onLoad="tiktak\\(\\);">', 'function (\\w{1,50})\\(\\)\\s*\\{\\s*(\\$a)=\'(\\w{1,50})\';\\s*if\\(stripos\\(@\\$_SERVER\\[\\2\\(\'\\w+\',\\d+\\)\\],\\2\\(\'\\w+\',\\d+\\)\\)!==false\\)\\s+return;\\s*\\$\\w=dirname\\(__FILE__\\)\\.\\2\\(\'\\w+\',\\d+\\);.{8000,10000}add_action\\(\\s*\\3\\(\'\\w+\',\\d+\\)\\s*,\\s*"\\1"\\s*\\);', 'if\\(md5\\(\\$bannermass\\)==\\$get_url_var\\)\\s*\\{\\s*\\$set_cookie\\(stripslashes\\(\\$check_category\\)\\);\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]+;\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]+;\\s*\\?>', '\\$USER->Authorize\\(1\\s*,\\s*true\\);\\s*\\?>', '\\$links\\s*=\\s*\\$client_lnk->build_links\\(\\);\\s*if\\s*\\(!\\$iKnowYou\\)\\s*\\{\\s*\\$bodyText\\s*=\\s*preg_replace\\(".\\(\\.\\*\\)\\(<\\(\\\\s\\*\\?\\)\\\\/\\(\\\\s\\*\\?\\)body\\(\\[\\^>\\]\\*\\?\\)>\\).s"\\s*,\\s*"\\$1\\\\r\\\\n<div>"\\s*\\.\\s*\\$links\\s*\\.\\s*"</div>\\$2"\\s*,\\s*\\$bodyText\\);\\s*\\}', '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{1,600}@eval\\(\\$_\\d+\\);exit\\(\\);\\}\\}', '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*"[^"]+";\\s*|\\$\\w{1,40}\\s*=\\s*str_replace\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*|\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*){6,}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([\'"]{2}\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\w+"\\s*,\\s*""\\s*,[^)]+\\)\\)\\)\\s*;.{1,30}\\?>', '<\\?php\\s*function\\s(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*&\\$\\w{1,40}\\s*;.{1,300};\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\$d\\]\\s*\\);\\s*\\?>', '<\\?php\\s*\\$[O0_]+=\'[^\']+\';\\s*\\$[O0_]+=\\("[^"]+"\\);\\$[O0_]+=\\$[O0_]+\\{.{20000,30000};\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\?>', 'function\\s+\\w{1,40}\\s*\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\)\\s*\\{\\s*\\$kses_str\\s*=\\s*str_replace\\s*\\(\\s*array.{2000,23000}setcookie\\(\\s*\'\\w+\'\\s*,\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*unset\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\1\\(\\);\\s*\\}', 'if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*eval\\(\\$_POST\\[\'\\w+\'\\]\\);\\s*else\\s*echo\\s*"<form.{1,70}</button></form>";', '<\\?php\\s*error_reporting\\(0\\);\\$[O0o]{1,40}=.{10000,20000}chr\\(hexdec\\((\\$\\w+)\\[(\\$\\w+)\\]\\.\\1\\[\\2\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>\\s*<\\?php\\s*/\\*\\*\\s+\\*', '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{1000,1500}\\);\\}\\s*echo\\s*\\$_\\d+;exit;\\}\\s*/\\*\\*\\s+\\*', 'if\\s*\\(isset\\(\\$_GET\\[\'view\'\\]\\)\\)\\s*\\{.{1,100}eval/\\*\\*/\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*join\\s*\\(\\s*"[^"]*"\\s*,\\s*file\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*die\\s*;\\s*\\}', 'if\\s*\\(isset\\((\\$_(?:(POST|GET|COOKIE))\\[[^]]+\\])\\)\\)\\{@?\\$_(?:POST|GET|COOKIE)\\[[^]]+\\]\\(stripslashes\\(\\1\\)\\);\\};', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"aWYoaXNzZXQoJF9SRVFVRVNUWy[^"]{400,1000}"\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>', '<\\?php\\s*error_reporting\\(0\\);(\\$\\w{1,40})="[^"]+";\\1=str_replace.{14000,19000}=chr\\(hexdec\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\.\\$\\w{1,40}\\[\\$\\w{1,40}\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*//header\\(.{30000,40000}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\}\\s*\\}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},0444\\);\\}\\}\'\\);\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\);\\s*\\?>', 'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', 'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\(preg_match_all\\(\'/\\\\\\$tmpcontent\\s*=\\s*@file_get_contents\\\\\\("http:\\\\/\\\\/\\(\\.\\*\\)\\\\/code20\\\\.php.{1,300}newdomain\'\\],\\s*\\$file\\);\\s*@file_put_contents\\(__FILE__,\\s*\\$file\\);\\s*print\\s*"true";\\s*\\}', 'function\\s*theme_temp_setup\\(\\s*\\$phpCode\\s*\\)\\s*\\{\\s*\\$tmpfname\\s*=\\s*tempnam\\(sys_get_temp_dir\\(\\)\\s*,\\s*"theme_temp_setup"\\);\\s*\\$handle\\s*=\\s*fopen\\(\\s*\\$tmpfname\\s*,\\s*"w\\+"\\);\\s*fwrite\\(\\s*\\$handle\\s*,\\s*"<\\?php\\\\n".{1,100}return\\s*get_defined_vars\\(\\);\\s*\\}', '\\$\\w{1,40}\\s*=\\s*""\\s*;\\s*(?:\\$\\w{1,40}\\s*.=\\s*"[^"]{0,2000}"\\s*;\\s*){3,}?.{100,7000}\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*null\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*unset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@?preg_replace\\(\'/[^/]{1,40}/e\'\\s*,\\s*\'[^,]+,\\s*\'[^\']+\'\\s*\\);\\s*\\?>', 'print_r\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;', 'print_r\\s*\\(\\s*call_user_func_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s+passthru\\(getenv\\("HTTP_\\w{1,50}"\\)\\);.{1,200}\\?>', '/\\*([^*]{1,40})\\*/\\s*ini_set\\(\'error_reporting\'\\s*,\\s*E_ALL\\);\\s*ini_set\\(\'display_errors\'\\s*,\\s*1\\);\\s*ini_set\\(\'display_startup_errors\'\\s*,\\s*1\\);\\s*@include\\s*"[^"]{10,250}";\\s*/\\*\\1\\*/', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"][^\'"]{1,40}[\'"]\\);\\s*eval\\(\\1\\);\\s*\\?>', '<\\?php\\s*(//header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?(\\s*\\$[O0_]+=(\'[^\']*\'|\\d+);){3,}\\s*\\$[O0_]+=array\\(.{300,500}\\?>', '@copy\\s*\\(\\s*\\$_FILES\\[file\\]\\[tmp_name\\]\\s*,\\s*\\$_FILES\\[file\\]\\[name\\]\\);\\s*exit;', '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_GET\\[\'check\'\\]\\)\\)\\s*\\{\\s*echo\\s*"checked.{300,600}echo\\s*\'<a href=\'\\.\\$file\\.\'>\'\\.\\$file\\.\'</a>\';\\s*\\}\\s*else\\s*\\{\\s*echo\\("FILE"\\);\\s*\\}\\s*\\?>\\s*</body>\\s*</html>', '\\A<\\?php\\s*eval\\(base64_decode\\(\'ZWNobyBmaWxlX2dldF9jb250ZW50cygiaHR0c.{1,100}\'\\)\\);\\s*\\?>', '<\\?php\\s*echo\\s*md5\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*system\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'SCRIPT_FILENAME\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*/\\*(\\w{1,40})\\*/\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*===\\s*"[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*/\\*\\1\\*/\\s*\\?>', '(include|include_once|require|require_once)\\s*\\(\\s*\\$_SERVER\\[\\s*\'DOCUMENT_ROOT\'\\s*\\]\\s*\\.\\s*\'[\\w/_0%]{0,200}\\.(jpg|gif|jpeg|bmp)\'\\s*\\)\\s*;', '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[^]]+\\]\\)\\s*&&\\s*@?preg_replace\\(\'/ad/e\',[^;]{1,200};\\s*\\?>', '<\\?php\\s+ob_start\\(\\s*\\);\\s*var_dump\\([^;]+;\\s*\\$output\\s*=\\s*ob_get_clean\\(\\);\\s*\\$fp\\s*=\\s*fopen.{10,100}eval\\(gzinflate\\(base64_decode\\("[^"]{10000,30000}"\\)\\)\\);\\s*\\?>', '<\\?php\\s+preg_replace\\("/\\.\\*/e","eval\\(gzinflate\\(base64_decode.{1500,3000}\\)\\)\\);",""\\);\\?>', '<\\?php\\s+echo\\s+\\d+[\\+\\-\\*\\/]\\d+;\\$\\w{1,40}=base64_decode.{100,2000}\\)]\\);};\\s*\\?>', '(\\$\\w{1,40})\\s*=\\s*[assert\'"\\. ]{7,};\\s*(\\$\\w{1,40})=[eval\'"\\. ]{5,};\\s*@\\1\\("\\2\\(\\\\\\$_(GET|POST|COOKIE|SERVER)\\[[^]]{1,40}\\]\\s*\\)"\\s*\\)\\s*;', '<\\?php\\s*\\$f\\s*=\\s*[create_function.\'" ]{15,};if.{10,200}print_r\\(\\s*\\$out\\s*\\);\\s*die\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*class\\s*(\\w{1,40})\\s*\\{\\s*public\\s*\\$data\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*function\\s*__destruct\\s*\\(\\s*\\)\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*data\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*"[^"]+";\\s*\\$payload\\s*=\\s*base64_decode.{900,1500}fputs\\(\\s*\\$f\\s*,\\s*\\$payload\\s*\\);\\s*fclose\\(\\$f\\);\\s*unlink\\(__FILE__\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}="[^;]+"\\s*;\\s*preg_replace\\s*\\(\\s*"/[^/]+/e"\\s*,\\s*\\$_\\s*\\(\\s*"[^"]{1,500}"\\s*\\)\\s*,\\s*0\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*@set_time_limit\\(0\\);\\s*\\$xmlname\\s*=\\s*\'\\w{1,40}\\.xml.{300,1000}\\};eval\\(\\$[O0]{1,20}\\("[^"]{5000,}"\\)\\);\\s*\\?>', '<\\?php\\s*@ini_set\\("display_errors.{1600,1900}fwrite\\((\\$\\w{1,40})\\s*,\\s*"<\\?php\\\\n\\$\\w{1,40}\\[1\\]\\\\n\\?>"\\);\\s*fclose\\(\\1\\);\\s*include\\(([^)]{1,50})\\);\\s*unlink\\(\\2\\);\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\}\\s*\\?>\\s*', '<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>\\s*<\\?php\\s*error_reporting\\(E_ALL\\);\\$DOMAIN.{2500,4500}enc\\(\\$str\\);fwrite\\(\\$file,\\$str\\);fclose\\(\\$file\\);\\}\\?>\\s*<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>', '<\\?php\\s*@ini_set\\("log_errors", false\\);@ini_set\\("display_errors.{500,1200}gzuncompress\\(base64_decode\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)\\);\\s*@fclose\\(\\$\\w{1,40}\\);\\s*include\\s*\\$\\w{1,40};\\s*\\};\\s*\\?>', 'if\\(isset\\(\\$_GET\\[\'bataboom.{100,300}Submit"/></form><\\?php\\s*\\}\\}', '\\A<\\?php\\s*/\\*\\w{1,42}\\*/\\s*\\$\\{"\\\\x.{100,4000}?"\\);\\}\\s*/\\*\\w{1,42}\\*/\\s*\\?><\\?php', 'if\\s*\\(!empty\\(\\$_REQUEST\\[\'ch2\'\\]\\)\\s*&&\\s*\\$_REQUEST\\[\'ch2\'\\]\\s*==.{400,650};fclose\\(\\$fp\\);include\\([^)]+\\);\\s*\\}\\s*\\}', '@preg_replace\\(\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\'\'\\s*\\);', '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\'ch\'\\]\\)\\s*\\{\\s*echo "OK";\\s*exit;\\s*\\}.{100,400}echo\\s*"An error occured";\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\'\\s*,\\s*strrev\\(\';\\)\\)\\]\\w{1,40}\\[REVRES_\\$\\(edoced_46esab\\(lave\'\\s*\\)\\s*\\);\\s*@\\$\\w{1,40}\\(\\s*\\);', 'include\\(\'/[0-9a-zA-Z_\\-/]{1,150}/bitrix/images/iblock/ib\\.gif\'\\);', '<\\?php\\s*echo\\s*"PHP\\s+Uploader.{200,500}echo "Failed to Upload\\.";\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*&&\\s*exit\\s*;', 'include\\s*"\\\\x2.{1,300}?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)"\\s*;', '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\\w{1,40}\\]\\)\\)\\s*\\{\\s*echo.{100,1000}-->"\\.\\$_FILES\\["\\w+"\\]\\["\\w+"\\];\\}else\\{echo"<b>";\\}\\}\\}\\s*\\?>', '<\\?php\\s*ini_set\\("log_errors", false\\);ini_set\\("display_errors", false\\);error_reporting\\(0\\);if\\s*\\(isset\\(\\$_REQUEST.{1,1000};file_put_contents\\(\\$tmp, "<\\?php "\\.gzuncompress\\(base64_decode\\(\\$_POST\\["\\w+"\\]\\)\\)\\);include \\$tmp;\\};\\s*\\?>', 'if\\s*\\(\\s*!empty\\s*\\(\\s*(\\$_(GET|POST|COOKIE|REQUEST))\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\w{1,40}=\\s*\'\';if\\(!empty\\(\\$_COOKIE\\)\\){foreach.{100,1000}Cookie\'\\s*\\)\\s*!==\\s*false\\s*\\)\\s*header\\(\\$\\w{1,40}\\);\\s*return\\s*strlen\\(\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*\\Z', '\\$payload\\s*=\\s*"[^"]{100,9000}"\\s*;\\s*preg_replace\\s*\\(\\s*\'/.*/e\'\\s*,\\s*"[^"]{1,300}"\\s*,\\s*\'\\.\'\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:system|exec|shell_exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'\\s*2>&1\\s*\'\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\([^)]{1,100}\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:assert|eval)\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"[^;]+;\\s*\\1\\s*\\.=\\s*"[^;]+;\\s*@\\1\\(.{100,3000}"\\)\\)\\)\'\\);', 'if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*\\{\\s*move_uploaded_file\\(.{100,400}\\$filename\\s*=\\s*\\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\$time\\s*=\\s*time\\(\\)\\s*-\\s*\\d+;\\s*touch\\(\\$filename\\s*,\\s*\\$time\\);', '<\\?php\\s*error_reporting\\(0\\);\\s*set_time_limit\\(\\d+\\);\\s*function id2str\\(\\$id\\)\\s*\\{.{1000,3000}curl_close\\(\\$curl\\);\\s*echo\\s*\\$content;\\s*\\?>', '\\$user\\s*=\\s*new\\s*CUser;\\s*(\\$arFields)\\s*=\\s*array\\([^)]+\\);\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\1\\);\\s*if\\(intval\\(\\$ID\\)\\s*>\\s*0\\)\\s*echo\\s*\'[^\']+\';\\s*else\\s*echo\\s*\\$user->LAST_ERROR;', '(/\\*[^*]{1,30}\\*/)\\s*error_reporting\\(0\\);\\s*@ini_set\\(\\s*\'error_log\'\\s*,\\s*NULL\\s*\\);\\s*@ini_set\\(\\s*\'log_errors\'\\s*,\\s*0\\);\\s*@ini_set\\(\\s*\'display_errors\'\\s*,\\s*\'Off\'\\);\\s*@eval\\(\\s*base64_decode\\(.{100,20000}\\1', '<\\?php\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;?\\s*\\?>', 'wp_load_cachers\\(\\);\\s*function.{1000,1300}strip_tags\\(\\$mdetailes\\(\\)\\);\\s*\\}', '<\\?=\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*stripslashes\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '\\A<\\?php\\s*\\$function\\s*=\\s*create_function\\(.{10,200}?\\);\\s*\\$function\\(\\s*\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*function\\s*encode\\(\\s*\\$string\\s*\\)\\s*\\{.{500,800}=\\s*function\\(\\s*\\)\\s*\\{\\s*\'\\.\\$b\\[\'code\'\\]\\.\'\\}\'\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*preg_replace\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){1,4}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*@md5\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_FILES\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*\\$_POST\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=[^;]{1,100};\\s*\\$\\w{1,40}\\s*=\\s*"[^"]{1,500}"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(system|shell_exec|exec|passthru|popen)\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*echo\\s*"<pre>"\\s*;\\s*(?:system|exec|eval|assert|shell_exec|passthru)\\(\\$_(?:GET|POST|COOKIE|REQUEST)\\[[^]]{1,20}\\]\\)\\s*;\\s*echo\\s*"</pre>"\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password.{6500,7500}?\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*(?:eval|assert|passthru|exec|system|shell_exec)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,10}\\s*=\\s*\'[^\']{1,10}\'\\s*\\.\\s*substr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\d+\\s*,\\s*\\d+\\);\\s*\\$\\w{1,10}\\s*=\\s*preg_replace\\(\\s*\\$\\w{1,10}\\s*,\\s*strtr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\)\\s*,\\s*\'[^\']{1,20}\'\\s*\\);', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST);.{100,300}var_dump\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*\\}\\s*\\?>', '\\$arr\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*foreach\\s*\\(\\s*\\$arr\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*end\\(\\$\\w{1,40}\\);.{1,100}echo\\s*\\$\\w{1,40};\\s*}\\s*}', '<\\?\\s*=\\s*\\(\\s*\\$(\\w{1,20})\\s*=\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]{1,10}\\s*\\]\\s*\\)\\s*\\.@?\\$\\1\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]{1,10}]\\s*\\]\\s*\\)\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\s*===.{100,1000},\\);array_walk\\(\\$\\w{1,40}\\s*,\\s*strval\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\s*,\\s*\'\'\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*var_dump\\((eval|assert|system|shell_exec|exec|passthru)\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\);\\?>', '<\\?php\\s*@set_time_limit\\(\\d+\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*system\\(base64_decode\\(\\$_\\1\\[\'.\'\\]\\)\\);\\s*\\?>', '<\\?\\s*if\\(\\$\\w{1,40}\\s*!=\\s*""\\)\\s*print\\s*Shell_Exec\\(\\$\\w{1,40}\\);\\s*\\?>', '<\\?php\\s*/\\*\\s*(.{1,40}?)\\s*\\*/\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\(\\s*\\$\\w{1,40}.{7000,9000}\\);\\s*/\\*\\s*/\\1\\s*\\*/', '\\$_(GET|POST|REQUEST|COOKIE)\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\?\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\(\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\)\\s*:\\s*null;', '<\\?php\\s*\\$\\w{1,40}="\\w{32}";.{20000,30000};\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>', '<\\?php\\s*@copy\\(\\$_FILES\\[\'\\w{1,40}\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'\\w{1,40}\'\\]\\);', '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\'ms-load\'\\]\\)\\s*&&.{100,1000}\\}\\s*\\}\\s*endif;\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=".{100,1000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"",[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(\\$\\w{1,10}=["\'][^"\']{0,5}["\'];){10,}.{50,300}eval\\(\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*"[^"]{2000,5000}"\\)\\)\\);\\s*\\?>', 'if\\(\\$_REQUEST\\["key"\\]\\s*!=\\s*""\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$_REQUEST\\["key"\\]\\s*==\\s*"[^{]+{\\$\\w{1,40}\\s*=\\s*copy\\(\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\.\\s*".{1,100}/restore\\.php"\\s*,\\s*\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\."[^"]{1,100}"\\)\\s*;\\s*if\\(\\$\\w{1,40}\\)\\s*{\\s*die\\(\\s*"ok"\\s*\\)\\s*;\\s*}\\s*else\\s*{\\s*die\\s*\\(\\s*"fail"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\};', '<\\?php\\s*(//\\w{1,40})?\\s*\\$\\{"[^"]+"\\}\\["[^"]+"\\]="[^"]+";\\$\\{".+;echo\\$\\{\\$\\w{1,30}};exit\\(\\);\\}\\}\\}\\}\\s*(//\\w{1,40})?\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[\\s*"ms-load"\\s*\\]\\s*\\)\\s*&&.{100,1000}print "Error:n";\\s*\\}\\s*\\}\\s*\\}', '\\A<\\?php\\s*\\$\\w{1,40}=\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\'\',.{1000,3000}\'\\);\\s*\\$\\w{1,40}\\(\\);\\s*\\Z', 'function\\s*sendCcNumber\\(\\s*\\)\\s*\\{.{2000,8000}curl_close\\(\\$ch\\);\\s*\\}', '<\\?\\s*if\\(!isBot\\(\\)\\)\\{\\s*if\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*\\{setcookie\\(".{300,7000}\\$botname\\s*=\\s*\\$bot;\\s*return\\s*true;\\s*\\}\\s*return false;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '\\$USER->Update\\(1\\s*,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*["\'][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*require\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/bitrix/footer\\.php"\\);', '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]+"\\s*,\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z', '\\A\\s*<\\?php\\s*/\\*[^*]{32}\\*/\\s*eval\\(base64_decode\\("[^"]{500,2000}"\\)\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);\\s*global.{100,40000}\\{eval(/\\*[^\\*]+\\*/)?\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\[\'\\w{1,40}\'\\]\\[\\d+\\]\\]\\)\\s*;\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}\\s*\\?>', '<\\?php\\s*(?:/\\*.{1,3000}\\*/\\s*)?@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?', '<\\?php\\s*(?://header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?\\s*\\$\\w{1,40}=\'\\d+\';\\s*\\$\\w{1,40}=urldecode\\("%.{20000,}\\}\\}\'\\);\\$\\{"[^"]{3,100}"\\}\\["[^"]{3,100}"\\]\\(\\);\\s*\\?>', 'eval\\(base64_decode\\("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl[^"]+"\\)\\);', '<\\?php\\s*\\$\\w{1,40}=gzinflate\\(base64_decode\\(\'[^\']{20000,}\'\\)\\);\\s*preg_replace\\([^\\?]{1,50}\\?>', '<\\?php\\s*\\$.{1,100}\\$\\w\\s*=\\s*"[^"]{50000,}";\\s*@\\$\\w\\([^)]+\\);"\\);\\s*\\Z', '<\\?php\\s*/\\*[^*]{1,100}\\*/\\s*\\$GLOBALS.{3000,5000}function\\s+\\w{1,40}\\(\\$a\\s*,\\s*\\$b\\){\\s*\\$c=\\$GLOBALS\\[\'\\w{1,40}\'\\];\\$d=pack\\(\'H\\*\',[^)]+\\);\\s*return \\$d\\(substr\\(\\$c, \\$a, \\$b\\)\\);};eval\\(\\w{1,40}\\(\\d+,\\d+\\)\\);};\\?>', '<\\?php\\s*/\\*[^*]{1,200}\\*/\\s*\\$auth_pass = ".{32}";\\s*\\$eval=\\("\\?>"\\.gzuncompress\\(base64_decode\\("[^"]{20000,}"\\)\\)\\);\\s*@?eval\\(\\$eval\\);\\s*\\?>', '<\\?php\\s*(?:system|passthru|shell_exec)\\(\\s*"\\$\\w{1,40}"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@ini_set\\(\'display_errors.{800,1300}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\$\\w{1,40}"\\)\\s*,\\s*\'wp_function\'\\s*\\)\\s*\\);\\s*preg_match\\(\\s*\'\\#gogo.{100,1000}unlink\\([^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\'\\w{1,40}\';\\s*}\\s*', '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]{5,100};\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\w{1,50}\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]{100,1000}"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\$z0\\s*=\\s*\\$_REQUEST.{10,300}?(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\1\\(\\);', '<\\?php\\s*preg_replace\\s*\\(\\s*"\\|\\.\\*\\|ie"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]+"\\s*\\)\\s*;', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{400,1000}?\\(\\d+\\)\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{20000,}"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', 'if\\s*\\(JRequest::getVar\\(\'get_product\',0,\'POST\'\\)\\|\\|JRequest::getVar\\(\'get_product\',0,\'COOKIE\'\\)\\){.{300,1000}?exit\\(\\);}', '\\A<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\?>\\s*', '<\\?\\s*eval\\(base64_decode\\(\'.{76}\'\\.\\s*\'.{76}\'\\.', '<\\?php.{100,2000};include\\s*\\$\\w{1,40}\\(\\$\\{\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\}\\)\\[\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\];\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w+;\\$GLOBALS\\[\'\\w+\'\\]=Array\\(\\);global\\s*\\$\\w{1,40};\\$\\w{1,40}=\\$GLOBALS;\\$\\{"\\\\x[^"]{10,100}"}\\[\'\\w+\'\\]="\\\\x.{4000,7000}\\);\\}\\}\\s*\\?>', '\\*/\\s*preg_replace\\s*\\(\\s*"\\\\[^"]{10,30}"\\s*,\\s*"\\\\[^"]{10,110}"\\s*,\\s*"\\\\[^"]+"\\s*\\)\\s*;\\s*/\\*', '<\\?php\\s+\\$.{6000,9000}"",\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*""\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>', '{\\s*move_uploaded_file\\s*\\(\\s*\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"true"\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*error_reporting\\s*\\(\\s*\\w+\\s*\\)\\s*;.{100,1000}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\'[^\']*\'\\s*\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\*/\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.{10000,15000};\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\}\\}\\}\\s*/\\*', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>\\s*<form.{50,200}</form>', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*is_file\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*include_once\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$(\\w{1,40})\\s*\\)\\s*\\{.{1500,2500}?include\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*unlink\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*\\$\\1\\s*=\\s*\'[^\']*\'\\s*;\\s*}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'/\\w+/e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '{\\s*\\$USER->Authorize\\(\\$_REQUEST\\[\'ID\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);\\s*}', '<\\?php.{5000,10000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;.{1,200}?\\?>', '\\$UnixTimeLastEdit\\s*=\\s*"[^"]{1,100}";\\s*\\$MenuAcoAuthor\\s*=\\s*"[^"]{1,100}";.{100,2000}?echo\\s*eval\\s*\\(\\s*base64_decode\\(\\s*\\$SystemJoCode\\s*\\)\\s*\\);', '\\$\\w{1,40}\\s*=\'[^\']*\'\\^\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\^\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'.\\w{1,30}.e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '<\\?php.{1,2000};}else\\{\\$\\w{1,40}="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";move_uploaded_file\\(\\$_FILES.{100,1000}";}}', '\\$USER->Authorize\\(\\$_(?:REQUEST|GET)\\[\'\\w+\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);', '<\\?php\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*@isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*tryyr\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}[^;]+;\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*@?\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '//\\#\\#\\#==\\#\\#\\#\\s*assert\\s*\\(.{1000,5000}\\)\\)"\\);\\s*//\\#\\#\\#==\\#\\#\\#', '@\\s*include(_once)?\\s*\\(\\s*\\$_SERVER\\[\\s*"DOCUMENT_ROOT"\\s*\\]\\s*\\.\\s*"/bitrix/.{1,200}?\\.gif"\\s*\\)\\s*;', '<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\s*\\(\\s*"\\#Ask\\\\s\\*Jeeves.{2000,4000}\\$_SERVER\\[HTTP_HOST]"\\s*\\)\\s*;\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\)\\s*;\\s*echo\\s*\\$result\\s*;\\s*}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\\$\\w{1,40}\'\\s*,\\s*".+?\'\\s*\\)\\s*;\\s*@?\\$\\w{1,40}\\("[^"]+"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^;]+\\s*;\\s*@?eval\\(\\$\\w{1,40}\\([^)]{5000,}\\)\\);', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;.+?curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*print\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*/\\*\\*[^*]{1,5000}\\*\\*/\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;(\\s*//\\s*Password\\s*)?\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '\\*/\\s*(include|require|include_once|require_once)\\s*/\\*', '(<\\s*\\?\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*){3,}', '<\\?php\\s*function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*\\)\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*:\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=.+eval\\s*\\(\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\?>)?', '<\\s*\\?\\s*require\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*[^)]+\\)\\s*;\\s*LocalRedirect\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*([\'"][^"\']*[\'"]\\s*\\.\\s*)+[\'"][^"\']+[\'"];.+?function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*', '\\$\\w{1,40}\\s*=\\s*[\'"][^;]+;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*}\\s*\\[\\s*\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*\\)\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}}\\[\\$\\w{1,40}\\s*\\((\\$\\w+\\[\\d+\\]\\s*\\.?){2,}\\)]\\);}', '<\\?php\\s*class\\s*\\w+\\s*\\{\\s*public\\s*function\\s*__construct\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*\\$\\w{1,40}\\s*,\\s*438\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\w+\\s*;\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;', 'define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*class_exists\\s*\\(\\s*[\'"]COM[\'"]\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'PHPINFO_IS\'\\s*,\\s*\\(\\s*!eregi\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*new\\s*Get_links\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*return_links\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*', 'class\\s+Get_links\\s*{\\s*var\\s*\\$host\\s*=.+?(return\\s*\'<!--link error-->\';\\s*}\\s*}|\\$data = file_get_contents\\(\\$file\\);\\s*return \\$data;\\s*}\\s*}\\s*})', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*eval\\s*\\(\\s*trim\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*sprintf\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*@error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\w+\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*[\'"][^\'"]+[\'"];\\s*preg_replace\\s*\\([\'"][^\'"]+[\'"]\\s*,\\s*["][^"]+["]\\s*,\\s*["][^"]+["]\\s*\\);\\s*\\?>', '<\\?php\\s*die\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\([^}]+\\s*}\\s*\\?>', '(/\\*[^\\*]+\\*/)?if(/\\*[^\\*]+\\*/)?\\s*\\((/\\*[^\\*]+\\*/)?\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*(/\\*[^\\*]+\\*/)?\\s*\\)\\s*(/\\*[^\\*]+\\*/)?\\s*\\)(/\\*[^\\*]+\\*/)?\\s*\\{\\s*(/\\*[^\\*]+\\*/)?\\s*(eval|assert)\\s*(/\\*[^\\*]+\\*/)?\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)(/\\*[^\\*]+\\*/)?;\\s*(/\\*[^\\*]+\\*/)?exit\\s*;(/\\*[^\\*]+\\*/)?\\s*\\}', 'if\\s*\\(\\s*isset\\(\\s*\\${\\s*[^}]+\\s*}\\s*\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*["\'evalbs64srtprglc\\s\\.]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\${[^}]+}\\s*\\[[^\\]]+\\]\\s*\\);\\s*exit;\\s*}', '<\\?php\\s*if\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\${(/\\*[^*]+\\*/)?"_.{1,250}?exit;[^}]+}', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*==["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*system\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*echo\\s*<\\s*<\\s*<\\s*HTML\\s*<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=__LINE__\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*eval\\s*\\(\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*return\\s*;\\s*\\?>', '\\*/\\s*["\'](\\\\x2f|/)[\\\\\\-\\*\\sa-zA-Z0-9_/\\.]+?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)["\'];\\s*/\\*', '<\\?php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"Pragma: hack"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\(\\s*string\\s*\\)\\s*\\(\\s*filesize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*readfile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;', '<\\?php\\s*/\\*[^*]+\\*/\\s*\\$\\w+\\s*=[\'"][^\'"]+[\'"];\\s*\\$\\w+\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w+\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*array_map\\s*\\(\\s*"[^"]*"\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*', 'isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*@preg_replace\\s*\\(\\s*[\'"][^\'"]*e[\'"]\\s*,\\s*[^,]+\\s*,\\s*[\'][^"\']*[\']\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*[\'"]\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*:["\'][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*foreach\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_start\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_end_flush\\s*\\(\\s*\\)\\s*;', 'print\\s*[\'"][^\']*["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*UPLOAD_ERR_OK\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*["\'][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\s*\\?\\s*if\\s*\\(\\s*\\$_FILES\\[\'F1l3\'\\]\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*["\']<\\?php\\s*\\(["\']\\s*;.+?\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*@fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$cookey\\s*=\\s*"[^"]*"\\s*;\\s*preg_replace\\s*\\(\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==\\s*["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(//header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;)?\\s*\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*.+?;\\${"(\\\\x[0-9a-fA-F]{2,3})+"}\\s*\\["(\\\\x[0-9a-fA-F]{2,3})+"\\]\\(\\);\\s*\\?>', '\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\w+\\s*\\(\\s*base64_decode\\s*\\(\\s*[^)]+\\)\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\]\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[^{]+{\\s*\\$\\w{1,40}\\s*=\\s*Array\\([^>]+>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*.+?\\s*,\\s*\\$\\w{1,40}\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^;]+;\\s*\\w+\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\.\\s*"[^"]*"\\s*;\\s*Smarty3::redirect\\s*\\(\\s*[^)]+\\s*\\)\\s*;\\s*\\?>', '^\\s*<\\?php\\s*header\\s*\\(\\s*\'Location:\\s*https?://[^/]+/\\?a=\\w+&c=\\w+\'\\s*\\)\\s*;\\s*\\?>\\s*$', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*header\\s*\\(\\s*"Location:\\s*http[^"]*"\\s*\\)\\s*;\\s*/\\*\\s*\\w+\\s*\\*/\\s*exit\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_exists.+?file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*@filemtime\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*@file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*FILE_APPEND\\s*\\)\\s*;\\s*@touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}-\\s*>\\s*sendCcNumber\\s*\\(\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;', 'class\\s*Ma\\w+\\s*extends\\s*Mage_\\w+\\s*\\{\\s*public\\s*function\\s*indexAction\\s*\\(\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*,\\s*["\'][^"\']*["\']\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\)\\s*;\\s*echo[^$]+\\$_FILES\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*(passthru|exec|shell_exec|popen|system|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\?>', '(\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*)+\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(.+?\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POST\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', '<\\?php\\s*/\\*\\*\\s*\\*\\s*Plugin\\s*Name:\\s*Login\\s*Wall.+?\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*1\\s*\\)\\s*;\\s*function\\s*str_between.+magento\\s*not\\s*found\'[^\']*\'Content-type:\\s*application/json\'\\s*\\)\\s*;\\s*echo\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*pi\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=["\'][^\'"]+["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@date_default_timezone_set\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\?\\s*l1HXxk0\\s*\\(\\s*\\)\\s*:l11x\\s*\\(\\s*\\)\\s*;\\s*l15Oe\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;.+?break\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*<\\s*0\\s*\\?\\s*abs\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}%=\\$\\w{1,40}\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*function\\s+getBot\\(\\s*\\$\\w{1,40}\\s*\\).+if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?(copy|move_uploaded_file)\\s*\\(\\s*\\$_FILES\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w+\\s*\\(.+?\\)\\);', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^"\']+[\'"]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\?>', '<\\s*\\?\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@import_request_variables\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*;\\s*return\\s*;\\s*\\?>', 'require_once\\s*\\(\\s*findsysfolder\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*;\\$\\w+=\'[^\']+\';\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*clearstatcache\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*return\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\}', '<\\?(php)?\\s*\\$\\w+\\s*=(\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*)+\\s*;\\s*(\\s*\\$\\w+\\s*=(\\$\\w+\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*){10,};\\s*){2,}\\$\\w+=\\$\\w+\\s*\\(\\s*["\']+\\s*,\\s*\\$\\w+\\s*\\)\\s*;\\s*@\\$\\w+\\(\\s*\\);\\s*\\?>', '<\\s*\\?\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\s*\\(\\s*\\)\\s*;\\s*Echo.+?<input\\s+type="submit" name="\\w+"\\s+value="go!"\\s+/></form>\\s*<\\?php\\s*}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*TRUE\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;.+?http_build_query\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*stream_context_create\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*return\\s*file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*[*+/-^]\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*exit\\s*;\\s*\\}', 'if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*==[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;', '\\$GLOBALS\\[[^]]+\\]\\s*=\\s*\\$_SERVER;\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*["\'][\'"]\\s*;\\s*global.+?\\(\\s*\\$url\\s*,\\s*FALSE\\s*,\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*\\);\\s*return\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*;\\s*}', '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"login"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;.+?<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"/\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"/\\s*>\\s*<\\s*/form\\s*>', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+\\$password=_\\d+\\(0\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\);', '\\#!/usr/bin/env.+?\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*9\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*;\\s*\\}', 'define\\s*\\(\\s*\'[^\']*\'/\'[^\']*\'\\s*,\\s*DIRECTORY_SEPARATOR\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*realpath\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*[^)]+\\)\\s*;\\s*if\\s*\\(\\s*!file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[^)]+\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[^)]+\\)\\s*;\\s*\\}\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*("[^"]*"\\s*\\.)?\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?', '<\\?php\\s/\\*\\s*--\\s*enphp.+unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\?>', '(\\$\\w+=[^;]+;)+@\\$\\w+\\(@\\$\\w+\\(@\\$\\w+\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]+\\]\\)\\)\\);die\\(\\);', '(\\$arr_word\\[\\d+\\]\\[\\]\\s*=\\s*"\\d+";){10,}', '//insta\\w+\\s*(require|include|require_once|include_once)\\(["\'][^\'"]+[\'"]\\);\\s*//insta\\w+', '<\\?\\s*php\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*global\\s+\\$\\w.+@\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*FALSE\\s*,\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\)\\s*;\\s*return\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*;\\s*\\}', '<\\?php\\s*\\$str\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$str\\);\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==["\'][^\'"]*["\']\\s*\\)\\s*\\{\\s*echo\\s*\\w+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'upload\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\w+[^)]{1000,}\\)\\s*\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){2,}\\s*\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*return\\s*;', 'include\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'/includes/_bb_press_plugin.class.php\'\\s*\\)\\s*;\\s*register_activation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*//\\s*M\\s*register_deactivation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*10\\s*,\\s*3\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*echo\\s*eval\\s*\\(base64_decode\\s*\\(\\s*(str_replace\\s*\\(\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*\\s*,)+\\s*[\'"][^\'"]+[\'"]\\s*(\\)\\s*)+;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*\\.\\s*"[^"]*".+?<\\s*form\\s*method\\s*="[^"]*"\\s*enctype\\s*="multipart/form-data"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"\\s*>\\s*<\\s*/form\\s*>\\s*<\\?php\\s*\\}\\s*\\?>', '<\\?php\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*1\\s*\\)\\s*;\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*,\\s*\\d+\\s*\\)\\s*;\\s*strripos\\s*\\(\\s*@sha1\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*\\d+\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,};\\s*\\$\\w+\\((\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*,\\s*\\$\\w+\\s*,\\s*[\'"]+\\s*\\);', '<\\?php\\s*\\$\\w{1,40}="[^"]{3000,}"\\s*;\\s*(\\$\\w+\\.?="[^"]+";\\s*){3,}\\s*@?\\$\\w+(?:\\(\\$\\w{1,40}){3,}\\){3,};\\s*(\\?>)?', '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-\\d+\\s*;\\s*\\$\\w{1,40}\\+=\\s*\\d+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*hexdec\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\+\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*function\\s*clear_folder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*opendir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\).+\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*rmdir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*;\\s*else\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?', 'function\\s+css\\(\\$i\\)\\s*{\\s*\\$\\w+\\s*=\\s*"[^"]+";\\s*\\$xml_content=file_get_contents\\(\\$\\w+\\.\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*array\\((\\s*"[^"]+"\\s*,?)+\\);\\s*reset\\(\\$\\w+\\);.+?echo\\s*\\$xml_content;(\\s*exit\\(\\);)?\\s*}\\s*}\\s*}\\s*(css\\(\\s*\'[^\']+\'\\s*\\);)?', '<\\?php\\s*\\$\\w+=\'[^\']+\';\\s*\\$\\w+=(\\$\\w+\\{\\d+\\}\\.?){3,};(\\s*\\$\\w+\\s*=(\\$\\w+\\{\\d+\\}\\.?)+;)+\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*[\'"].[\'"]\\s*,?){1,}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(((\\s*[\'"].[\'"]\\s*\\.?)\\s*,\\s*?){1,}\\s*,\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?)+\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>', '@?file_get_contents\\("[^"]+"\\s*\\.\\s*\\$_SERVER\\[\'HTTP_REFERER\'\\]\\s*\\.\\s*"&\\w+=http://"\\s*\\.\\s*\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/[^"]+"\\);', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '(GIF\\d+a\\+\\s*)?<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\?>', 'copy\\(\'http://.+?\'\\s*,\\s*\'\\w+\\.php\'\\);exit;', '\\$wp_nonce=isset\\(\\$_POST\\[\\$_SERVER{\\$_SERVER{.+?unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s+\\$wp_auth_check;', '/\\s*\\*\\w+\\s*\\*/\\s*@include\\s*"[^"]*"\\s*;\\s*/\\s*\\*\\w+\\s*\\*/', '<\\?php(\\s*//.+?$)?(\\s*/\\*[^*]{1,5000}\\*/)?\\s*preg_replace\\s*\\(\\s*"/\\.\\*/e"\\s*,\\s*"[^"]+"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*(\\?>)?', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*(\\$\\w{1,40}\\s*\\.?){2,}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*', '<div\\s+id="\\w+">\\s*(<a\\s+href=\'[^\']+\'\\s+title=\'[^\']+\'>[^<]+</a>\\s*){20,}<script>\\s*eval.+?</script>\\s*</div>', '<\\?\\s*php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!=\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}', '<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\).+?echo\\s*\\$\\w{1,40}\\s*;\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>', '<\\s*\\?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(?:GET|POST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.{1000,5000}/>\\s*</form>\\s*<\\?php\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*success\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case.+?print\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*->\\s*content\\s*\\)\\s*;\\s*get_search_form\\s*\\(\\s*\\)\\s*;\\s*get_sidebar\\s*\\(\\s*\\)\\s*;\\s*get_footer\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*.+?preg_split\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*-1\\s*,\\s*PREG_SPLIT_NO_EMPTY\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\$\\w{1,40}\\s*=>\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-3\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*4\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*0\\s*;\\s*\\$\\w{1,40}<\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*echo\\s*\\d+\\+\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^;]+;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^\\]]+\\]\\s*==\\s*base64_decode\\s*\\([^}]+\\{\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*base64_decode\\s*\\(.+?\\)\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){3,}\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*\\$\\w{1,20}\\s*=(?:\\$\\w{1,20}\\[\\s*\\d{1,5}\\s*\\]\\s*\\.?\\s*){3,}.+?include[^?]+\\?>', '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\s*\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\);\\s*}', '\\$\\w{1,40}="\\w{1,20}";if\\(!empty\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\){\\$[^@]+@\\$\\w+\\(stripslashes\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\);}else\\s*@unlink\\(__FILE__\\);', '<\\?php\\s*\\$\\w{1,20}=\\$_POST\\[\\w{1,20}\\];echo\\s*eval\\(\\$\\w{1,20}\\);echo "404 Not Found";\\s*\\?>', '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[[\'"]\\w{1,20}[\'"]\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)(/\\*[^*]+\\*/)?\\[[\'"]\\w{1,20}[\'"]\\]\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\["\\w{1,20}"\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?exit(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?', '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?["\'][assert\'".\\s]+["\'];(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?exit;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?', '\\$\\w{1,}\\s*=\\s*[\\s_.GET"\']+;\\s*if\\s*\\((!empty|isset)\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\(\\s*[^,]+\\s*,\\s*[\\s"e.\'Val]+\\(\\s*\\$\'\\s*\\.\\s*\\$\\w+\\s*\\.\\s*\'\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\)[\'"]\\s*,\\s*[\'"][\'"]\\);', '<\\?php\\s*if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\) && \\(md5\\(\\$_POST\\[\'\\w+\'\\]\\) == \'\\w{32}\'\\)\\)\\s*{\\s*\\$sc = \\(empty\\(\\$_POST\\[\'\\w+\']\\)\\).+<br/>Security Code: <br/><input name="\\w+" value=""/>\\s*<br/>Name:\\s*<br/><input name="name" value=""/>\\s*<br/>\\s*<input type="submit" value="Sent" />\\s*</form>\\s*</body>\\s*</html>\';', '<\\?php\\s*\\${"\\\\x[^"]+"}\\["[^"]+"\\]=.+?\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\?>', '<title>\\s*ol\\s+Erivfvhz', 'if \\(!defined\\(\'ALREADY_RUN.+eval\\s*(/\\*\\w+\\*/)?\\s*\\(\\s*\\w+\\s*\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\s*\\);\\s*}', '(\\$\\w{1,20}\\s*=\\s*\'[^\']+\'\\s*;\\s*){6,}.+(\\$\\w{1,20}\\[\\s*[\'"]?\\d+[\'"]?\\s*\\]\\s*\\.?\\s*){5,}\\);', 'if\\(\\$\\w+===0\\){@\\${\\w+}\\(\\$\\w+\\);}', 'if\\(isset\\(\\$_COOKIE\\[[^]]+]\\)\\s*&&\\s*isset\\(\\$_COOKIE\\[[^]]+\\]\\)\\)\\s*{.+include\\(\\$f\\);\\s*}', 'echo\\s+file_get_contents\\(\'index\\.html(\\.bak)+\'\\);', '/\\*(\\w+)\\*/\\s*@(include|require|include_once|require_once)\\s*"[^"]+";\\s*/\\*\\1\\*/', '\\A\\s*<\\?echo\\s+\\d+\\s*[+*/-]\\s*\\d+;\\?>\\Z', '<\\?php\\s*(\\$arrUrlId\\[\'[^\']+\'\\]=\'[^\']+\';\\s*)+', 'if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["test_url"\\]\\s*\\)\\s*\\)\\s*{\\s*echo "file test okay";\\s*}.+\\$f\\s*=\\s*\\$a\\("",\\s*\\$array_name\\(\\$string\\)\\);\\s*\\$f\\(\\);', '<\\?php\\s+(\\$\\w+=base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\);)+eval\\(\\$\\w+\\(\\$_POST\\[base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)\\]\\)\\);.+base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)]\\);\\s*};\\s*\\?>', 'ini_set\\(\'display_errors\',\'Off\'\\);\\s*error_reporting\\(\'E_ALL\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'u\'\\]\\)\\s*&&\\s*isset\\(\\$_POST\\[\'n\'\\]\\)\\)\\s*move_uploaded_file\\(\\$_FILES\\[\'u\'\\]\\[\'tmp_name\'\\],\\$_POST\\[\'n\'\\]\\);\\s*setcookie\\(\'server\',1,time\\(\\)\\+1e6\\);\\s*\\$s=\\$_SERVER;\\s*if\\(\\$server!=1\\s*&&\\s*\\$s\\[\'HTTP_REFERER\'\\]\\s*&&\\s*strpos\\(\\$s\\[\'HTTP_REFERER\'\\],\\$s\\[\'HTTP_HOST\'\\]\\)===false\\s*&&\\s*\\$_COOKIE\\[\'server\'\\]!=1\\)\\s*{\\s*\\$server=1;\\s*eval\\(file_get_contents\\(base64_decode\\(\'\\w+\'\\)\\.\\$s\\[\'HTTP_HOST\'\\]\\)\\);\\s*}', '(\\$\\w{1,30}\\s*=\\s*[^;]+;){1,}\\s*@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w+\\(\\$_POST\\[[^\\]]+\\]\\)\\)\\);\\s*die\\(\\s*\\);', 'if\\(isset\\(\\$_POST\\[.+@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(\\$_POST.+<h2>Error 404</h2>\\s*</body>\\s*</html>', 'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*[\'"](\\w+)[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*@?eval\\(\\s*stripslashes\\(\\s*\\$_POST\\[\\s*["\']\\1["\']\\s*\\]\\s*\\)\\s*\\);\\s*};', '<?php\\s*\\$jquery_start\\s*=\\s*true;.*?\\$jquery_end\\s*=\\s*true;.*?>', 'RewriteEngine\\s+On\\s*(RewriteCond\\s*%{HTTP_REFERER\\}\\s*\\.\\*[^.]+\\.\\*\\$\\s*\\[NC(,OR)?\\]\\s*)+RewriteRule\\s*\\.\\*\\s*http://[^[]+\\[R,L\\]', 'RewriteEngine\\s+On\\s*RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?br=\\$1\\s+\\[L\\]', '<IfModule mod_rewrite\\.c>\\s*RewriteEngine On\\s*RewriteCond %{HTTP_REFERER}\\s+\\^\\.\\*\\([^)]+\\)\\\\.\\(\\.\\*\\)\\s*RewriteCond\\s*%{HTTP_USER_AGENT}\\s*\\^\\.\\*\\(msie\\|opera\\)\\s*\\[NC\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!/index\\.php\\s*RewriteRule\\s*\\(\\.\\*\\)\\s*/index\\.php\\?query=\\$1\\s*\\[QSA,L\\]\\s*</IfModule>', 'RewriteEngine\\s+on\\s*RewriteCond %{HTTP_ACCEPT} "text/vnd\\.wap\\.wml\\|application/vnd\\.wap\\.xhtml\\+xml"\\s*\\[NC,OR\\].+?RewriteCond\\s*%{HTTP_USER_AGENT}\\s*!windows-media-player\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+http[^]]+\\[L,R=302\\]', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s*\\^\\.\\*Android\\.\\*\\$\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\$[^[]+\\[L,R=302\\]', 'RewriteEngine\\s+on\\s+RewriteCond\\s+%{HTTP_USER_AGENT}\\s+acs.+?RewriteRule\\s+\\^\\(\\.\\*\\)\\$[^\\[]+\\[L,R=302\\]', '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^<]+</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*</script>\\s*</body>', '<html>\\s*<head>\\s*<script type="text/javascript" src="http://ajax\\.googleminiapi\\.com/angular\\.min\\.js">\\s*</script>\\s*<META HTTP-EQUIV="REFRESH" CONTENT="1;URL=[^"]+">\\s*</head>\\s*<body>\\s*</body>\\s*</html>', '<script>\\s*window\\.top\\.location\\.href="http://[a-zA-Z0-9-._ +"]{1,100}?"\\s*</script>', 'DirectoryIndex\\s*index\\.php\\s*RewriteEngine On\\s*RewriteBase\\s*/\\w+/\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*index\\.php\\.\\* -\\s*\\[L\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\s*index\\.php\\?id=\\$1', '\\A<script\\s+type="text/javascript">\\s*location\\.replace\\("http://[^"]+"\\);\\s*</script>\\s*\\Z', '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://.+?\\s*r = Math\\.floor\\(Math\\.random\\(\\) \\* 10000\\);\\s* .+?document\\.write\\("<img src=\'" \\+ l \\+ "\'>"\\);\\s*</script>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*</html>\\s*', '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://[^"]+">\\s*</head>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*', '\\A(?:\\s*<\\?php\\s*@?include(?:_once)?\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\?>){3,5}\\s*(<\\?php\\s*/\\*\\*\\s+\\*\\s+CodeIgniter)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,60}\\);\\s*foreach\\(\\s*\\2\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s\\1\\s*\\[\\3\\];\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*strrev\\([^)]{20,60}\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\4\\s*\\([^)]{20,60}\\)\\s*\\);\\s*\\5\\(\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}[\'"][\'"]\\.\\$[\\w]{1,40};\\$[\\w]{1,40}\\((?:\\1\\[\\d+\\]\\.?){5},\\s*\\$[\\w]{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '<\\?php\\s*\\$\\{[\'"][^\\?]{1000,60000}eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\[\\w{1,40}\\]\\]\\);\\s*\\}\\s*exit\\(\\);\\s*\\}\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s+[^\\[]{1,600}\\s*function\\s+\\w{1,40}\\(\\s*\\$ip,\\s*\\$array\\) \\{[^`]{60000,}<\\?php\\s+@?chdir\\(\\s*\\$lastdir\\s*\\);\\s*c99shexit\\s*\\(\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;\\s*function\\s+(\\w{1,40})\\s*\\([^\\?]{99,200}\\?[^\\?]{60000,}=\\s*array\\((?:\'[^\']\'=>\'[^\']\'\\s*,?\\s*){50,70}\\);\\s*eval(?:/\\*\\w{1,40}\\*/)?\\(\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)', '\\A\\s*<\\?php\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '<\\?(?:php)?\\s*\\$USER->Authorize\\([\'"]1[\'"]\\);(?:\\s*//\\s*[^/]{0,39})?\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"].{300,450}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*(\\$\\w{1,40})\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\3\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\4\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '/\\\\x65"\\s*,\\s*"\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)"', '\\A<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>\\s*\\Z', '(<\\?php\\s*)?if\\s*\\(\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*(\\?>)?', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\${.+?;\\s*@\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\?>', '@(require|include|include_once|require_once)\\([\'"][^/]+/\\d+[\'"]\\);', '<\\?php\\s*@include_once\\("index\\.php"\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*"[preg_replace\\s\\.\\"]+";\\s*\\$\\w+\\("/\\[discuz\\]/e",\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],"[^\\"]+"\\);', '<\\?php\\s*\\$\\w+=\\".+?\\";\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\${(\\$\\w+\\[\\d+\\]\\.?)+};\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*(\\$\\w+\\[\\d+\\]\\.?)+;if\\s*\\(!empty\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\$GLOBALS\\[.+?echo\\s+(\\$\\w+\\[\\d+\\]\\.?){10,};', '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0444\\);', '<\\?php\\s*\\$\\w+\\s*=\\s*"\\w+";\\s*if\\(isset\\(\\$_REQUEST\\[\\$\\w+\\]\\)\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\$\\w+\\]\\)\\);\\s*exit\\(\\);\\s*};\\s*\\?>\\s*', '<\\?php eval\\("[^"]+"\\.\\$_REQUEST\\[\'.\'\\]\\."[^"]+"\\);\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\(\\s*\\$www\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*&&\\s*@preg_replace\\(\\s*\'.ad.e\'\\s*,\\s*\'@\'\\s*.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$www\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*exit;\\s*}', '<\\?php\\s+\\$[a-z].+?strtoupper.+?isset.+?eval\\s*\\(\\s*\\${\\s*\\$[a-z0-9]+\\s*}\\s*\\[\\s*\'[a-z0-9]+\'\\s*\\]\\s*\\);\\s*}\\s*\\?>\\s*', 'if\\s*\\(\\$_REQUEST\\[.param1.\\]&&\\$_REQUEST\\[.param2.\\]\\)\\s*{\\$f.+?array\\(\\$_REQUEST\\[.param2.\\]\\);.+?array_filter.+?OK.;\\s*Exit;}', 'if\\s*\\(\\$_FILES\\[.F1l3.+?\\$_POST\\[.Name.\\]\\);\\s*echo\\s*.OK.; Exit;}', '<\\?php global \\$[a-z0-9]+; \\$[a-z0-9]+=array\\(.+?\\)\\);\\};unset\\(\\$[a-z0-9]+\\);', '<\\?php\\s*\\@preg_replace\\(./\\(\\.\\*\\)/e.+?, ..\\);', '<\\?php\\s+\\$GLOBALS.+?\\[\\d+\\]\\]\\);}exit\\(\\);\\}\\s+\\?>', '<\\?php\\s+\\$sF="\\w+_.+?\\)\\);\\}\\?>\\s*', '<\\?php\\s+\\$qV="stop_.+?\\]\\);\\}\\?>\\s*', '\\A\\s*<\\?(?:php)?\\s*require\\(\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]\\.[\'"]/bitrix/header\\.php[\'"]\\);[^`]{60,80}\\$user\\s*=\\s*new\\s+CUser;\\s*\\$arFields\\s*=\\s*Array\\([^\\;]{350,400};\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\$arFields\\);\\s*[^\\\']{170,200}\\s*\\?>\\s*\\Z', '<\\?php\\s+include(?:_once)?\\s*\\([\'"][^\'"]{1,40}\\.(png|gif|jpg|jpeg|ico)[\'"]\\);\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,100}[\'"][\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{2000,4000}[\'"]\\)\\)[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,100}[\'"];\\s*\\s*(\\$\\w{1,40})\\s*=\\s*[\'"](.).{0,40}\\3e\\w?[\'"];\\s*\\1\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\);\\s*(?:\\Z|\\?>)', '\\A\\s*(<\\?php)\\s*@?eval\\s*(?:\\(\\s*(?:base64_decode|gzuncompress|gzinflate|str_rot13)\\s*){0,6}\\(\\s*[\'"][^\'"]{1000,60000}[\'"]\\s*\\)\\s*\\);(\\s*\\/\\*\\*\\s+\\*\\s+Front\\sto\\sthe\\sWordPress\\sapplication\\.)', '\\A\\s*(<\\?php)\\s+/\\*[^\\?]{1,80}Not\\s+Found[^\\?]{1,80}\\?>\\s*\\*/[^\\?]{1000,1500}\\?/[^\\$]{1,40}\\s*\\$\\w{1,40}\\s*=\\s*strrev[^\\?]{100,400}\\?>\\s*\\1', '\\A\\s*<\\?php\\s+(?:(?:(?:else)?(?:if)?)\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\)\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*){1,2}if\\s*\\(isset\\s*\\(\\2\\)\\s*\\)\\s*\\{\\s*@?eval\\s*(\\(\\s*str_rot13|\\(\\s*base64_decode|\\(\\s*gzinflate){1,3}\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php(?:\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\s*\\{return\\s*str_replace\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\}){3}[^\\?]{200,1500}[\'"]\\)\\);[\'"]\\);\\s*\\$\\w{1,40}\\([\'"]ZXZhbChiYXNlNjRfZGVjb2Rl[^\'"]{1500,5000}[\'"]\\);\\s*(?:\\?>|\\Z)', '(</body>\\s*)<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{400,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)', '\\A\\s*<\\?php\\s*(?:/\\*\\*[^/]{1,600}/)?\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,\\s*str_replace\\([\'"][^\\)]{800,1500}\\)\\s*,\\s*[\'"]\\w{1,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s*header\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@?set_time_limit\\(\\d+\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*){2}\\s*\\$[O0]{5,12}\\s*=\\s*urldecode\\([\'"][^>]{5000,6000}[\'"]\\)\\);\\s*\\?>(<\\?php\\s/\\*\\*\\s+\\*)', '(<\\/body>)\\s*<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{600,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)', '\\A\\s*<\\?php\\s*function[^`]{1000,1500}[\'"];\\s*preg_replace\\(\'/\\.\\*/e\',"(\\\\x\\w{2}){40,78}[\'"],\'\\.\'\\);\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\[[\'"]\\w{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<form\\s*action\\s*[^\\?]{1,600}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*\\s+\\*)', '(\\*/\\s*)@?(?:require_once|include|include_once|require)\\(\\s*[^;]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|js)[\'"]\\s*\\);(\\s*/\\*\\*\\s+\\*)', '\\A\\s*<\\?php(?:\\s*echo\\s*["\']<[^;]{1,200}[\'"];){0,5}\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]\\w{0,9}up\\w{0,9}[\'"]\\]\\s*(?:=|!)=\\s*[\'"]\\w{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{1,200}\\s*else\\s*\\{?\\s*echo\\s*[\'"][^;]{1,80}[\'"];\\s*\\}?\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s+\\$_\\[\\]=@!\\+_;\\s*\\$__=@\\${_}>>\\$_;[^`]{1,400}\\$_=\\$\\s*\\$_\\[\\$__\\+\\s*\\$__]\\s*;\\$_\\[@-_\\]\\(\\$_\\[@!\\+_\\]\\s*\\);\\s*\\?>', '\\A\\s*<\\?php\\s*ignore_user_abort\\s*\\((1|true)\\)\\s*;\\s*set_time_limit\\s*\\(0\\)\\s*;\\s*if\\s*\\(\\s*@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*,\\s*basename\\s*\\(\\s*\\$_FILES[^`]{1,200}type\\s*=\\s*[\'"]submit[\'"]\\s*value\\s*=\\s*[\'"]\\w{0,40}[\'"]s*>\\s*</form>\\s*[\'"];\\s*\\Z', '\\A\\s*<\\?php(?:\\s*echo\\s*[^`]{1,250};){0,3}\\s*if\\s*\\(\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '(public\\s*function\\s*\\w{1,40}\\(\\)\\s*{\\s*)@?eval\\(\\$_POST\\[[\'"]\\w[\'"]\\]\\);(\\s*\\}\\s*\\})', '<\\?php\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s\\}\\s*else\\s*\\{\\s*[^`]{0,200}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?(?:include|include_once|require|require_once)\\s*\\(?\\s*[\'"]https?://[^`]{1,200}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip)[\'"]\\s*\\)?\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[[\'"]\\w{1,4}[\'"]\\]\\)\\)\\s*\\{\\s*echo\\s*[\'"]<form[^`]{200,400}\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*)', '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\)\\{\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*\\$\\1\\s*=\\s*\\(?\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\s*\\)\\s*;\\s*(system|shell_exec|passthru|exec|popen)\\(\\$\\1\\);\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*die;\\s*\\}\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\([\'"]?aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw[^\\)]{1,160}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*===\\s*[\'"][^\'"]{24,40}[\'"]\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?([^\'"]{1,40})[\'"]?\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\1\\s*\\[\\s*[\'"]?\\2[\'"]?\\s*\\]\\s*;\\s*preg_replace\\s*\\(\\s*[\'"](.)[^`]{0,40}\\4e[\'"]\\s*,\\s*\\3\\s*,\\s*[\'"]\\w{1,10}[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\)\\s*\\(\\$\\w{1,40}\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\)\\s*\\.@?\\$_\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\);\\s*\\?>', '(</body>\\s*</html>)\\s*<\\?php\\s*\\$\\w{1,12}\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\(isset\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\$\\w{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*system\\(\\$_REQUEST\\[\\$\\w{1,40}\\]\\);\\s*\\}\\s*\\?>\\s*\\Z', '<\\?(?:php)?(?:\\s*(?:(\\s*?echo)?\\s*(ini_get|ini_restore)\\([\'"](?:open_basedir|safe_mode)[\'"]\\);\\s*){0,4}\\s*include\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);){1,2}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_POST\\[([\'"]\\w+[\'"])\\]\\s*\\)\\s*\\)\\s*@eval\\(\\s*\\$_POST\\[\\1\\]\\);\\s*(?:\\?>|\\Z)', '\\$\\s*\\{\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\}\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*=\\s*[^`]{1300,1600}\\]\\}\\);\\}catch\\(Exception\\$e\\)\\{\\}echo\\$\\w{1,40};define\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{1,4}[\'"]\\);\\}', '<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}\\]\\}=trim\\(urldecode\\(\\$_REQUEST\\["f"\\]\\)\\);\\$\\{\\$\\{[^`]{1000,4000}"\\]\\}\\)\\{exit\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\}\\);\\}else\\{@header\\("[^"]{1,80}"\\);\\}\\}\\s*\\?>', '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}[^\\x00-\\x7F]{20,25}";[^`]{300,500}mail\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^\'"]{1,40}"\\}\\["[^\'"]{1,40}"\\]\\}\\);\\s*\\?>', '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}[\'"]\\]\\};if\\(@?file_exists\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)and\\s*empty\\(\\$_REQUEST\\[[\'"][^`]{1000,4000}\\]\\}\\)\\{exit\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}else\\{@?header\\([\'"][^\'"]{1,200}[\'"]\\);\\}\\}\\s*\\?>', '\\$\\{[\'"][^`]{1000,8000}\\]\\}\\(\\$\\{\\$\\{["\'][^\']{1,40}["\']\\}\\[["\'][^\']{1,40}["\']\\]\\}\\);break;\\}CASE\\s+\\d+:\\{call_user_func_array\\(["\'][^\']{1,40}["\'],array\\(\\$_REQUEST\\[["\'][^\']{1,40}["\']\\]\\)\\);break;\\}\\}\\}\\}', '<\\?php\\s*\\$\\{[\'"][^`]{1000,8000}if\\(preg_match\\(["\']/["\']\\.\\$\\{\\$\\{["\'][^"\']{1,40}["\']\\}\\[["\'][^"\']{1,40}["\']\\]\\}\\.["\']/["\'],\\$_SERVER\\[["\'][^"\']{1,40}["\']\\]\\)\\)\\{header\\(["\'][^"\']{1,80}["\']\\);die\\(["\']<[^"\']{1,300}["\']\\);\\}\\}\\}\\s*\\?>', '\\A\\s*<\\?php[ ]{100,1000}/\\*[^\\*]{1,40}\\*/\\s*\\$\\w{1,40}\\s*=\\s*\\d+;\\s*if[^\\>]{3000,4000}\\s*\\$[I1l]{1,12}\\s*=\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\);\\s*\\$[I1l]{1,12}\\([\'"]/[I1l]{1,12}/\\w[\'"],\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\),\\s*"[I1l]{1,12}[\'"]\\s*\\);\\s*\\};\\s*\\?><\\?php', '\\A\\s*<\\?php\\s+(?:Error_Reporting\\(0\\);)?\\s*\\$\\w{1,40}=[\'"][^\'"]{7000,8000}[\'"];\\s*preg_replace\\([\'"]/\\.\\*/e[\'"],[\'"][^"\']{1,120}[\'"][^\'"]{1100,1600}[\'"][^\'"]{1,40}[\'"],[\'"]\\.[\'"]\\);\\s*return;\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"e/\\*\\./";\\s*preg_replace\\(strrev\\(\\1\\),"[^"]{2000,12000}","\\."\\);\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\{[\'"][^`]{500,2000}\\?>[""];file_put_contents\\([\'"][^\'"]{1,20}\\.php[\'"],\\$\\{\\$\\{[""][^\'"]{1,40}[""]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>', '<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}(\\$\\w{1,40})=base64_decode\\(\\$\\{\\$\\w{1,40}\\}\\[\\d+\\]\\);(\\$\\w{1,40})=create_function\\(\\s*[\'"][\'"],\\1\\);\\2\\(\\);\\}\\s*\\?>', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*isset\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{4000,5500}\\)\\);\\s*\\}\\s*\\}\\s*\\}(?:\\s*\\/\\/[^/]{1,40}){3}\\s*\\?><\\?php', '(\\$\\w{1,40})\\s*=\\s*range\\(\\s*\\d+,\\s*\\d+\\s*\\);\\s*(\\$\\w{1,40})\\s*=(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10};\\s*\\2\\s*\\(\\s*\\$\\{\\s*(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10}\\s*\\}\\[\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\]\\s*\\);\\s*(?:\\?>)\\s*\\Z', '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w{1,40}[\'"]\\s*\\])\\s*\\)\\s*\\)\\s*@?(system|exec|passthru|shell_exec|popen)\\s*\\(\\s*\\1\\s*\\s*\\)\\s*;\\s*\\?>', 'error_reporting\\(0\\);\\s*\\$strings = "as";.+?\\)\\);\'\\)\\);', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?\\s*\\w{1,40}\\s*[\'"]?\\s*\\]\\s*\\)?\\s*\\)\\s*;?\\s*(?:\\?>)?\\s*\\Z', '\\$auth_pass="\\w{32}";\\s*function\\s+\\w{2,30}\\(\\$\\w{2,30}\\)\\s*{\\s*\\$YM\\s*=\\s*\\d+;.+"\\)\\)\\);', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);.+x[a-fA-F0-9]+"\\)\\)\\);\\s*}', '//\\#\\#\\#=CACHES START=\\#\\#\\#\\s*error_reporting\\(0\\);\\s*assert_options\\(ASSERT_ACTIVE\\s*,\\s*1\\);\\s*.+//\\#\\#\\#=CACHES END=\\#\\#\\#', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*.+die\\(\\$\\w{2,30}\\);\\s*}\\s*}\\s*}', '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){3,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*include_once\\(\\s*\\$\\w{1,30}\\s*\\);', 'if\\s*\\(\\s*\\$_REQUEST\\[\\s*[\'"]\\w{1,20}[\'"]\\s*\\]\\s*\\)\\s*{\\s*//\\s*debug\\s*message.+?preg_replace\\("/\\w{1,30}/e", "[eval\'"\\.]+\\s*\\(\'"\\.\\$_REQUEST\\[[\'"]\\w{1,20}[\'"]\\]\\."\'\\)"\\s*,\\s*[\'"].+?[\'"]\\s*\\);', '//\\#\\#\\#====\\#\\#\\#\\s*@error_reporting\\(E_ALL\\);\\s*@ini_set\\(["\']error_log["\'],NULL\\);.+?\\"\\)\\);\'\\);\\s*\\$\\w{1,20}\\(\\$\\w{1,20}\\);\\s*//\\#\\#\\#====\\#\\#\\#', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\)\\s*{\\s*\\$\\w{1,30}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\'\\w{1,30}\'\\]\\s*;\\s*\\$\\w{1,30}\\s*=\\s*fopen\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\s*,\\s*\'w\\+\'\\)\\s*;\\s*fwrite\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*}', '(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+"\\s*;\\s*(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+";.+?\\)\\)\\).(\\1\\(\\2\\(){3,}.+\\1\\(\\2\\("[\\\\xa-zA-Z0-9]+"\\)\\)\\);\\s*}', 'add_action\\(\\s*\'wp_head\',\\s*\'(\\w+)\'\\s*\\);\\s*function\\s*\\1\\(\\)\\s*{\\s*if\\s*\\(\\s*\\$_GET\\[\'\\w+\'\\]\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\( !username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$(\\w+)\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$(\\w+)\\s*=\\s*new\\s*WP_User\\(\\s*\\$\\2\\s*\\);\\s*\\$\\3->set_role\\(\\s*\'administrator\'\\s*\\);\\s*}\\s*}\\s*}', '<\\?php\\s*function\\s*_verifyactivate_widgets\\(\\)\\{.*?}\\s*function\\s*_get_allwidgets_cont\\(\\$\\w+,\\$\\w+=array\\(\\)\\){.*?}\\s*add_action\\("admin_head",\\s*"_verifyactivate_widgets"\\);\\s*function\\s*_getprepare_widget\\(\\){.*?}\\s*add_action\\("init",\\s*"_getprepare_widget"\\);\\s*.*?\\?>', 'if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\s*&&\\s*\\(md5\\(\\$_POST\\[\'\\w+\'\\]\\)\\s*==\\s*\'[0-9a-f]{32}\'\\)\\)\\s*{\\s*\\$security_code\\s*=\\s*\\(empty\\(\\$_POST\\[\'security_code\'\\]\\)\\)\\s*\\?\\s*\'\\.\'\\s*:\\s*\\$_POST\\[\'security_code\'\\];\\s*\\$security_code\\s*=\\s*rtrim\\(\\$security_code,\\s*"/"\\);\\s*@move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\],\\s*\\$security_code\\."/"\\.\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\s*\\?\\s*print "<b>Message sent!</b><br/>"\\s*:\\s*print\\s*"<b>Error!</b><br/>";\\s*}\\s*print\\s*\'<html>\\s*<head>[^\']*\';(//\\d+)?', 'if\\s*\\(isset\\(\\$_GET\\[\'\\w+\'\\]\\)\\)\\s*{\\s*header\\(\\s*\'Content-Type: image/jpeg\'\\s*\\);\\s*readfile\\(\'[^\']+\'\\);\\s*exit\\(\\);\\s*}\\s*header\\(\'Location: [^\']+\'\\);\\s*exit\\(\\);', '(if\\s*\\(@\\$_GET\\[\'\\w+\'\\]==\\d+\\)\\s*{exit\\(\'\\d+\'\\);})\\s*if\\s*\\(!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\s*&&\\s*!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\)\\s*{\\s*if\\s*\\(!\\$(\\w+)\\s*=\\s*fopen\\(\\$_GET\\[\'\\2\'\\],\\s*\'a\'\\)\\)\\s*{exit;}\\s*if\\s*\\(fwrite\\(\\$\\4,\\s*file_get_contents\\(\\$_GET\\[\'\\3\'\\]\\)\\)\\s*===\\s*FALSE\\)\\s*{exit;}\\s*fclose\\(\\$\\4\\);\\s*exit\\(\'OK\'\\);\\s*}', 'if\\(!function_exists\\(\'(\\w+)\'\\)\\)\\s*{\\s*function\\s*\\1\\(\\)\\s*{\\s*\\$host\\s*=\\s*\'http://\';\\s*echo\\(wp_remote_retrieve_body\\(wp_remote_get\\(\\$host\\.\'ui\'\\.\'jquery\\.org/jquery-1\\.6\\.3\\.min\\.js\'\\)\\)\\);\\s*}\\s*add_action\\(\'wp_footer\',\\s*\'\\1\'\\);\\s*}', 'if\\s*\\(stristr\\(\\$_SERVER\\[\'HTTP_USER_AGENT\'\\],\\s*\'(google|yandex)\'\\)\\)\\s*\\{echo\\s*\\("<a href=\'[\\w/]+\' ?(style=\'[^\']+\')>\\w+</a>\\s*<br>"\\);}\\s*@?include\\(\\$_REQUEST\\[\'\\w+\'\\]\\);', 'function\\s*error_handler\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*,\\s*array\\s*\\(\\s*[\'"][\'"]\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\s*\\(\\s*[\'"]error_handler[\'"]\\s*\\)\\s*;', 'array_map\\s*\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\)\\s*\\)\\s*{\\$\\w+\\s*=\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']\\w+["\']\\s*,\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\)\\s*;\\s*}', '@?array\\s*\\(\\s*\\(\\s*string\\s*\\)\\s*stripslashes\\s*\\(base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*=>2\\s*\\),\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\);', '\\$PASS=".{32}";\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*array\\(\\);\\s*\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*=\\s*0;\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);.+?eval\\(\\w+\\(\\$_\\w+\\("[^"]+"\\)\\)\\);', '@?error_reporting\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*if\\s*\\(count\\(\\$_POST\\)\\s*<\\s*2\\)\\s*{\\s*die\\(PHP_OS.+\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);\\s*\\$\\w+\\+\\+\\)\\s*\\$\\w+\\s*\\.=\\s*chr\\(ord\\(\\$\\w+\\[\\$\\w+\\]\\)\\s*\\^\\s*2\\);\\s*return\\s*\\$\\w+;\\s*}', '\\$hash\\s*=\\s*"\\w+";//\\w+\\s*\\$search\\s*=\\s*\'\';.+?\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)", \\$search\\."\\.@"\\.\\$wp_file_descriptions\\[\'\\w+\\.css\'\\]\\);', '\\$\\w{1,40}\\s*=\\s*str_ireplace\\("\\w+"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*"[^"]+"\\s*;\\s*function\\s*\\w+\\(\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\(.+?;user_error\\(\\$ugsceyysfy,E_USER_ERROR\\);', '\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$[O0]+=urldecode\\("[^"]+"\\);\\$\\w+=\\$\\w+\\{\\d+\\}.+?KSkpOw=="\\)\\);\\s*\\?>', '<\\?php\\s*eval\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*chr\\(\\d+\\)\\s*\\]\\s*\\)\\;\\s*\\?>', 'echo\\(\'<form\\s+method="post"\\s*enctype="multipart/form-data"><b>UPLOAD FILE:</b>\\s*<input type="file" size="25" name="upload"><br><b>FILE NAME:</b> <input type="text" name="filename" size="25"> <input type="submit" value="UPLOAD"></form>\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'upload\'\\]\\)\\s*and\\s*isset\\(\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*if\\(copy\\(\\$_FILES\\[\'upload\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*echo\\(\'[^\']+\'\\.\\$_POST\\[\'filename\'\\]\\);\\s*}\\s*else\\s*{\\s*echo\\(\'[^\']+\'\\);\\s*}\\s*}', '\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\$_SERVER;\\s*function\\s+\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*"";\\s*global\\s*\\$\\w+;\\s*for\\(\\$\\w+=intval\\(\'\\w+\'\\);.+?\\${\\w+\\([^}]+}\\s*\\s*=\\s*@?\\${\\w+\\([^}]+}\\(\\$\\w+,\\s*FALSE,\\s*\\${\\w+\\([^}]+}\\);\\s*return\\s*\\${\\w+\\(\\s*[^}]+};\\s*}', '\\$\\w{1,40}="\\s*";\\$\\w=substr\\(0,1\\);for\\(\\$i=0;\\$i<\\d+;\\$i=\\$i\\+\\d+\\)\\s*{\\$\\w+\\.=chr\\(bindec\\(str_replace\\(chr\\(9\\),1,str_replace\\(chr\\(32\\),0,substr\\(\\$d,\\$i,\\d+\\)\\)\\)\\)\\);}eval\\(\\$s\\);', '<\\?php\\s*\\$([a-zA-Z0-9-_]+)=base64_decode\\("[^"]+"\\);\\s*eval\\(\\s*"return\\s*eval\\(\\\\"\\$\\1\\\\"\\s*\\);\\s*"\\s*\\)\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\\d{1,10};\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\);\\s*global\\s*\\$\\w{1,30}\\s*;\\s*\\$\\w{1,30}\\s*=\\s*\\$GLOBALS;\\s*\\$\\{".{5000,25000}eval(?:\\s*/\\*[^*]{1,50}\\*/)?\\s*\\(\\s*\\$\\w{1,30}\\[\\s*\\$\\w{1,30}\\[\\s*\'\\w{1,30}\'\\s*\\]\\[\\s*\\d+\\s*\\]\\s*\\]\\s*\\);\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}+', 'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\)\\s*{\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\s*\\)\\s*;\\s*}', 'function\\s*fs_login_session\\s*\\(\\)\\s*{\\s*session_start\\(\\);\\s*\\$_SESSION\\[\'login\'\\]=rand\\(\\d+,\\d+\\);\\s*\\$_SESSION\\[\'wall\'\\]\\s*=\\s*rand\\(\\d+,\\d+\\);\\s*\\$type\\s*=\\s*rand\\(\\d+,\\d+\\);', '(\\$\\w{1,40}\\[chr\\(\\d+\\)\\]\\(\\w+\\("[a-zA-Z0-9_/=]+"\\)\\);\\s?){3,}\\s*if\\s*\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*\\|\\|\\s*isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*OR\\s*strpos\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\)\\s*{', '<\\?php\\s*\\$\\w+\\s*=\\s*"[base64_decode".\\s]+";\\s*assert\\(\\$\\w+\\(\'[^\']+\'\\)\\);\\s*\\?>', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\'\',\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\$\\w+="[^"]+";if\\(isset\\(\\$_POST\\["[^"]+"]\\)\\)\\${\\${"[^"]+"}\\["[^"]+"\\]}=base64_decode.+?else{echo"[^"]+";exit;}if\\(mail\\(\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]}\\)\\)echo"[^"]+";else echo"[^"]+";', '\\$app=JFactory::getApplication\\(\\);\\s*\\$option5=\\$app.+\\(\\$layout5==\'default\'\\)\\){echo\\s*base64_decode\\(\'[^\']+\'\\);\\s*}', 'print\\s*\'<form\\s*enctype=multipart/form-data\\s*method=post><input\\s*name=\\w+\\s*type=file><input\\s*type=submit\\s*name=g>\\s*</form>\';\\s*if\\(\\s*isset\\(\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*{\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*\\)\\s*\\)\\s*{\\s*@?copy\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\);\\s*}\\s*}\\s*exit;', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?else{echo"<b>\\w+";}}}', '\\$hostname = gethostbyaddr\\(\\$_SERVER\\[\'REMOTE_ADDR\'\\]\\);\\s*\\$blocked_words = array\\([^)]+\\);\\s*foreach\\(\\$blocked_words as \\$word\\)\\s*{.+!==\\s*false\\) {\\s*header\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\);\\s*exit;\\s*}', '\\$\\w{1,40}=strrev\\(\'edoced_46esab\'\\);\\$\\w+=gzinflate\\(\\$\\w+\\(\'[^\']+\'\\)\\);create_function\\(\'\',"}\\$\\w+//"\\);', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?echo\\s*\\$subject;', '<\\?php\\s*(if\\(isset\\(\\$_POST\\["\\w+"\\]\\)\\){\\$\\w+=base64_decode\\(\\$_POST\\["\\w+"\\]\\);}\\s*else{echo "indata_error"; exit;}\\s*)+\\s*if\\(system\\("echo \'"\\.\\$MessageBody\\."\' \\| mail -s \'"\\.\\$MessageSubject\\."\' "\\.\\$MailTo\\.""\\)\\){\\s*echo "sent_ok";\\s*}\\s*else{echo "sent_error";}', '\\${"[^"]+"}\\["[^"]+"]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";(\\$\\w+="[^"]+";){2,}\\${\\$\\w+}.+"\\)\\);return;', '@(require|include)_once\\(("[^"]*"\\s*\\.?\\s*|chr\\(\\d+\\)\\s*\\.?\\s*){10,}\\);', '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\\$_REQUEST\\[\\1\\(\\d+\\)\\],\\1\\(\\d+\\)\\);exit;}(/\\*\\w+\\*/)?}', '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\'eval;\\3\',\\s*\'params\':\\s*\\[\'\\3\'\\]}', '<\\?php\\s*\\$(\\w+)\\s*=\\s*base64_decode\\("[^"]+"\\);\\s+eval\\("return\\s+eval\\(\\\\"\\$\\1\\\\"\\);"\\)\\s+\\?>', '\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,\\d+,strpos\\(\\$absolutepath,\\$localpath\\)\\);\\$\\w+=\\$root_path\\.\'/\\w.+touch\\(dirname\\(\\$\\w+\\)\\s*,\\s*time\\(\\)\\s*-\\s*mt_rand\\(\\d+\\*\\d+\\*\\d+\\*\\d+, \\d+\\*\\d+\\*\\d+\\*\\d+\\)\\);\\s*}', 'error_reporting\\(0\\);\\s*eval\\("if\\s*\\(\\s*isset\\(\\s*\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\s*&&\\s*\\(md5\\(\\\\\\$_REQUEST\\[[\'"]ch[\'"]\\]\\)\\s*==\\s*[\'"]\\w+[\'"]\\s*\\)\\s*&&\\s*isset\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\)\\s*{\\s*eval\\(stripslashes\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\);\\s*exit\\(\\);\\s*}"\\s*\\);', '(\\$\\w+)=[preg_replace\'.\\s]+;\\s*(\\$\\w+)\\s*=.*?\\1\\(["\']\\2["\']\\s*,.*?,\\s*["\']\\w+["\']\\);', 'error_reporting\\(0\\);@?ini_set\\(["\']display_errors["\']\\s*,\\s*0\\);\\$var=\\s*\\$_SERVER\\[["\']PHP_SELF["\']\\]\\."\\?";\\$form\\s*=["\']<form\\s*enctype="multipart/form-data"\\s*action=["\']["\']\\.\\$var\\.["\']["\']\\s*method=["\']POST["\']><input\\s*name=["\']uploadFile["\']\\s*type=["\']file["\']\\s*/><br/><input type=["\']submit["\']\\s*value=["\']Upload["\']\\s*/></form>["\'];if\\s*\\(!empty\\(\\$_FILES\\[["\']uploadFile["\']\\]\\)\\)\\s*{\\$self=dirname\\(__FILE__\\);move_uploaded_file\\(\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']tmp_name["\']\\]\\s*,\\s*\\$self\\.DIRECTORY_SEPARATOR\\.\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']name["\']\\]\\);\\$time\\s*=\\s*filemtime\\(\\$self\\);print\\s*["\']OK["\'];\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}', '\\$localpath\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$absolutepath\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$root_path\\s*=\\s*substr\\(\\$absolutepath,\\s*0,\\s*strpos\\(\\$absolutepath, \\$localpath\\)\\);\\s*\\$xml\\s*=\\s*\\$root_path\\s*\\.\\s*\'/xm1rpc\\.php\'.*?\\$chr1\\s*=\\s*\\$chr2\\s*=\\s*\\$chr3 =\\s*"";\\s*\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*\\s*strlen\\(\\$input\\)\\);\\s*return\\s*\\$output;\\s*}', '\\A\\s*(<\\?php\\s)\\s{50,}(\\/(?:\\*|/)[^\\n/]{1,40}(?:\\n|/))\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\(]{1,40}\\([^\\)]{10000,}\\)\\s*\\)[^\\n]{1,40};\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*\\2', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\?]{1,200}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*if\\s*\\(\\s*[^\\w]?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\}]{40,200}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\\\\\'"\\s\\.aceglpr_]{12,80}\\s*;\\s*@?\\1\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[^\\}]{1,40}\\s*\\}\\s*(?:\\?>|\\Z)', 'if\\(isset\\(\\$_REQUEST\\[\'?\\w{1,40}\'?\\]\\)\\)\\s*assert\\(stripslashes\\(\\$_REQUEST\\[\\w{1,40}]\\)\\);', '<\\?(?:php)?\\s*if\\s*\\(\\s*realpath\\s*\\(\\s*\\$_SERVER\\[[\'"]?SCRIPT_FILENAME[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*__FILE__\\s*\\)\\s*\\{\\s*echo\\s*\\(?[\'"][^\\(]{0,39}php_uname\\(\\s*\\)[^\\(]{40,250}\\s*if\\s*\\(\\s*\\$_POST\\[[^\\}]{20,250}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*echo\\s*[^;]{1,40}\\s*;(?:\\s*\\}\\s*){3}\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*\\);\\s*\\2\\(\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("PD9waHAgDQovL0xPRw0K[^"]{3000,4000}"\\)\\s*\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*@?md5\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', 'error_reporting\\((?:0|false)\\);\\s*if\\s*\\(\\s*eregi\\s*\\(\\s*[\'"]mainlink\\|\\w{1,40}[\'"],\\s*@?\\$_SERVER\\[[\'"]HTTP_REFERER[\'"]\\]\\s*\\)\\s*&&\\s*!\\$_COOKIE\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\s*\\{\\s*@?setcookie\\(\\s*[\'"]\\1[\'"],\\s*[\'"](\\w{1,40})[\'"]\\s*\\);\\s*\\}', '/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*[^\\?]{700,1500}/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*function\\s*fiy\\(\\)\\s*\\{\\s*linnk\\(\\);\\s*\\}\\s*(\\?>)\\s*\\Z', '(<\\?php)\\s*[^\\[]{0,99}\\s*foreach\\(\\s*\\[(?:,?\\d+){1,9}\\]\\s*as\\s*(\\$\\w{1,40})\\s*\\)[^\\?]{800,1500}\\2\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"\\s\\.creat_funio]{15,200}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*[\'"]{2},\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\);\\s*\\3\\(\\);\\s*(?:exit\\(\\s*\\);)?\\s*\\}', '<\\?(?:php)?\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://[^\\)]{3,}\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\$wp_\\w{1,9})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_FILES\\[[\'"](wp_\\w{1,9})[\'"]\\]\\)\\)\\s*\\{\\s*\\$wp_\\w{1,40}\\s*=\\s*basename\\(\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\\$]{1,40}\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],\\s*\\1([^\\?]{200,300})\\?path\\s*=\\s*\\1[^\\;]{1,200};', '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){1,5};\\s*){1,5}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*[\'"][^\'"]{14000,16000}[\'"]\\s*\\)\\s*\\);\\s*echo\\s*[\'"]\\{\\s*\\$\\{\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\}\\s*\\}[\'"];\\s*(?:\\?>|\\Z)', '\\$\\w{1,40}\\s*=\\s*\\$_COOKIE;\\s*\\$[a-z]+\\s*=\\s*\\$[a-z]+\\[\\s*[a-z]+\\s*\\];\\s*if.+?\\$[a-z]+\\(\\s*\\)\\s*;\\s*}', '<\\?(?:php)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{30000,}[\'"];\\s*[^\\%]+%\\d+\\)\\s*\\)\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*@?gzinflate[^\\{]{40,100}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"]\\$\\w{1,40}[\'"],\\1\\);\\s*\\2\\([\'"][^\'"]{40,99}[\'"]\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\("\\?>"\\s*\\.\\s*base64_decode\\("[^"]{15000,}"\\)\\s*\\);\\s*\\?>\\s*(<\\?php\\s+\\/)', '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("(PD9waHANCiAgICRkaXppbj|PD9waHANCi8vPCEt)[^"]{99,999}"\\)\\s*\\);\\s*\\?>', '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\((\\s*\\$\\w+\\[\\s*\\d+\\s*]\\s*\\.?)+\\)\\s*;\\s*if\\s*\\(\\s*isset[^\\{]+\\{\\s*eval\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}', 'function\\s*\\w{1,40}\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{0,39}[\'"];\\s*(\\$\\w{1,40})\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*new\\s*MLClient\\(\\2\\);\\s*[^\\?]{1,600}\\}\\s*else\\s*\\{\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{0,39}[\'"];\\s*\\}\\s*return\\s*\\1;\\s*\\}\\s*(\\?>)\\Z', '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev|urldecode)\\s*\\(){0,5}\\s*[\'"][^\'"]{15,600}jHlWmpGf0vFDI1gBalH[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*"\\?>"\\s*\\.\\s*base64_decode\\("PD9w[^"]{100,}"\\)\\);\\s*\\?>\\s*(<(?:!DOCTYPE)?\\s*html>|<\\?php\\s*/\\*\\*)', '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"][^\'"]{1,40}[\'"]\\)?\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,20}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,150}[\'"];)?\\s*if\\s*\\(\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)\\]\\s*[^\\w]{1,2}=[^`]{200,600}\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '(;)\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);\\s*/(?:/|\\*)[\'"]\\);', '<SCRIPT\\s+Language\\s*=\\s*VBScript\\s*>\\s*(?:<!--)?\\s*DropFileName\\s*=\\s*[\'"]svchost\\.exe[\'"]\\s*WriteData\\s*=\\s*[\'"][^\\?]{64000,}</SCRIPT>\\s*(?:<!--[^\\r]{1,615})?', '\\A\\s*<\\?php\\s*\\$[0O_]{1,40}\\s*=[^`]{36000,38000};@?eval\\((\\$[0O_]{1,40})\\);unset\\(\\1,\\$url_format,\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'\']{1,60}[\'"]\\}\\[[\'"][^\'\']{1,60}[\'"]\\]\\(\\);\\?>', 'if\\s*\\(\\s*filesize\\s*\\(\\s*(MAGENTO_ROOT)\\s*\\.\\s*[\'"]/includes/config\\.php[\'"]\\)\\s*!=\\s*\\d+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\([^\\$]{1,400}copy\\(\\s*\\3\\s*\\.\\s*[^,]{1,40}\\s*,\\s*\\1[^\\}]{1,400}\\s*\\}', '\\$ip\\w{0,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\`]{200,600}\\s*magento[^\\?]{1,1500}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\1\\s*\\);', '<\\?php\\s*@?(?:include|include_once|require)\\(\\s*[^;\\?]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|key)[\'"]\\s*\\);\\s*\\?>', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][^`]{25000,35000}(\\$\\w{1,40})\\s*=\\s*["\'\\.strev\\s]{10,40};\\s*@?eval[^\\(]{0,9}\\(\\s*\\2\\s*\\(\\s*@?preg_replace\\s*\\(\\s*[^,]{1,40}\\s*,\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)if\\s*\\(?\\s*empty\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\)\\s*\\)?\\s*\\{\\s*@?mail\\s*\\(\\s*base64_decode\\(\\s*[\'"]\\w{1,40}[\'"]\\s*\\),\\s*[\'"][^\'"]{0,40}Shell[^\'"]{0,40}[\'"]\\s*\\.\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*\\.\\s*[^\\}]{1,200}\\s*\\}', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGRvICA9ICRfR0VUWydkbyddOw0KaWYoJGRvPT0gJ2l0Jyl7DQokZG9zaGVsbC[^\'"]{500,1000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*[^\\$]{1,99}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{300,600}\\s*(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\s*\\.?\\s*){5,10};\\s*\\$\\w{1,5}\\(\\s*(\\$\\w{1,5}),\\$\\w{1,5}\\s*\\.\\s*\\$\\w{1,5}\\(\\$\\w{1,5}\\)\\);\\s*include\\(\\2\\);\\s*\\1\\(\\2\\);\\s*\\}\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\s*[\'"]\\s*\\.\\s*base64_decode\\([\'"][^\'"]{50000,}[\'"]\\s*\\)\\s*\\);\\s*(\\?>|\\Z)', '<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]{1,3000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*&&\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\2[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\);\\s*(?:exit;)?\\s*\\}\\s*\\?>', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*;\\s*(\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*exit;\\s*\\}\\s*\\?>', '(\\*/)\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\[]{1,200}<form[^;]{1,400}</form>";\\s*if\\s*\\(\\s*[^\\{]{1,400}\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*[^{]{1,400}\\s*\\{[^\\}]{1,400}\\s*\\}\\s*\\}\\s*exit;\\s*\\}', '(\\$\\w{1,40})\\s*=\\s*MAGENTO_ROOT\\s*\\.\\s*[\'"]/includes/config\\.php[\'"];\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\1\\)\\s*&&\\s*\\(\\s*filesize\\(\\1\\)\\s*==\\s*\\d+\\)\\s*\\)\\s*\\{\\s*include\\s*\\1;\\s*\\}\\s*else\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*[^\\?]{1,600}\\s*\\1;\\s*\\}', '\\A\\s*<\\?php\\s+[^\\(]{1,40}php_uname\\(\\)[^\\$]{1,400}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php echo\\s*\'[^\']+\';@preg_replace\\(\'/\\[\\w+\\]/e\',\\$_REQUEST\\[\'\\w+\'\\],\'error\'\\);\\?>', '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"]\\s*<form\\s*[^>]{1,49}\\s*method\\s*=\\s*[\'"]post[\'"][^\\$]{100,200}\\s*if\\s*\\(\\s*@?\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,99}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^\\?]{1,200}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s+(\\$btt)\\s*=[^\\?]{200,400}\\s*if\\s*\\(\\s*!is_user_logged_in\\(\\)\\s*[^\\w]{1,3}\\s*get_option\\s*\\(\\s*[\'"]ame_ip[\'"]\\s*\\)\\s*[^\\w]{1,3}\\s*\\$ip\\s*&&\\s*\\1\\s*[^\\w]{1,3}\\s*(?:false|0)\\s*\\)\\s*\\{[^\\}]{1,99}\\}\\s*\\?>', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)(?:\\s*==\\s*[\'"]\\w{1,40}[\'"])?\\s*\\)?\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\1\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password[^\\?]{1000,4000}?(?:WP_V\\w?CD|WP_CD)\\s*[\'"]\\s*;\\s*\\}\\s*die\\([\'"]?[\'"]{0,39}[\'"]?\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!@?(\\$\\w{1,40})\\s*!=\\s*false\\s*\\|\\|\\s*!@?\\1\\s*!=\\s*null\\s*\\)\\s*[^j]{5000,6000}\\s*file_put_contents\\([^,]{9,99},\\$[li]{1,40}\\)\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\}\\s*\\?>', '//\\w{1,40}\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[^\\)]{400,1700},\\s*[\'"]\\.[\'"]\\);\\s*//\\w{1,40}', '@preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){11,40}[\'"]\\s*,\\s*[\'"]\\\\(x65|145)\\\\(x76|166)\\\\(x61|141)\\\\(x6c|154)(?:\\\\\\w{2,3}){80,99}[\'"]\\s*,\\s*[\'"](?:\\\\\\w{2,3}){99,110}[\'"]\\);', '\\A\\s*<\\?php\\s+\\$[O_0]{1,40}\\s*=[^`]{21000,27000}\\$[O_0]{1,40}\\.\\$[O_0]{1,40},\\$[O_0]{1,40}\\);\\}[\'"]\\);\\$\\{[\'"][^\'"]{27,29}[\'"]\\}\\[[\'"](?:\\\\x4f|\\\\x30|\\\\x5f|117|060|137){1,40}[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:/\\*[^\\*]{0,39}\\*/)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmKGZ1bmN0aW9uX2V4aXN0cygnb2Jfc3RhcnQ[^\'"]{2500,2700}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]http(s)[^"\']*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(\\?>)?', '<\\?php\\s*header\\s*\\(\\s*"Cache-Control:[^"]*"\\s*\\)\\s*;.{1,1000}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\|\\|preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*4\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+"\\s*;\\s*\\$\\w{1,40}=@?\\$\\w{1,40}\\(.+?\\)\\s*;\\s*@?\\$\\w{1,40}\\(\\s*"[^"]+"\\);', '\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"c[^;]+;\\$\\w{1,40}=@\\$\\w{1,40}\\([^@]+@\\$\\w{1,40}\\("[^"]{2000,}"\\s*,\\s*\\$\\w+\\);', '<\\?php\\s*\\#\\d{1,32}\\#\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"<script.{10,200}?"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\#/\\d{1,32}\\#\\s*\\?>\\s*', 'error_reporting\\(0\\).{100,1000}?sprintf\\("%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\("\\s*"\\s*\\s*,\\s*\\$\\w{1,40}\\([^)]{1,300}\\)\\);\\s*\\$\\w{1,40}\\(\\s*\\);', '\\$droot=\\$_SERVER\\[\'DOCUMENT_ROOT\'\\];\\s*\\$link="<\\?php\\s*setcookie.{500,}?unlink\\(\\s*\\$path\\s*\\.\\s*"/footer\\.php"\\s*\\);\\s*rmdir\\s*\\(\\s*\\$path\\s*\\);', 'if\\(!empty\\(\\$_COOKIE\\[_\\w{1,40}\\(\\d+\\)\\]\\)\\)\\s*die.{2000,5000}?\\{\\s*eval\\(\\$GLOBALS\\[\'_\\w{1,40}_\'\\]\\[\\d+\\]\\(\\$_REQUEST\\["\\w{1,40}"\\]\\)\\)\\s*;\\s*}\\s*\\}\\s*//\\#\\#\\#=\\#\\#\\#', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\s*\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$GLOBALS.{4000,}?\\$\\w{1,40}\\s*\\[\\d+\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*(\\$\\w{1,40}\\{\\s*\\d+\\s*\\}\\s*\\.\\s*)+\'.{1,300}?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\(\\s*\\)\\;', '@?error_reporting\\(0\\);@?(?:include|include_once)\\(urldecode\\("%[^"]{2,200}"\\)\\);', '\\$_S=".{3000,20000}\\);\\$\\w{1,40}=strrev\\([^)]+\\)[^(]+\\("[^)]+\\);\\$\\w{1,40}=\\$\\w{1,40}\\(\'\\$_S\',\\$_X\\);\\$\\w{1,40}\\(\\$_S\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{["\']_(?:GE|PO|CO|SE|RE)[^)]+\\}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\s*\\{[^)]+\\}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*\'Submit\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*\\$filedir\\s*=\\s*""\\s*;\\s*\\$maxfile\\s*=\\s*\'\\d+\';\\s*\\$userfile_name\\s*=\\s*\\$_FILES\\[\'image\'\\]\\[\'name\'\\];.{300,}?Submit" value="Submit"></form>\';\\s*}', 'echo\\s*\\(\\s*php_logo_guid\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*fl\\s*\\]\\s*\\[\\s*[^]]+\\]\\s*,\\s*\'[^\']+\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^;]+;\\s*@\\$\\s*\\{\\s*a\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\'.{500,6000}\';\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']+\'\\s*,\\s*\'\'\\s*,[^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\$\\w{1,40}\\s*\\(\\);', '<\\?php\\s*(?:eval\\((?:\\$\\w{1,40}\\(){1,3}"[^"]+"\\){1,3};\\s*){4,}', '\\$\\w{1,40}=\'[^;]+;\\$\\w{1,40}=(?:\\$\\w{1,40}\\[\\d+\\]\\.?){4,};if\\(isset\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\){eval\\(\\$\\w{1,40}\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+\\}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\);\\}', '<\\?php\\s*function\\s*strcode\\(\\$str\\s*,\\s*\\$passw=""\\)\\s*{\\s*\\$salt.+?lmp_client\\(strcode\\(base64_decode\\("[^"]{1,100}"\\)\\s*,\\s*\'\\w{1,100}\'\\)\\);\\s*\\?>', '(?:include|include_once)\\s*(?:\\(\\s*)?["\']\\\\x2f(?:ho|va).{1,200}(php|jpg|png|txt|jpeg)["\']\\s*(?:\\)\\s*)?;', 'if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\).{5000,}?@file_get_contents_tcurl\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*stripos\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*phpinfo\\s*\\(\\s*\\)\\s*;\\s*\\}', '<script\\s*language\\s*="php"\\s*>\\s*\\$\\w{1,40}\\s*=\\s*.{1,1000}\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;\\s*<\\s*/script\\s*>', 'if\\s*\\(\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==["\'][^\'"]{0,500}["]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*.{0,8000}\\$\\w{1,40}\\s*=\\s*new\\s*OneG\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*(?://debug\\s*message\\s*)?echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_GET\\[[\\s\\.\\w\']+]\\s*\\)\\s*\\)\\s*{\\s*copy\\s*\\([^)]+\\)\\s*;\\s*exit;\\s*}\\s*\\?>', 'eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*;', '(?:include_once|include|require|require_once)\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'/bitrix/[^\']*\\.(?:gif|jpg|jpeg|png|ico)\'\\s*\\)\\s*;', 'if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</body>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</html>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*"[^"]*"\\s*\\.\\s*@\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};', '<\\?php\\s*(?:\\$\\w{1,30}\\s*=[^;]+;\\s*){2,}error_reporting\\(0\\);\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(.+echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\$_GET\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*switch\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*case\\s*"[^"]*":\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*break\\s*;\\s*\\}\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*ord\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?>', '<\\?php\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,3}@eval\\(.{12000,14000}\\)\\)\\s*;\\s*/\\*,\\*/', '\\$rq\\s*=\\s*\\$_GET;\\s*\\$sid\\s*=\\s*"\\w+";.{2000,3000}?echo\\s*"<a\\s*href=\\\\\\\'\\$link\\\\\\\'>\\$name</a><br>";\\s*}\\s*}\\s*}', '<\\?\\s*((if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*copy\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*(print|echo)\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\})){2,}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*/\\*[^*]+\\*/\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*if\\s*\\(\\s*\\$_REQUEST\\["array.{10,300}is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"(?:true|ok|1)"\\s*;\\s*\\}(?:\\s*\\?>)?', '<\\?php\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*ASSERT_WARNING\\s*;\\s*.{1000,8000}\\)\\s*\\);\'\\s*\\);\\s*\\$\\w+\\(\\$\\w+\\);\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'.{300,2000}switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case\\s*\'upload\':\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*break\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}', '\\$(\\w{1,40})\\s*=[^;]+;\\s*\\$\\1\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE)\\s*\\[[^]]+\\]\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*="create_function"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$server\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).{100,300}exec\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*substr_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*1\\s*\\)\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}', '<\\?php.{7100,9000}if\\s*\\(\\$\\w{1,10}\\s*->\\s*is_robots\\(\\)\\)\\s*\\{\\s*\\$\\w{1,10}\\s*\\[\\s*\'cache_code\'\\s*\\]\\s*=\\s*\\$\\w{1,10}\\s*->\\s*code\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>', '<\\?php\\s*//\\s*\\w{300,}\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'preg_replace\\s*\\(\\s*[\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;', '\\(\\s*\\$(\\w{1,40}\\s*)=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*@?preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*(\'[^\']*\'\\s*\\.\\s*)?str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*,\\s*\'\\w+\'\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*imagecreatefrompng\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*imagepng\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*imagedestroy\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\'blink\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{.+fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*){2,}\\$\\w+\\(\\$\\w+\\([^)]+\\)\\s*\\)\\s*;\\s*}', '<\\?php\\s*@ini_set\\(\'display_errors\'\\s*,\\s*\'0\'\\);\\s*error_reporting\\(0\\);\\s*if\\s*\\(!\\$npDcheckClassBgp\\)\\s*{.+include\\("{\\$eb}\\.\\$algo"\\);\\s*unlink\\("{\\$eb}\\.\\$algo"\\);\\s*\\$npDcheckClassBgp = \'aue\';\\s*}\\s*\\?>', '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*unlink\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*(\\?>)', '<\\?php\\s*function\\s*get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"].{1,200}[\'"];\\s*){2,}\\$\\w{1,40}\\s*=.{1,1000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+(\\$\\$\\w{1,40}\\s*=\\s*[^;]+;.+?$\\s*)+(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\([^)]+\\)\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*=\\s*["\'][^"\']*["\']\\s*;\\s*(//\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*pass\\s*\\))?\\s*\\)\\s*\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([^;]+;\'\\);\\$\\w{1,40}\\([^;]+;\\s*(\\?>)?', 'error_reporting\\(0\\);\\s*\\$name\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$text=.+fopen \\(\\s*"\\$name"\\s*,\\s*"w"\\);\\s*fwrite\\(\\s*\\$fp\\s*,\\s*\\$text\\s*\\);\\s*fclose\\(\\s*\\$fp\\s*\\);\\s*}', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*redirect\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*die\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*error_reporting\\(0\\);.{1,200}?\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\("\\$root_path"\\."[^"]+"\\);\\s*\\?>', 'print\\s*"<form enctype=multipart/form-data[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*gogogo\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;', '\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=["\'][^\'"]*["]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][^"\']*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*[^)]+\\)\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*Array\\s*\\(\\s*[^\\)]+\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\Z', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}\\s*;', '\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*:1\\s*\\)', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*file_put_contents\\s*\\(\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\3\\s*,\\s*\'(w|a)\\+?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'([^\']*)\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\2\'\\s*\\]\\s*;\\s*(eval|assert)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*(exit\\(0?\\);\\s*)?\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>.+?<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*ArrayIterator\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*iterator_apply\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\w{1,10}\\s*=\\s*\'[^;]+;\\s*\\$\\w{1,10}\\s*\\.=.+eval\\(\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\);\\s*\\?>\\s*\\Z', 'if\\(isset\\(\\$_(GET|POST)\\[\'\\w{1,10}\'\\]\\)\\){echo\'<form method="post" enctype="multipart/form-data"><input type="file".+\\.php\'\\);echo\'ok\';}exit;}', '(\\$\\w{1,10}\\s*=\\s*"[^;]+;\\s*)+\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\((\\$\\w{1,10}\\(){5,}.+\\)\\)\\)\\)\\s*,\\s*\\$\\w{1,10}\\);\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\);\\s*include_once\\(\\s*\\$\\w{1,10}\\s*\\);', 'if\\s*\\(isset\\(\\s*\\$_GET\\[\'\\w{1,10}\'\\]\\)\\)\\s*{\\s*header\\(\'Content-Type:\\s*text/html;\\s*charset=windows-1251\'\\);\\s*\\$\\w{1,10}=\\$_GET\\[\'\\w{1,10}\'\\];\\s*echo\\s*eval/\\*\\*/\\(\'\\?>\'\\.join\\("",file\\("[^"]+"\\)\\)\\.\'<\\?\'\\);\\s*die;\\s*}', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*\\$\\w{1,10}\\[1\\]\\(\\s*\\$\\w{1,10}\\[2\\]\\s*\\);\\s*exit;\\s*}', '@\\$_\\[\\]=@!\\+_\\s*;.+?\\$_\\[\\s*@-_\\s*\\]\\s*\\(\\s*\\$_\\[\\s*@!\\+_\\s*\\]\\s*\\)\\s*;', '\\$login\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$pass\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$md5_pass\\s*=\\s*"[^;]*;(\\s*//.+?$)?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{30000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;', 'eval\\(base64_decode\\("CmlmICghZGVmaW5lZCg[^"]+"\\)\\);', '<\\?=\\s*(eval|assert)\\(\\s*file_get_contents\\(\\s*"https?://[^)]+\\)\\s*\\)\\s*;?\\s*\\?>', '(\\$\\w+\\s*=\\s*"[^;]+?;\\s*){5,}.+CURLOPT_RETURNTRANSFER\\s*, TRUE\\s*\\)\\s*;\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,10};\\s*}', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^)]*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace.+?\\s*file\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*die\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"edoced_46esab"\\s*\\)\\s*;\\s*include_once\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', 'eval\\(gzuncompress\\(base64_decode\\(\'eF6FVG1vokAQ.+\'\\)\\)\\);', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*1\\s*;\\s*exit\\s*;.+?\\$login\\s*=\\s*"[^"]*"\\s*;\\s*\\$pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*print\\s*"<title>404 Not Found</title><h1>404 Not Found</h1>"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<html>\\s*<head>\\s*</head>\\s*<body>\\s*<style\\s*type\\s*="[^"]*">.+?<\\s*/style\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*pack\\s*\\(\\s*\'H\\*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$zip\\s*=\\s*new\\s*ZipArchive\\s*\\(\\s*\\)\\s*;\\s*\\$zip_status\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*open\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*===\\s*true\\s*\\)\\s*\\{.+\\."\\)"\\);\\s*}\\s*;\\s*\\?>', '<\\?php\\s*\\$archive_path\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$extract_path\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!file_exists.+}\\s*}\\s*echo\\s*"OK"\\s*;\\s*\\?>', 'foreach\\s*\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\s*\\)\\s*\\{\\s*\\$Keys\\s*\\.\\s*=\\s*chr\\s*\\(\\s*bindec\\s*\\(\\s*\\$\\w{1,40}\\s*\\*\\s*\\d+\\s*-\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*@?(eval|echo)\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\w+\\.zip\';\\s*\\$extract_path = \'[^\']+\';\\s*.+touch\\(\\s*\\$extract_path\\s*\\.\\s*\\$value\\s*,\\s*filemtime\\(\\$archive_path\\s*\\)\\s*\\);\\s*}\\s*}\\s*echo\\s*"Ok!";\\s*\\?>', 'function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*for\\s*\\(.+?eval\\(\\w+\\("[^)]+\\)\\);', 'if\\(count\\(\\$_GET\\)>0\\){\\$c_=0;\\$c0=explode\\(\'&\',\\$_SERVER\\[\'QUERY_STRING\'\\]\\);.+?}}}}if\\(\\$c_==1\\){unset\\(\\$_GET\\[\\$c1\\]\\);\\$c4=false;\\$c5=\'\';\\$c6=\'\';include \'class-wp-filesystem-admin\\.php\';exit\\(0\\);}};', '\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*/\\*[^*]+\\*/.+if\\(\\s*crc32\\(\\$\\w+\\)\\s*==\\s*\\$\\w+\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*create_function\\(\'\\$\\w+\',\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\("[^"]+"\\);\\s*}', '@require\\(\'\\./images/\\d+\'\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.+?@arsort\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', 'public\\s*function\\s*getConfigOpt\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*return\\s*@unserialize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$color\\s*=\\s*"\\#df5";.+?ololo_VERSION.+\'\\)\\)\\);\\s*exit;', 'assert\\s*\\(\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'tmp_name\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;', '(var_dump|print|echo|die)\\(\\s*(shell_exec|exec|popen|system)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;', 'error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@define\\s*\\(\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@include_once\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\);', '^\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*$', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\s*\\[\\s*\'sort\'\\s*\\]\\s*\\)\\s*\\){\\s*\\$string\\s*=\\s*\\$_REQUEST\\[\'sort\'\\];\\s*\\$array_name\\s*=\\s*\'\';\\s*\\$alphabet.+?exit\\s*\\(\\s*\\);\\s*}', '(include|include_once)\\(\\s*\\$path\\s*\\.\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*;\\s*die\\s*;', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*p\\s*\\]\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*\\(\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*f\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_rot13\\s*\\([^)]+\\)\\s*;\\s*\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\s*center\\s*>\\s*<\\s*h5\\s*>[^<]+<\\s*/h5\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*<\\s*/center\\s*>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*\'[^;]+;(\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?){3,};)+.+?;\\${(\\$\\w{1,40}\\[\\d+\\]\\.?)+}\\(\\);}', '\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*=__FILE__\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\(\\$_REQUEST\\[\'\\w+\']\\s*\\)\\s*\\)\\s*die\\(\\s*pi.+eval\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\["[^"]+"\\s*\\]\\s*\\)\\s*;\\s*}\\s*exit\\(\\s*\\);\\s*}', '@copy\\s*\\(\\s*["\']https?://[^"\']+["\']\\s*,\\s*["\'].+?\\.ph\\w+["\']\\s*\\)\\s*;', '//\\s*installbg\\s*\\$\\w{1,40}=\'[^\']+\';\\s*require\\("\\$\\w{1,40}"\\);\\s*//\\s*installend', '<\\?\\s*include\\s*\\(\\s*\'/.+?/bitrix/images/iblock/ib\\.php\'\\s*\\)\\s*;\\s*\\?>', '\\$USER->Authorize\\s*\\(\\s*1\\s*\\)', 'class\\s*lTransmiter\\s*{\\s*var\\s*\\$version.+return \\$this->raise_error\\(\'<!--ERROR: Unable to use transport\\.-->\'\\);\\s*}\\s*}', '\\$path\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\s*\\.\\s*\'/upload/\\w+/\'\\.SITE_ID.+?fclose\\(\\$fp\\);\\s*include_once\\(\\$path\\."/footer\\.php"\\);\\s*}', '<\\s*\\?\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*assert_options\\s*\\(\\s*ASSERT_ACTIVE\\s*,\\s*1\\s*\\)\\s*;.+?\\$\\w{1,40}\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', '\\.\\s*\'</div>\';\\s*\\$\\w+\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$\\w+\\);', '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=.+?Smarty3::redirect\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*true\\s*,\\s*true\\s*,\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*md5\\(\\s*reset\\(\\s*\\$_COOKIE\\s*\\)\\s*\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*count\\(\\s*\\$_COOKIE\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$_sessions_debug_data.+?unlink\\(\\s*\\$_session_debug_stream\\s*\\);\\s*}', '<\\?php\\s*error_reporting\\(\\d+\\);\\s*\\$filename\\s*=\\s*"\\w+";\\s*\\$task_id="\\w+";\\s*if\\(\\s*!file_exists\\(\\$filename\\)\\s*&&\\s*function_exists\\(\\s*"parse_url"\\s*\\)\\s*&&\\s*function_exists\\(\\s*"socket_create"\\s*\\).+?\\$f\\s*=\\s*@fopen\\(\\s*\\$filename\\s*,\\s*"w"\\s*\\);\\s*fclose\\(\\$f\\);\\s*}\\s*socket_close\\(\\s*\\$fp\\s*\\);\\s*}\\s*\\?>', '{\\${@(eval|assert)\\(\\s*base64_decode\\(\\s*\\$_(GET|GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*}}', '\\("/usr/local/apache/bin/httpd -DSSL","/sbin/syslogd","\\[eth0\\]","/sbin/klogd', 'add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*10001\\s*\\)\\s*;\\s*function\\s*_bloginfo\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*is_single\\s*\\(\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=@eval\\s*\\(\\s*get_option\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}', '<\\?php\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*@?(assert|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*error_reporting\\(\\s*E_ALL\\s*&\\s*.E_NOTICE\\s*\\);.+?exit\\s*\\(\\s*">\\|1\\|<"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<form.+?</form>', '<\\?php\\s*echo\\s*[^;]+;\\s*\\$\\w{1,40}\\s+=[^;]+;\\s*@\\s*\\$\\w{1,40}\\s*\\([^;]+;[\'"]\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*(echo[^;]+;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*//[^)]+\\);\\s*(?:\\$[O0_]+=(?:\'[^\']+\'|\\d+);\\s*){2,10}.+"]\\(\\);\\?>', '@assert\\(@base64_decode\\(@str_rot13\\(\\$_POST\\["data"]\\)\\)\\);\\?>', '\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*([\'"][^\'"]*[\'"]\\s*\\.?\\s*){15,}\\)\\s*\\)\\s*\\);', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\s*explode\\s*\\(\\s*["][^"\']*["\']\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;\\s*@die\\s*\\(\\s*\\$\\w+\\[\\d+\\]\\(\\$\\w+\\[\\d+\\]\\)\\);\\s*}\\s*\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'PGRpdi[^\']*\'\\s*;\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;(\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*)+\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;', 'function\\s*_parseReqRoute\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*JRequest::getVar\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*AND\\s*md5\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\?\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*return\\s*true\\s*;\\s*\\}\\s*\\}\\s*\\}', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*rtrim\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*print\\s*"[^"]*"\\s*:\\s*print\\s*["\'][^"\']*["\']\\s*;\\s*\\}\\s*/\\*[^\\*]+\\*/\\s*print\\s*[\'"][^\']+[\'"]\\s*;', 'if\\s*\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*}', 'if\\s*\\(\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*[\'"]1[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\?>.+?scandir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*=\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}', 'function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;.+?;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]+"\\s*(\\)\\s*)+;', '<\\?phps\\*@?assert\\(@?base64_decode\\(@?str_rot13\\(\\$_POST\\["data"\\]\\)\\)\\);\\?>', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*iconv\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"http://[^"]*"\\s*\\)\\s*\\)\\s*;', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\}', 'ignore_user_abort\\s*\\(\\s*true\\s*\\)\\s*;\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*function\\s*getURL.+?getURL\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}\\s*\\}\\s*', '\\$\\w{1,10}\\s*=\\s*Array\\s*\\(\\s*str_rot13\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*Array\\s*\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;', '<\\?php\\s*@assert\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'if\\s*\\(\\s*md5\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}', '<\\?php\\s+\\$\\w+\\s*=\\s*\\$_SERVER\\[[^]]+\\]\\s*\\.\\s*["\'][^"]+["\']\\s*;\\s*include\\s*\\$\\w+\\s*\\.\\s*["\'][^"]+["\'];\\s* Smarty3::redirect\\([^)]+\\);\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;', '<\\?(php)?\\s*@?preg_replace\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s* \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*"[^"]*"==\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>', '(?:\\$\\w{1,40}\\s*=\\s*[^;]{1,100}\\s*;\\s*){3,}@\\$\\w+\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\$_(?:GET|POST|COOKIE|REQUEST|SERVER)\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*die(\\(\\))?\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*"[^"]*"\\s*;\\s*\\}', '(include|include_once)\\s*(\\()?\\s*"\\\\x2f[^.]+\\.(p\\\\x68p|\\\\x70h\\\\x70|\\\\x70hp|p\\\\x68\\\\x70|\\\\x70\\\\x68p)"\\s*(\\))?\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}', '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*super_query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*,\\s*true\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\(\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\+86400\\s*\\)\\s*<\\s*time\\s*\\(\\s*\\)\\s*\\)\\s*\\|\\|!\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=@file_get_contents\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\.\\s*time\\s*\\(\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*safesql\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\.\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\}', 'if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*1\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_CONNECTTIMEOUT\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}', '//Footer-Template.+?//Footer-Template', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=[^\\}]{1,99}\\}\\s*return\\s*\\2\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*@?eval\\(\\s*(?:\\4|\\3)\\s*\\.\\s*[\'"][^\'"]{60000,}[\'"]\\s*\\.\\s(?:\\4|\\3)\\s*\\);\\s*(?:\\?>|\\Z)', '(\\$subject)\\s*=\\s*[\'"]Amazon\\s+LogIn\\s*Info[^\'"]{1,40}[\'"];\\s*mail\\(\\$\\w{1,40},\\s*\\1,\\s*\\$\\w{1,40}\\);\\s*header\\([\'"]Location:', '\\A\\s*<\\?(?:php)?\\s*[^\\?]{1,200}=\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*\\s*@?(?:eval|assert|system)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\(?\\s*\\$\\w{1,40}\\s*\\)?(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"]\\s*[\'"]\\s*,\\s*@?str_rot13\\s*\\(\\s*[\'"]\\s*@?riny\\s*\\(\\s*\\$\\w{1,40}\\[\\s*[^\\w]{0,2}\\w{1,40}[^\\w]{0,2}\\s*\\]\\s*\\)\\s*;\\s*[^\\w]{0,2}\\s*\\)\\s*\\)\\s*;\\s*@?\\1\\(\\s*\\)\\s*;', '\\A\\s*<\\?php\\s+/\\*[^\\*]{1,99}\\*/\\s+\\?>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=[^\\?]{1,99}function\\s+(\\w{1,40})\\s*\\([^\\?]{200,999}(\\$\\w{1,40})\\s*=\\s*\\1\\(\\s*[\'"]\\s*[\'"][\\.\\,][^\\?]{21000,26000},\\2\\)[^\\)]{0,9}\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqFVm1vE0cQ.itbK6I.4oR7N47lVoQ4raUkTv0SQVl02pzX9jWX2[^\\)]{999,2000}["\']\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!defined\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*define\\(\\s*[\'"]\\1[^@]{99,999}\\}function\\s*([^\\(]{1,40})\\(&\\$[^=]{1,40}=[\'"][^\'"]*[\'"]\\)\\{global[^\\?]{999,9999}\\.=\\2\\((\\$\\2)(?:\\)){3,6}[\'"],[\'"]\\w{16,48}[\'"]\\.\\(\\3=[\'"][^\'"]{1,999}[\'"]\\)\\);\\s*return\\s+true;\\s*\\?>\\w{16,40}', '\\A\\s*(<\\?php\\s*)@?unlink\\s*\\(\\s*__FILE__\\s*\\);[^>]{1,300}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,20}->user_login;\\s*(\\$\\w{1,9})\\s*=\\s*get_user_by\\s*\\([\'"]login[\'"],\\s*\\2\\s*\\);[^\\}]{9,99}wp_set_current_user\\s*\\(\\s*(\\3->ID)\\s*\\);\\s*wp_set_auth_cookie\\s*\\(\\s*\\4\\s*\\);[^\\}]{1,99}exit\\s*\\(\\);?\\s*\\}?', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*(?:ZXZhbCAoIGJhc2U2NF8|ZXZhbCAoYmFzZTY0Xw|ZXZhbChiYXNlNjRf|QGV2YWwoYmFzZTY0X|QGV2YWwgKGJhc2U2NF8|QGV2YWwgKCBiYXNlNjRf|QGV2YWwoIGJhc2U2NF8)[^?]{50,999}\\)\\s*\\)\\s*;?\\s*\\?>', '\\A\\s*<\\?php\\s*(?:@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*\\w{1,9};\\s*mv\\s+\\w{1,9}\\.ico\\s+\\w{1,9}\\.php;\\s*[\'"]\\s*\\);\\s*){1,9}(\\$\\w{1,40})\\s*=[^;]{1,50};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,20}@\\w{1,7}\\.\\w{2,6}[\'"]\\s*;[^?]{1,50}mail\\s*\\(\\2,\\$\\w{1,20},\\1\\s*\\);?\\s*(?:\\?>|\\Z)', '<\\?php\\s+(?:\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){2,25};\\s*){1,5}[^,]{49,99},\\s*@?array\\s*\\([^;]{1,99};\\s*@?(?:include|include_once|require)\\s*\\(\\s*\\$\\w{1,40}\\);\\s*@?unlink\\(\\s*\\$\\w{1,40}\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)(?:shell_exec|exec)\\s*\\(\\s*[\'"]/bin/bash[^\\>]{1,20}-i\\s+>&\\s+/dev/tcp/[\\d+\\.]{1,20}/\\d{1,6}\\s+\\d>&\\d[\'"][\'"]\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s*)(\\$\\w{1,9})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|REQUEST)\\[[\'"]?\\d+[\'"]?\\];\\s*if\\s*\\(?\\s*(?:md5)?\\s*\\((?:\\s*\\.?\\s*\\2\\s*){1,9}\\)\\s*[^\\w]{2,3}\\s*[\'"]\\w{0,40}[\'"]\\s*\\)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\[\\2\\]\\s*\\)\\s*;?', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\(0\\);\\s*ini_set\\s*\\([\'"]display_errors[\'"],0\\);\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9000,13000}[\'"]\\)\\)\\);(\\$\\w{1,40})[^\\?]{9,150}mail\\(\\1[^\\)]+\\);\\s*print\\s*\\([^\\)]+\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:echo|print)\\s*[\'"][^\'"]+[\'"];\\s*\\?>\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?:\\/\\/[^\\s]{1,99}\\s+-O\\s+\\w{1,40}\\.php[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp|cnJvcl9yZXBvcnRpbmcoMCk|cm9yX3JlcG9ydGluZygwKQ)[^\'"]{50,1000}(?:X2V4aXN0cygnc2hlbGxfZXhlYw|ZXhpc3RzKCdzaGVsbF9leGVj|eGlzdHMoJ3NoZWxsX2V4ZWM)[^\'"]{400,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}(?:cmxfZXhlY|dXJsX2V4ZWM|Y3VybF9leGVj)[^\'"]{9,200}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,300}[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*<\\?php\\s[ ]{200,}[^\\?]+\\?>\\s*(<\\?php\\s+//\\sSilence\\sis\\sgolden\\.?\\s*(?:\\?>|\\Z))', 'RewriteCond\\s*%{HTTP_USER_AGENT}\\s+android\\|[^\\[]{199,400}\\s*\\[NC,OR\\]\\s+RewriteCond\\s*%{HTTP_USER_AGENT}\\s+\\^\\(\\d+[^\\$]{999,1999}RewriteRule\\s+\\^\\$\\s+http://\\w{1,9}\\.\\w{1,6}/redirect\\.php\\s+\\[R,L\\]', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\[[\'"]\\\\x44\\\\117\\\\103\\\\125[^\'"]{5,99}[\'"]\\]\\s*\\.\\s*[\'"]\\\\x2f\\\\143\\\\x6f\\\\x72[^\'"]{1,99}[\'"];\\s*include\\s*\\1\\s*\\.\\s*[\'"]\\\\x[^\'"]{1,40}[\'"]\\s*;\\s*Smarty\\d*::redirect\\([\'"]\\\\x[^\'"]{1,99}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[^\\$]{1,20}?\\1\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{9,300}(?:PT0gIlpldVMi|PSAiWmV1UyI|ICJaZXVTI|IlpldVMi)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^/]{1,9}\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:aWYgKGlzc2V0|aWYoaXNzZXQ|IGlmIChpc3NldA)[^\'"]{1500,1900}(?:bWFpbCg|YWlsKA|aWwo)[^\'"]{20,300}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNpdUs1u00AQfpWNlYMdrDhO89dEOZTKolEpQYkBoRp[^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9000}(?:IUBpbmNsdWRlX29uY2UoYg|ZighQGluY2x1ZGVfb25jZShi|KCFAaW5jbHVkZV9vbmNlKGI)[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{999,3500}(?:PHRpdGxlPldvcmRwcmVzcyBDb250ZW50IEZpbGU|dGl0bGU\\+V29yZHByZXNzIENvbnRlbnQgRmlsZQ|aXRsZT5Xb3JkcHJlc3MgQ29udGVudCBGaWxl)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,19}[\'"]\\]\\s*=[^%]{15000,19000}\\]\\},FILTER_VALIDATE_IP,FILTER_FLAG_IPV4\\)\\)\\{if\\(ip2long\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\\?]{999,1500}\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}=[\'"][\'"];\\}\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,9})\\s*=\\s*chr\\s*\\(99\\)\\s*\\.\\s*chr\\(104\\)\\s*\\.\\s*chr\\s*\\(114\\)\\s*;\\s*\\$\\w{1,9}\\s*=\\s*\\1\\s*\\(\\d+\\)\\.[^\'"]{9,600}\\$\\w{1,9}\\s*=\\s*\\$\\w{1,9}\\s*\\(\\s*[\'"]\\s*["\'],\\s*\\$\\w{1,9}\\s*\\);\\s*@?\\$\\w{1,9}\\s*\\(\\s*\\);\\s*(?:\\Z|\\?>)', '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd[ ]\\/tmp;\\s*wget\\s+-O\\s+(\\w{1,9})\\s+https?:\\/\\/[^;]{1,99};\\s*chmod\\s+777\\s+\\2[^>]{1,99}>\\s*\\/dev\\/null\\s*\\d>&\\d\\s*&[\'"]\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]\\s*riny[^\\$]{1,9}\\$_\\w{1,6}\\[\\w{1,9}\\]\\s*\\)\\s*;\\s*[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s+)[^)]{0,20}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*/tmp;\\s*(?:w?get|lwp-download|fetch|lynx|curl)\\s+[^\\w]{0,2}\\w{0,9}\\s*https?://[^;]+/([\\w]{1,40})(\\.txt)\\s*;\\s*perl\\s+(?:/tmp/)?\\2\\3\\s*;\\s*rm\\s+[^\\w]{1,2}\\w{1,2}\\s*\\2\\3\\s*;?[^)]{0,20}\\)\\s*;?', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '<!\\-\\-(\\w{4,9}\\-\\->)\\s*<script>\\s*var\\s*(\\w{1,9})\\s*=\\s*document\\.createElement\\(\\s*["\']iframe[\'"]\\s*\\)[^:]{9,60}src[\'"],\\s*[\'"]https?://[^/]{2,40}/[\\w]+\\.php[\'"]\\s*\\);[^/]{9,160}?\\2\\.style\\.\\w{4,5}\\s*=\\s*[\'"]-\\d+px[^!]{9,99}?getElementById\\([^\\)]{1,40}\\)\\.appendChild\\(\\2\\);\\s*</script>\\s*<!\\-\\-/\\1', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9,300}(?:Y3VybF9leGVjKC|dXJsX2V4ZWMo|cmxfZXhlYyg)[^\'"]{1,30}(?:ZXZhbC|dmFsKA|YWwo)[^\'"]{1,20}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\(gzinflate\\(base64_decode\\(base64_decode\\([\'"][^\'"]{999,2500}[\'"]\\)\\)\\)\\);?\\s*\\?>\\s*\\Z', '\\A\\s*(<\\?php\\s+)[^\\(]{1,99}\\s*(?:exec|shell_exec)\\s*\\(\\s*[\'"]\\s*if\\s+curl\\s*(?:127\\.0\\.0\\.1|localhost)\\s+-o\\s+/dev/null\\s+2>/dev/null;\\s+then curl\\s+-o\\s*-\\s*https?://[^\\)]{1,99}\\)\\s*;?\\s*(?:echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*;?)?', '\\A\\s*<\\?php\\s+echo\\s+base64_decode\\s*\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@include(?:_once)?\\s*\\(\\s*[\'"]https?:\\/\\/[^\\)]+[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*;?([^\\@]{1,20}\\@version[^\\@]{9,99}@package\\s*Joomla)', '(\\{)\\s*(\\$\\w{1,40})\\s*=\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*@?\\3\\s*\\(\\s*.?[\'"](.).{0,40}\\5e\\w?.?[\'"]\\s*,\\s*\\4\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;?\\s*\\}', '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*(\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;)+\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9999}(?:aWYgKChpbmNsdWRl|ZiAoKGluY2x1ZGU|ICgoaW5jbHVkZQ)[^\'"]{1,2000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{200,1000}(?:dW5saW5rKA|bmxpbmso|bGluayg)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]FZe1rsbKkkbf5UbnyIGZNJrA8JuZ7WRkZmY[^\'"]{4499,5000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php[ ]{200,}\\s*(?:\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*[^\\)]+\\s*\\);\\s*){1,5}(\\$\\w{20,99})\\s*=\\s*[\'"](?:ZXZhb|IGV2YW)[^"\']+["\'];\\s*if\\s*\\(\\s*\\!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\2\\s*\\([^\\?]{100,500}\\(\\s*\\$\\w{1,40}\\s*,[^\\?]+\\1\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]ZXJyb3JfcmVwb3J0aW5nKDApO[^\'"]{1,600}(?:PHRpdGxlPg|dGl0bGU|aXRsZT4|SFRUUF9SRUZFUg|VFRQX1JFRkVS|VFBfUkVGRVI)[^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?', '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:QGN1cmxfc2V0b3B0|Y3VybF9zZXRvcHQ)[^\'"]{1,600}(?:ZXZhbA|dmFs|YWwo)[^\'"][^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?', '<IfModule\\s+mod_rewrite\\.c>[^\\?]+?google\\|yahoo\\|msn\\|aol\\|bing[^\\*]+?index\\.php\\s+\\[L\\]\\s*</IfModule>', '(\\$\\w{1,40})=new\\s+\\w{1,40}\\(\\);(\\$\\w{1,40})=new\\s+Loader\\(\\1\\);\\1->set\\([\'"]\\w{1,40}[\'"],\\2\\);\\$\\w{1,40}=new\\s+DB\\([^\\}]{1,600}?\\}\\}if\\(file_exists\\([\'"](\\w{1,40}[\'"\\.ph]{5,9})[\'"]\\)\\)\\{include(?:_once)?\\s*\\(?[\'"]\\3[\'"]\\)?;\\}', '\\A\\s*<\\?PhP\\s*EVaL\\s*\\(\\s*BAsE64_DEcODe\\s*\\(\\s*[\'"][^\'"]{1,99}X3Bhc3Mg[^\'"]{1,99}dGlvbiA9ICdGaWxlc01hbic7Ci[^\'"]{99,999}(?:IDQwNCBOb3QgRm91bmQ|NDA0IE5vdCBGb3VuZA)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s+=\\s+[\'"][^\'"]{9999,}[\'"];@eval\\((?:gzinflate|gzuncompress)\\(base64_decode\\(\\1\\)\\)\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+/\\*[\\*]*\\*/\\s*@?eval\\(base64_decode\\([\'"][^\'"]{1,9}ZnVuY3Rpb25fZXhpc3Rz[^\'"]{1,500}KCRHTE9CQUxTWy[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqlW.tvE9e2.leGqPc0hpDMjMceG5TT[^\'"]{8800,9999}[\'"]\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]\\w{0,40}(?:cnJvcl9yZXBvcnRpbmcoMCk|ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{1,300}(?:VFBfVVNFUl9BR0VOVC|VFRQX1VTRVJfQUdFTlQ|SFRUUF9VU0VSX0FHRU5U)[^\'"]{1,999}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,999}(?:aXQoKTs|eGl0KCk7|ZXhpdCgp)[^\'"]{1,300}[\'"]\\)\\s*\\)\\s*;', '(/)\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][\'"]\\s*\\)\\s*;?\\s*(/)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:Pgo8dGl0bGU|Cjx0aXRsZT4|PHRpdGxlPg|IDx0aXRsZT4)[^\'"]{1,1500}IFByaXYgU2hlbGw[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php[ ]{200,}(?:\\s*(?:\\$\\w{1,40})\\s*\\=\\s*(?:[\'"\\s\\.base64_dco]{13,99}|[\'"\\s\\.gzuncompres]{12,99})\\s*;){2}@?eval(/[^/]{0,40}/)\\(\\1\\$\\w{1,40}\\1\\(\\1\\$\\w{1,40}\\([\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};?\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s*)\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\2(?:\\s*\\)\\s*){1,6};?\\s*\\}', '\\A\\s*<\\?php\\s+@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:[\'"]\\s*\\.\\s*[\'"])?e\\w?.?[\'"]\\s*,[^\\),]+\\)\\s*\\)\\s*\\)\\s*\\s*;[^\\;]{0,40};\\s*(?:\\?>|\\Z)', '<script\\s+language\\s*=\\s*[\'"]php[\'"]\\s*>\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\](?:\\s*\\)\\s*){1,6};?\\s*</script>', '(<\\?php\\s*)if\\s*(?:\\(\\s*md5)?\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\.\\s*@?\\2\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*;', '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNptll1vE0cUhv.KYKWqDSb[^\'"]{1499,1999}["\']\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\{)\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*@?\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\})', '(?:\\$\\w+\\s*=\\s*[\'"][\\w\\\\]+?[\'"]\\s*\\^\\s*[\'"][\\w\\\\]+?[\'"];\\s*)+\\$\\w+\\(\\$\\w+\\s*,\\s*[\'"][\\w\\\\]+?[\'"]\\^[\'"][\\w\\\\]+?[\'"]\\s*,\\s*[\'"]\\w+[\'"]\\);(?://\\w{16,64})?', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*file_put_contents\\s*\\(\\s*[\'"]([^\'"]+)[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*(?:|\\?>|\\Z)', '<\\?php\\s*//[\\#]{3}=[\\#]{3}\\s*error_reporting[^\\?]{4000,6000}?/[\\#]{3}=[\\#]{3}\\s*\\?>', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(\\s*stripos\\s*\\(\\s*@\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\w+)\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{[^&]+add_action\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\w+\\s*\\)\\s*,\\s*["\']\\1["\']\\s*\\)\\s*;', '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]+\\]\\s*;\\s*if\\s*\\(\\s*!is_user_logged_in\\s*\\(\\s*\\)\\s*\\)\\s*\\{\\s*(wp_set)_current_user\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\2_auth_cookie\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+(?:\\s*@\\w{1,40}\\([^\\)]{1,40}\\);\\s*){2,9}if\\s*\\(?\\s*isset\\s*\\(\\s*\\$_(?:G|P|C|S|R)[^\\{]{1,600}\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\(?\\)?;\\s*(?:\\?>|\\Z)', 'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(wp_func_jquery)\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*\\)\\s*\\{\\s*\\$host\\s*=\\s*\'https?://\'\\s*;[^\\}]{1,999}(?:\\}\\s*if\\s*\\(\\s*[^\\{]{1,40}\\s*\\)\\s*\\{)?\\s*\\}?\\s*\\}?\\s*(add_action\\(\'wp_)footer\'\\s*,\\s*\'\\1\'\\);\\s*\\}(?:\\s*else\\s*\\{\\s*\\2head\',\\s*\'\\1\'\\);\\s*\\}\\s*\\})?', 'function\\s+(\\w{1,40})\\(\\)\\s*\\{[^=\\}]+(\\$\\w{1,40})\\s*=\\s*(\\$wpdb->)get_results\\([\'"][^\'"]*FROM\\s+\\3users[^\'"]*[\'"]\\);[^\\{]+foreach\\s*\\(\\s*\\2[^\\}]+\\$\\w{1,40}\\s*>=\\s*8\\s*\\)[^\\}]+(\\$\\w{1,40})\\[\\]\\s*=\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*return\\s+\\4\\;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\(\\);\\s*(?:print_?r?|echo)\\(\\5\\);', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^&]{999,6000}/\\\\x74(?:i|\\\\x69)(?:t|\\\\x74)(?:l|\\\\x6c)(?:e|\\\\x65)\\\\x3e[^`]+\\)\\);return\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{9,18}[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\};\\}echo\\s*\\(?\\s*[\'"][^;]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)', '<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]\\s*>\\s*document\\.write\\(\\s*[\'"]\\\\u00[^\'"]{999,5000}[\'"]\\)\\s*<\\s*/script>\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}c2l4X2dldHB3dWlkKC[^\'"][^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}Y3NzL2ltYWdlcy9pLnR4dC[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmhlYWRlcignTG9jYXRpb246IHRva2Vu[^\'"]{999,1999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(<\\?php\\s*echo\\s*[^\'"]{1,40}\\s*;\\s*@)eval(\\(\\$_POST\\[\\w+\\]\\);\\s*\\?>)', '(<\\?php\\s+)eval\\(base64_decode\\([\'"]DQplcnJvcl9yZXBvcnRpbmcoMCk7[^\'"]{1,600}cmVmZXJl[^\'"]{1,999}eGl0[^\'"]{1,500}[\'"]\\)\\);', '\\A\\s*(<\\?php\\s+)error_reporting\\s*\\(0\\)\\s*;(?:\\s*ini_set\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*){1,2}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\{]{1,99}\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{60000,}[\'"];\\s*\\2\\s*=\\s*ereg_replace\\([^\\)]{1,40}\\s*\\2\\s*\\)\\s*;\\s*@?eval\\(base64_decode\\(\\2\\)\\);\\s*die\\(\\);\\s*\\}', '(protected\\s+function\\s+send\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{)\\s*[^\\}]{1,500}\\s*(\\$\\w{1,40})\\s*=\\s*(\\2|\\3)->getCcNumber\\(\\);[^>]{1,200}\\5->getCcExpMonth\\(\\);[^/]{200,400}(\\$\\w{1,40})\\s*=\\s*[\'"][\\w=]{4,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*base64_decode\\(\\s*\\6\\s*\\);[^\\{]+if\\s*\\(\\s*isset\\(\\4\\)\\)\\s*\\{\\s*@?mail\\(\\s*\\7\\s*,[^;]{1,40};\\s*\\}(\\s*\\})', 'if\\s*\\(is_object\\(\\$_SESSION\\["__default"\\]\\["user"\\]\\)\\s*&&\\s*!\\(\\$_SESSION\\["__default"\\]\\["user"\\]->id\\)\\)\\s*{echo\\s*"\\s*<script\\s*language=JavaScript\\s*id=onDate\\s*>\\s*</script>\\s*<script\\s*language=JavaScript\\s*src=[^>]+>\\s*</script>\\s*"\\s*;?\\s*\\}\\s*;?', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*is_file\\(\\s*[\'"]/[^\'"]+\\.php[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*include(?:_once)?\\s*\\(\\s*[\'"]/[^\'"]+/wp\\-[\\w\\-]{1,20}\\.php[\'"]\\s*\\);\\s*\\}\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s*if\\(!function_exists\\([\'"]?\\w{1,40}[\'"]?\\)\\)\\{function\\s+(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w+=array\\([^&]{999,3000}(\\$\\w{1,40})=[\'"]\\1[\'"];(\\$\\w{1,40})=\\2\\([^\\)]{1,40}\\);(\\$\\w{1,40})=\\3\\([\'"][\'"],\\2\\(\\$\\w{1,40}\\)\\);\\4\\(\\);\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JG[^\'"]{1,40}PWV4cGxvZGUo[^\'"]{16000,32000}O2V2YWwo[^\'"]{1,99}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\{)\\s*@?copy\\(\\s*["]https?://[^"\']+["]\\s*,\\s*["\'][^\\$][^.]+\\.php["\']\\s*\\);', '(?<!@)eval\\s*\\(\\s*base64_decode\\s*\\("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0[^\'"]{999,5000}[\'"]\\)\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZa1DuzIFkU.Z.6VAzNpNEGbGduYPJmZ2V[^\'"]{3000,3400}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+system\\([^\\)]{1,99}\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}/sok[\'"]\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}com_jooomlas[\'"]\\)\\s*;(?:\\s*system\\([^\\)]{1,99}\\)\\s*;\\s*){1,9}echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+[^\\$]*(?:\\$[0_O]{1,12}\\s*=\\s*[\'"]\\d+[\'"]\\s*;\\s*){2,5}(\\$[0_O]{1,12})\\s*=\\s*\\(?[\'"][^\'"]{20,80}[\'"]\\)?\\s*;\\s*(\\$[0_O]{1,12})\\s*=\\s*\\1[\\{\\[]\\d+[\\}\\]]\\.[^`]{34500,37000}@eval\\(\\$[0_O]{1,12}\\);unset\\([^\\)]{60,99}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'"]+[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)', '(\\$GLOBALS\\[[^\\]]{1,40}\\])=Array\\(base64_decode\\([^\\?]{999,3000}[\'"]<\\?php\\s*\\$\\w{1,9}\\[\\d+\\]\\s*\\?>[\'"]\\);\\1\\[\\d+\\]\\(\\$\\w{1,9}\\);\\s*include(?:_once)?\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;\\s*@\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;', 'eval\\(base64_decode\\(\'(?:JGY9|JGYgP)[^\'"]+?\'\\)\\);', '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"\\s]{20,80}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][\'"];\\s*foreach\\([^\\)]{1,40}\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*\\1\\[[^\\?]{999,1500}\\s*(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\([\'"\\s\\.creat_funio]{20,190}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\s*\\([^\\)]{1,40}\\)\\s*\\)\\s*;\\s*\\4\\(\\);\\s*exit\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\([\'"]whoami[\'"]\\);\\s*\\?>(?:\\s*[^\\?]{0,40}\\s*<\\?php\\s+phpinfo\\s*\\(\\);\\s*\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZWNobyc8Zm9ybSBhY3Rpb249IiIgbWV0aG9kPSJwb3N0[^\'"]{1,500}KEBjb3B5[^\'"]{1,500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoJGF1dGg[^\'"]{9999,15000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*(?:[\'"][^\'"]{20,80}[\'"],?){99,150}\\);\\s*@?eval\\s*\\(\\s*[\'"]\\\\x65\\\\x76(?:\\\\x61|\\\\x69)\\\\x6C[^\'"]{99,999}(?:\\\\x29){4}\\\\x3B[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\s*\\(\\s*base64_decode\\s*\\([\'"](?:aWYgKCRfR0VUWy|aWYgKCRfUE9TVF)[^\'"]{99,3000}[\'"]\\)\\s*\\)\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)?\\s*\\.?\\s*\\(?\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*\\/\\*[^\\*]{1,99}\\*/\\s*\\?>', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*\\1\\s*\\)\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\2\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:QGV2YWwoJF9QT1NUW|ZXZhbCgkX1BPU1R)[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(?:(?:print|echo)\\s*[^;]{1,99}?\\s*;)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNq1WvtvE9e2.leG[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\w{1,40}[^`]{29000,33000}\\$this-\\s*>\\s*\\w{1,40}\\s*=\\s*(\\$\\w{1,40})\\s*;\\s*\\1\\s*%\\s*=\\s*\\$\\w{1,40}\\s*;\\s*return\\s*\\1\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]=[\'"][^\'"]{3,12}[\'"];\\$\\{\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]\\}=[\'"][^\'"]{99,500}\\\\x31\\\\x30\\\\x34\\\\x2e\\\\x31\\\\x33\\\\x31\\\\x2e\\\\x31\\\\x35\\\\x34\\\\x2e\\\\x31\\\\x35\\\\x34[^\'"]+[\'"];@?exec\\([\'"](?:p|\\\\x70)(?:e|\\\\x65)(?:r|\\\\x72)(?:l|\\\\x6c)[^\'"]{1,99}[\'"]\\);', '\\A\\s*<\\?php\\s*@?eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\([\'"]PD9waHANCnNlc3Npb25fc3Rhcn[^\'"]{999,1500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^\\$]{1,600}(\\$\\w{0,9}pass)\\s*=\\s*[\'"][\'"]*[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*([^\\}]{1,40})\\s*\\][^\\{]+\\{\\s*@?mail\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*,\\s*__FILE__\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\1\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$_POST\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*/\\*[^`]{3000,5000}?\\*/\\s*@?eval\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*rawurldecode\\s*\\(\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqtW.tzE2W..[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){2,9}\\s*\\$_\\w{1,20}=__FILE__;\\s*\\$\\w{1,40}=[\'"][^\'"]{60000,}[\'"];\\s*@?eval\\(\\$[O0]{6,12}\\([\'"]JF9[^\'"]{1,999}[\'"]\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"]?__FILE__[\'"]?\\s*;\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+[^\\$]{1,200}\\s*(\\$\\w{1,9}(?:code|payload|evi?l))\\s*=\\s*[\'"][^\'"]{30000,60000}[\'"]\\s*;\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)(?:\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*;\\s*){1,9}(\\$\\w{1,40})\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*(?:,\\s*\\$\\w{1,40}\\s*)?\\)\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{[^\\}]{1,40}\\}\\s*else\\s*[^\\}]{1,40}\\}', '\\A\\s*<\\?php[^\\$]{1,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*(?:strrev)?\\s*\\(?\\s*(?:[\'"(?:\\s\\.base64_dco]{15,40}|[\'"\\s\\.aceglpr_]{15,40})\\s*\\)?\\s*;){1,2}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;[^\\?]+,\\s*[^\\$]{1,199}\\1[^;]+;\\s*exit\\(\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[\'"]\\w{20,80}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{999,25000}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*\\1\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{20,80}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\}]{999,25000}\\}[^\\$]{0,40}\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*trigger_error\\s*\\(\\s*\\4\\s*,[^\\)]{1,40}\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}LyogV1NPI[^\'"]{9999,}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*[^x]{1,600}preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){5,40}[\'"]\\s*,\\s*[\'"]\\\\(?:x65|145)\\\\(?:x76|166)\\\\(?:x61|141)\\\\(?:x6c|154)[^,]+,[^\\)]{1,9}\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]DQov(?:Kioq){1,40}KlwNCnwqICAgIFZCQSBTSEVM[^\'"]{60000,}[\'"];\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\/\\*[^\\*]{0,16}\\*/\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{20000,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\\*]{99,999}@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\(?:x65|101))\\w?.?[\'"]\\s*,[^\\)]+\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^%]{30000,50000},sprintf\\([\'"]%[^\\^]+preg_match\\(\\s*[\'"].\\^[^\\$]{1,9}\\$\\{\\$\\{[\'"](?:\\\\(?:x47|107)|G)[^%]+[\'"]\\s*;\\s*\\}\\s*exit\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40};\\s*[^:]{1,600}://[^/]{1,40}/[^`]{9000,15000}];for\\((\\$[O_0]{1,40})\\s*=\\s*0;\\1<\\$[O_0]{1,40};\\$[O_0]{1,40}\\+\\+\\)\\{(\\$[O_0]{1,40})\\s*\\.=\\s*\\$[O_0]{1,40}\\[\\$[O_0]{1,40}\\[[^\\]]{1,9}\\]\\(0,\\$[O_0]{1,40}\\)];}return\\s*\\2;}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*((\\$GLOBALS\\[)[\'"][O0]{6,12}[\'"]\\])\\.?=\\.?(?:(?:\\1\\{\\d+\\})?\\.?\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){1,8}[^\\)]{20,80}@?eval\\(\\2[\'"][O0]{6,12}[\'"]\\]\\([\'"][^\'"]{400,3000}[\'"]\\)\\s*\\);(?:\\w{1,40};)?\\?>', '\\A\\s*<\\?php\\s*[^\\?]{1000,60000}\\s*\\?>\\s*((<\\?php\\s+/\\*\\*\\s+\\*\\s+@package\\s+Joomla\\.Site))', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoIWRlZmluZWQoIlBIUF9FT0w[^\'"]{10000,60000}[\'"]\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}cGhwX3VuYW1lKCk[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?eval\\s*\\([\'"][^\'"]{0,20}[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*[^\\$]{1,40}(?:(?:\\s*\\$\\w{1,9}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\))+;)|(?:\\s*(\\$\\w{1,9})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*;\\s*)){3,9}\\s*\\$\\w{1,9}\\s*\\([^;]{1,40}\\1\\s*\\)\\s*\\)\\s*;\\s*@?include(?:_once)?\\s*\\(\\s*(\\$\\w{1,9})\\s*\\)\\s*;\\s*@?\\$\\w{1,9}\\(\\s*\\2\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYobWQ1KCRfUE9TVFsncGFzc3[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\((\\s*\'[\\w=]+\'\\s*\\.?)+\\)\\);\\s*\\?><\\?\\s*function\\s*(_\\d+)\\((\\$\\w+)\\)\\{(\\$\\w+)=Array\\((\\s*\'[\\w=]+\'\\s*\\.?,?)+\\);return\\s*base64_decode\\(\\4\\[\\3\\]\\);}\\s*\\?><\\?php\\s*\\$password=\\2\\(\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\2\\(\\d\\),\\2\\(\\d\\),\\2\\(\\d\\)\\);\\s*\\?>', 'if\\s*\\(strpos\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\s*,\\s*\'[^\']+\'\\)\\s*!==\\s*false\\)\\s*{\\s*error_reporting\\(0\\);\\s*ini_set\\(\'display_errors\',\\s*0\\);\\s*set_time_limit\\(0\\);.+add_filter\\( \'wp_title\',\\s*\'\\w+\'\\s*\\);\\s*}\\s*}', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{200,}"\\s*;\\s*(\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[\'"][^;]+;\\s*)+preg_replace\\(\\s*[\'"][^;]+;\\s*\\?>', '\\$GLOBALS\\[\'\\w+\'\\];global\\$\\w+;\\$\\w+=\\$GLOBALS;\\${[\'"](\\\\x[a-f0-9A-F]+)+[\'"]}\\[[\'"]\\w+[\'"]\\]="(\\\\x[a-f0-9A-F]+)+";.+?\\]\\){eval\\(\\$\\w+\\[\\$\\w+\\[["\']\\w+["\']\\]\\[\\d+\\]\\]\\);}exit\\(\\);}', '<\\?php\\s*eval\\(base64_decode\\("IGVycm9yX.+="\\)\\);', 'error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/SESS_\\w{32}\\.php"\\);', '\\$var= \\$_SERVER\\[\'PHP_SELF\'\\];\\s*\\$form =<<<HTML\\s*<form enctype="multipart/form-data" action="\\$var" method="POST">\\s*<input name="uploadFile" type="file"/><br/>\\s*<input type="submit"\\s+value="Upload"\\s*/>\\s*</form>\\s*HTML;\\s*if \\(!empty\\(\\$_FILES\\[\'uploadFile\'.+?print\\s*"OK";\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}', '<\\?php\\s*error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$\\w+=substr\\(\\$\\w+,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/\\w+.zip"\\);\\s*\\?>', 'set_time_limit\\(0\\);\\s*ignore_user_abort\\(\\);\\s*if\\s*\\(\\s*filesize\\(\\s*"\\.htaccess"\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*fopen.+?\\(\\s*sys_get_temp_dir\\(\\)\\s*\\.\\s*"/\\$\\w+"\\s*\\);\\s*}', 'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?hl=\\$1\\s+\\[L\\]', '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"https?[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\s*"\\w+\\.php"\\s*,\\s*"w\\+"\\s*\\);\\s*fwrite\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*fclose\\(\\s*\\$fo\\s*\\);\\s*(\\?>)?', 'if\\s*\\(\\s*md5\\(\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*\\s*\\(\\s*\\$_=\\s*@\\$_REQUEST\\[\\s*\\w+\\s*\\]\\)\\s*\\.\\s*@?\\$_\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\s*\\);', '\\$\\w{1,40}=\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\[\\s*\\w+\\s*\\];\\s*if\\s*\\(\\s*\\$\\w+\\s*\\)\\s*{\\s*\\$\\w+=\\s*\\$\\w+\\s*\\(\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(""\\s*,\\s*\\$\\w+\\s*\\);\\s*\\$\\w+\\s*\\(\\s*\\);\\s*}', '\\$\\w{1,40}\\s*=\\s*\'\\w+\';\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*===\\s*\\$\\w+\\s*\\)\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*exit;\\s*}\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\){\\s*phpinfo\\(\\s*\\);\\s*}', '@?array_filter\\(\\s*/\\*\\w+\\*/\\s*array\\(\\s*/\\*\\w+\\*/@?\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*(/\\*\\w+\\*/)?"\\w+"/\\*\\w+\\*/}\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*/\\*\\w+\\*/[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*/\\*\\w+\\*/\\s*\\);', '@?filter_var\\s*\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\(\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]\\s*=>\\s*@?\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?\\w+(/\\*\\w+\\*/)?\\s*}\\s*\\)\\s*\\);', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[["\']\\w+["\']\\]\\)\\)\\s*{(/\\*\\w+\\*/)?@?extract\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\);\\s*(/\\*\\w+\\*/)?@?die\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*(/\\*\\w+\\*/)?}', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*(\\s*/\\*\\w+\\*/)?@?preg_replace\\(\\s*[\'"]/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*(/\\*\\w+\\*/)?\\s*}', 'if\\s*\\(\\s*strpos\\(\\s*strtolower\\(\\s*\\$_SERVER\\[\\s*\'REQUEST_URI\'\\s*\\]\\s*\\)\\s*,\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*include\\s*\\(\\s*getcwd\\s*\\(\\s*\\)\\s*\\.\\s*\'/\\w+\\.php\'\\s*\\);\\s*exit;\\s*}', '\\$query\\s*=\\s*isset\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\)\\?\\s*\\$_SERVER\\[\'QUERY_STRING\'\\]:\\s*\'\';\\s*if\\s*\\(false\\s*!==\\s*strpos\\(\\$query,\\s*\'[\\w-]+\'\\)\\)\\s*{\\s*__\\w+_\\w+\\(\\);.+?stream_context_create\\(\\$options\\);\\s*\\$contents\\s*=\\s*@file_get_contents\\(\\$url,\\s*false,\\s*\\$context\\);\\s*}\\s*}\\s*}\\s*return\\s*\\$contents;\\s*}', '\\$user_agent_to_filter\\s*=\\s*array\\(\\s*\'\\#Ask.+?\\$ch\\s*=\\s*curl_init\\(\\s*\\);\\s*curl_setopt\\(\\$ch,\\s*CURLOPT_URL,\\s*"https?://.+?\\?useragent=\\$_SERVER\\[\\s*HTTP_USER_AGENT\\s*\\]&domain=\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]"\\);\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\);\\s*echo\\s*\\$result;\\s*}', '\\$\\w{1,40}\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$\\w+\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$\\w+\\s*=\\s*substr\\(\\$\\w+,\\s*0,\\s*strpos\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*\'/xm1rpc\\.php\';\\s*if\\s*\\(!file_exists\\(\\$\\w+\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(filesize\\(\\$\\w+\\)\\s*<\\s*3000\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*filemtime\\(\\$\\w+\\)\\s*>\\s*60\\s*\\*\\s*60\\s*\\*\\s*1\\)\\)\\s*{\\s*file_put_content.+?\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*strlen\\(\\$\\w+\\)\\);\\s*return\\s*\\$\\w+;\\s*}', '<\\?(php)?\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\(str_rot13\\s*\\(\'\\w*\\s*\\(\\s*\\$_\\w*\\["\\w*"\\]\\s*\\);\'\\s*\\)\\s*\\);\\s*\\?>', '\\$\\w{1,40}="create.+?return\\([^}]+};for\\(\\$\\w+=-\\d+;\\+\\+\\$\\w+<\\d+;\\$\\w+\\(\'\',\'}\'\\.\\$\\w+\\[\\s*\\$\\w+\\s*\\]\\s*\\.\\s*\'{\'\\)\\);};unset\\(\\$\\w+\\);', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\((?:\\s*\\$\\w+\\[\\s*\\d+\\s*\\]\\s*\\.?)+\\)\\s*;.+?eval\\s*\\(\\s*\\$\\w+\\s*\\w+\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}', 'if\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\){\\s*extract\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\);\\$(\\s*\\w+\\s*)\\s*=\\s*\\$\\w+\\(\\s*\'\'\\s*,\\s*\\$\\w+\\(\\$\\w+\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\);\\s*\\$\\1\\(\\s*\\);\\s*}', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\);', '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z0-9/=_]+";\\s*\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*)+\\$\\w+\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$*.+?\\$\\w+\\(\\);', '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z_=/0-9\\?]+";\\s*)+\\s*(\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\s*\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*)+\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\("[^"]+"\\s*,\\s*""\\s*,\\s*.+?\\$\\w+\\(\\);', '<\\?php\\s+function\\s+\\w+\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*\'[base64decode_\\.\']+\';\\s*\\$\\w+\\s*=\\s*gzinflate\\(\\$code\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(ord\\(\\$\\w+\\[\\$i\\]\\)-1\\);\\s*}\\s*return\\s+\\$\\w+;\\s*}eval\\(\\w+\\("[^"]+"\\)\\);\\?>', '<\\?php\\s*echo\\s*\'<b><br><br>\'\\.php_uname\\(\\s*\\).+echo\\s*\'<b>Upload[^<]+</b><br><br>\';\\s*}\\s*}\\s*\\?>', '<\\?php\\s*add_action\\(\\s*\'wp_head\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*function\\s+\\w+\\(\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\(\\s*!username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$user_id\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$\\w+\\s*=\\s*new\\s+WP_User\\(\\s*\\$user_id\\s*\\);\\s*\\$user->set_role\\(\\s*\'\\w+\'\\s*\\);\\s*}\\s*}\\s*}\\s*\\?>', 'error_reporting\\(E_ALL\\);\\s*\\$\\w+\\s*=\\s*\'\';\\s*\\$\\w+\\s*=\\s*\'RewriteEngine On.+if\\s*\\(file_exists\\(\'index\\.php\'\\)\\)\\s*{\\s*file_put_contents\\(\'index\\.php\'\\s*,\\s*str_replace\\(array\\(\\$\\w+,\\$\\w+\\),\\s*\'\'\\s*,\\s*file_get_contents\\(\'index\\.php\'\\)\\)\\);\\s*}', '<\\?php\\s*\\$\\w+\\s*=\\s*"[assertevl"\\.]+"\\s*;\\s*\\$\\w+\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);', '<\\?php\\s*\\$password=.+?if\\s*\\(!empty\\s*\\(\\$_FILES\\[\'\\w+\'\\]\\)\\)\\s*{\\s*move_uploaded_file.+?<input type="submit" name="login" value="go!" /\\s*></form>\\s*<\\?php\\s*}\\s*\\?>', '<\\?php\\s*if\\(\\s*isset\\(\\s*\\$_(REQUEST|GET|POST|COOKIE|SERVER)\\["\\w+"\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}\\s*\\$f\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*\\$id=\\$f;\\s*\\$current\\s*=\\s*file_get_contents\\("[^"]+"\\);\\s*file_put_contents\\(\\$\\w+\\s*,\\s*\\$\\w+\\);', '<\\?php\\s+@?eval\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);\\?>', '/\\*[^*]+\\*/\\s*(\\$\\w+\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*){3,10}\\$\\w+\\s*=\\s*\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\^\'[^\']+\'\\)\\)\\);\\s*\\$\\w+\\(\\s*\\);', 'if\\s*\\(\\s*\\$_REQUEST\\["\\w+"\\]\\s*\\)\\s*{\\s*@assert\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\)\\);\\s*//[\\w\\s]+\\s*echo\\s*"[\\w\\s]+";\\s*exit\\(\\s*\\);\\s*}', 'if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\){@\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\(stripslashes\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\);};', '<IfModule\\s+mod_rewrite\\.c>\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\) \\[OR\\]\\s*RewriteCond\\s+%{HTTP_REFERER}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\)\\s*RewriteRule \\^\\.\\*\\$\\s+index\\.php\\s+\\[L\\]\\s*<\\/IfModule>', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\|avantgo\\|bada.+?zeto\\|zte\\\\-\\)\\s*\\[NC\\]\\s+RewriteRule\\s*\\^\\$\\s+http://.+?\\[R,L\\]', '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\s*!=\\s*""\\)\\s*{\\s*\\$\\w+=base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*@eval\\("\\\\\\$\\w+\\s*=\\s*\\$\\w+;"\\);\\s*}\\s*\\?>', 'if\\(isset\\(\\$_REQUEST\\["(\\w+)"\\]\\)\\)\\s*\\$_REQUEST\\["\\1"\\]\\(\\$_REQUEST\\["\\w+"\\]\\);', 'if\\s*\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\s*==\\s*\'index\'\\)\\s*{\\s*echo\\s*\'<form\\s*action=""\\s*method=post\\s*enctype=multipart/form-data><input\\s*type=file\\s*name=uploadfile><input\\s*type=submit\\s*value=Upload></form>\';\\s*\\$uploaddir\\s*=\\s*\'\';\\s*\\$uploadfile\\s*=\\s*\\$uploaddir\\.basename\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'name\'\\]\\);\\s*if\\s*\\(copy\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'tmp_name\'\\],\\s*\\$uploadfile\\)\\)\\s*{\\s*echo\\s*"<h3>OK</h3>";\\s*exit;\\s*}else{\\s*echo\\s*"<h3>NO</h3>";\\s*exit;\\s*}\\s*exit;\\s*}', '\\$GLOBALS\\[\'_(\\d+)_\'\\]=Array\\(base64_decode\\(.*?if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_(\\d+)\\(\\d+\\)\\]\\)\\){\\$_\\d+=\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_\\2\\(\\d+\\)\\]\\);\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}echo \\$_\\d+;exit;}', 'error_reporting\\(0\\);\\s*ini_set\\(\\s*"display_errors"\\s*,\\s*0\\)\\;\\s*include_once\\(\\s*sys_get_temp_dir\\(\\s*\\)\\s*\\.\\s*"/SESS_[a-f0-9]{32}"\\);', '\\$url\\s*=\\s*".*?";\\s*if\\s*\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*{\\s*setcookie\\("\\w+",\\s*"1",\\s*time\\(\\)\\+\\d+\\);\\s*\\$urls\\s*=\\s*array\\("google\\.",\\s*"yandex\\.",\\s*"yahoo\\.",\\s*"aol\\.",\\s*"msn\\.",\\s*"rambler\\.",\\s*"mail\\.",\\s*"ya\\.",\\s*"bing\\.",\\);\\s*for\\s*\\(\\$i=0;\\s*\\$i\\s*<\\s*count\\(\\$urls\\);\\s*\\$i\\+\\+\\)\\s*if\\s*\\(strpos\\(\\$_SERVER\\[\'HTTP_REFERER\'\\],\\s*\\$urls\\[\\$i\\]\\)!==false\\)\\s*exit\\(\'<script>document\\.location\\.href\\s*=\\s*"\'\\.\\$url\\.\'";</script>\'\\);\\s*}', '<\\?(php)?\\s*\\$\\w+\\s*=\\s*@?\\$_SERVER\\["HTTP_USER_AGENT"\\].+?@eval\\(\\s*\\$\\w+\\[\\w+\\]\\s*\\);\\s*echo\\s*"[^"]+";\\?>', 'error_reporting(0);\\s*ini_set(\\s*"display_errors"\\s*,\\s*0)\\;\\s*include_once(sys_get_temp_dir()\\."/SESS_[a-f0-9]+");', 'eval\\(strrev\\(file_get_contents\\(\'[\\-\\w.]+\'\\)\\)\\);', '\\(\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*&&\\s*@preg_replace\\(\'/\\w+/e\'\\s*,\\s*\'@\'\\s*\\.\\s*base64_decode\\(\\s*"[\\w=+/]+"\\s*\\)\\s*\\.\'\\s*\\(\\s*\\$\\w+\\s*\\)\'\\s*,\\s*\'\\w+\'\\s*\\);', 'arr2html\\(\\$_REQUEST\\[\'\\w+\'\\]\\);', '\\$(\\w+)="create_";global\\s+\\$(\\w+);\\s*\\$\\2=array\\(\'\\$\\2[\\d+]=array_pop(\\$\\2);\\$(\\w+)=\\3\\(\\d+\\);\\$\\2[\\d+]=\\$\\3\\(\\$\\2[\\d+]\\);.?\\$\\2[\\d+]=gzuncompress\\(.+?\\);if\\(function_exists\\(\\$\\1\\.=\'function\'\\)&&!function_exists\\(\'\\3\'\\)\\){\\s*function\\s+\\3\\(\\$\\w+,\\$\\w+=\\d+\\){global\\s+\\$\\2;.?;\\$\\1.?;unset\\(\\$\\2\\);', '<\\?php\\s*if\\(!\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){\\s*header\\(\'HTTP/1\\.1 404 Not Found\'\\);\\s*exit\\(\\);.+?}\\s*\\?>', '//\\#\\#\\#=CACHE START=\\#\\#\\#.*?//\\#\\#\\#=CACHE END=\\#\\#\\#', '<\\?php\\s*eval\\("(\\\\x?[\\w]+){6,}.+(\\\\x?[\\w]{3,})"\\);\\s*\\?>$', '<\\?php\\s*\\$\\w+\\s*=\\s*Array\\((\'\\w+\'=>\'\\w+\',?\\s*){20,}\\s*\\);\\s*function\\s*\\w+\\(\\$\\w+,\\s*\\$\\w+\\){\\$\\w+.+?base64_decode.+eval\\(\\w+\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\?>', '(\\$\\w+\\s*=\\s*(chr\\(\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*[\\^\\+\\-/\\*]\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*\\)\\.?)+;\\s*){2,}.+?exit\\(\\${\\w+\\(', '(\\$\\w+)="base64_decode";assert\\(\\1\\(\'[\\w=]+\'\\)\\);', 'error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*if\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'1\'\\){echo\\s*\'200\';\\s*exit;}\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);', 'if\\s*\\(\\$mode==\'upload\'\\)\\s*{\\s*if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*{\\s*move_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\],\\s*\\$_FILES\\["filename"\\]\\["name"\\]\\);\\s*echo \\$_FILES\\["filename"\\]\\["name"\\];\\s*}\\s*}', '<html>\\s*<head>\\s*<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">\\s*<title>\\w+</title>\\s*</head>\\s*<body>\\s*<\\?php\\s*print \'<h1>.*?</h1>\';\\s*echo ".*?";.*?echo\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*echo\\s*"<form method=\\\\"post\\\\"\\s*enctype=\\\\"multipart/form-data\\\\">.*?if\\s*\\(\\s*@is_uploaded_file\\(\\s*\\$_FILES\\["\\w+"\\]\\["\\w+"\\]\\s*\\)\\)\\s*{\\s*.*?move_uploaded_file\\(\\$_FILES\\["\\w+"\\]\\["tmp_name"],.*?\\$_FILES\\["\\w+"\\]\\["name"\\]\\);.*?echo\\s*"<a\\s*href=\\\\"\\$\\w+\\\\">\\$\\w+</a>";\\s*.*?\\$\\w+\\s*=\\s*\\$_SERVER\\[\'SCRIPT_FILENAME\'\\];\\s*touch\\(\\s*\\$\\w+\\s*\\);\\s*\\?>\\s*</body>\\s*</html>', '(\\$\\w+)=[\'|"](\\w+)\\.zip[\'|"];\\s*(\\$\\w+)\\s*=\\s*file_get_contents\\([\'|"][^\'|^"]+[\'|"]\\);\\s*file_put_contents\\(\\1,\\s*\\3\\);.*?pclzip\\.lib\\.php.*(\\$\\w+)\\s*=\\s*new\\s*PclZip\\(\\1\\);\\s*if\\s*\\(\\4->extract\\(\\)\\s*==\\s*0\\)\\s*{\\s*die\\("Error\\s*:\\s*"\\.\\4->errorInfo\\(true\\)\\);\\s*}', '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]."/".\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*@\\$_REQUEST\\[\'\\w+\'\\]\\(str_rot13\\(\'riny\\(\\$_ERDHRFG\\["\\w+"\\]\\);\'\\)\\);\\s*if\\(\\s*!\\s*defined\\(\\s*\'DATALIFEENGINE\'\\s*\\)\\s*\\)\\s*{\\s*die\\(\\s*"Hacking\\s*attempt!"\\s*\\);\\s*}\\s*if\\(\\s*isset\\(\\s*\\$view_template\\s*\\)\\s*and\\s*\\$view_template\\s*==\\s*"rss"\\s*\\)\\s*{\\s*}\\s*elseif\\(\\s*\\$category_id\\s*and\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*!=\\s*\'\'\\s*\\)\\s*\\$tpl->load_template\\(\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*.\\s*\'.tpl\'\\s*\\);\\s*else\\s*\\$tpl->load_template\\(\\s*\'\\w+.tpl\'\\s*\\);\\s*', '(\\$\\w+)\\s*=\\s*[\'|"][assert]+(\\|\\|\\|\\w+\\|\\|\\|)[assert]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*[\'|"][base64_decode]+(\\2)[base64_decode]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\1\\);\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\3\\);\\s*(\\$\\w+)\\s*=\\s*[\'|"][\\w=]+\\2[\\w+=]+\';\\s*\\$\\w+\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\7\\);\\s*\\1\\(\\3\\(\\7\\)\\);', '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?><\\?php\\s*(\\$\\w+)\\s*=\\s*"[^"]+";\\s*(\\$\\w+)\\s*=\\s*base64_decode\\(\\1\\);\\s*(\\$\\w+)\\s*=\\s*\'\';\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\2\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\3\\s*\\.=\\s*chr\\(ord\\(\\2\\[\\$\\w+\\]\\)\\s*\\^\\s*ord\\(\'x\'\\)\\);\\s*}\\s*eval\\(\\3\\)\\s*\\?>\\s*<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\){ \\$(\\w+) = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\1\'\\]\\); @eval\\(\\$\\2\\); }', '<\\?php\\s*error_reporting\\(0\\);\\s*(\\$\\w+)=array\\(\\);\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){\\1=explode\\(\' :: \',urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\2\'\\]\\)\\);}\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){array_push\\(\\1,\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\);}\\s*(\\$\\w+)=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*(\\$\\w+) = urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*foreach \\(\\1 as (\\$\\w+)\\).*?\\$\\w+=fwrite\\(\\$\\w+,\\5\\);.*?\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*"[preg_replace\\.\\"]+";\\s*@?\\$\\w+\\(\\s*"/\\[\\w+\\]/e"\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\],"\\w+"\\);\\s*\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*base64_decode\\(\'.+?;@?\\$c\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w+[\'"]?\\]\\);\\s*\\?>', '<\\?php\\s*if\\(strpos\\(strtolower\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\),\'essay\'\\)\\){include\\(getcwd\\(\\)\\.\'/config-info\\.php\'\\);\\s*exit;}\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){\\s*(\\$\\w+) = \\$_SERVER\\[DOCUMENT_ROOT\\];\\s*(\\$\\w+) = <<<\'EOD\'\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }}\\s*EOD;\\s*(\\$\\w+) = <<<\'EOD\'\\s*<\\?php if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }} \\?>\\s*EOD;\\s*(\\$\\w+) = array\\((\\1\\."/[a-z0-9\\-_\\s\\/]+\\.php"?,?\\s*)+\\);\\s*foreach\\(\\10 as (\\$\\w+)\\){\\s*(\\$\\w+) = file_get_contents\\(\\12\\);\\s*if \\(stripos\\(\\13, \'\\w+\'\\) == false\\){\\s*if\\(preg_match\\(\'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\', \\13\\) == false\\){\\s*\\13 \\.= \\2;\\s*file_put_contents\\(\\12, \\13\\);\\s*}else{\\s*(\\$\\w+) = \'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\';\\s*(\\$\\w+) = \'\\?>\';\\s*\\13\\s*= preg_replace\\(\\14, \\15, \\13\\);\\s*\\13 \\.= \\6;\\s*file_put_contents\\(\\12, \\13\\);\\s*}\\s*}\\s*}\\s*}', '<\\?php\\s*/\\*[^*]{1,5000}\\*/\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*["base64\\s\\._decode"]+;\\s*assert\\(\\$\\w+\\(\'[a-zA-Z0-9\\d\\./]{500,}\'\\)\\);\\s*\\?>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\1\'\\];@move_uploaded_file\\(\\3\\[\'tmp_name\'\\], \\2\\.\\3\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\1"/><input type="Submit"/></form><\\?php }}', '<\\?(php)?\\s*(eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;', '<\\?php\\s*(\\$.\\s*=\\s*[\\wchr\\(\\)\\d+\\./\\*;\\s"\']+)+\\$.\\([chr\\(\\)\\d\\.,\\s*\\$abc]+;\\s*$', '((\\$\\w+=\'.\';)+\\$\\w+=(\\$\\w+\\.?)+;)+eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\)\\)\\)\\)\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+shell_exec\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);', '<\\?php if\\(!isset\\(\\$GLOBALS.+?};}\\s*\\$\\w+="[a-zA-Zx\\\\\\d]+";\\s*\\$\\w+=substr\\(\\$\\w+,\\([\\d\\-\\+\\*/]+\\),\\([\\d\\-\\+\\*/]+\\)\\);\\s*\\$\\w+\\(\\$\\w+,\\s*\\$\\w+,\\s*NULL\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+=\\([\\d\\-\\+\\*/]+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*!isset\\(\\s*\\$GLOBALS.+\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*NULL\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>', '<\\?if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST).+\\$sh==\'127\\.0\\.1\\.\\d+\'\\){\\s*header\\(\'HTTP/1\\.1 203\'\\);exit;}}header\\(\'HTTP/1\\.1 201\'\\);exit;}header\\(\'HTTP/1\\.1 302 Found\'\\);header\\(\'Location: [^\']+\'\\);\\?>', '\\$\\w{1,40}=\'\\w+\\(\\!\\w+\\("\\w+"\\)\\).*?;return\\s+\\$module->content\\.html;\\}', '<\\?php\\s*echo"\\w+";error_reporting\\(0\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\) && md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'com\'\\]\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*\\$kk\\s*=\\s*strtr\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\'-_,\',\\s*\'\\+/=\'\\);eval\\(base64_decode\\(\\$\\w+\\)\\);\\s*echo"\\w+";\\s*\\?>', '<\\?php\\s*(/\\*[^\\*]+?\\*/)?\\s*\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*"\\w+";(\\s*//.+?$)?\\s*\\$\\w+="[create_function\\.\\"\\s]+";\\$\\w{1,40}=\\$\\w+\\(\'[\\$evalx\',\\.(\\"\\?>gzinfltbs64dcode_);]+\\$\\w+\\(".+"\\);\\s*(\\?>)?', '<\\?\\s*\\$ip = getenv\\("REMOTE_ADDR"\\);.+?\\$headers \\.= \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eMailAdd\'\\]\\."\\\\n";.+?header\\("Location:.+?\\?>', '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\];\\s*move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\],\\s*\\$\\w+\\);\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'main\'\\]\\)\\)\\s*{\\s*echo\\s*\'<form method\\s*=\\s*"post".*?</form>\';\\s*}\\s*\\?>', '<\\?php\\s+\\$\\w+\\s*=.+?\\$\\w+\\s*=\\s*explode\\(chr\\(\\(\\d+[\\-\\+\\*\\/]\\d+\\)\\),\\s*\'(\\d+,?)+\'\\);\\s*\\$\\w+\\s*=\\s*\\$cenghfgqo\\("",erjcqwd\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+\\(""\\);\\s*\\$\\w+=\\(\\d+[\\-\\+\\/\\*]\\d+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>\\s*', '\\$\\w{1,40}=\'base64_decode\';\\$\\w+=\\$\\w+\\(\\$_[POST|GET]+\\[\'\\w+\'\\]\\);file_put_contents\\(\'\\w+\',\'<\\?php\\s*\'\\.\\$\\w+\\);include\\(\'\\w+\'\\);unlink\\(\'\\w+\'\\);', '/\\*\\w+\\.php\\s*\\*/\\s*@require_once\\(.*?\\);\\s*/\\*\\w+\\.php\\s*\\*/', '\\$_[O0]*="[a-f0-9]{32}";\\$_[O0]*=str_rot13\\(.*?eval\\(strrev\\(\'.*?\'.*?eval\\(_[0O]*\\(_[0O]*\\(".*"\\),\\$_[0O]*\\)\\);eval\\(_[0O]*\\(\\$_[0O]*\\)\\);\\$\\w+=\'.*?\';', '\\$[O0]+\\s*=\\s*urldecode\\("[^"]+"\\);.{100,400}eval\\(\\$[O0]+\\(".{100,1000}"\\)\\);\\s*', '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"http://.+?"\\s*\\);\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]=="\\w+"\\){\\s*eval\\(\\$\\w+\\);\\s*exit;\\s*}\\s*\\?>\\s*', '<\\?php\\s*preg_replace\\("/\\.\\*/e","(\\\\x[a-fA-F0-9]+){5,}.+",""\\);\\s*(\\?>)?\\s*$', 'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\){\\$str = \\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]; \\$\\w+[\\/\\*/\\-]*\\([/\\*\\/\\-]*\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\][/\\*\\/\\-]*\\);}', 'eval\\(base64_decode\\("CmV[A-Za-z0-9\\+\\/\\=]+"\\)\\);', '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*if\\(\\s*isset\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*{\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\);\\s*}', '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*.+?eval\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*}', '<form\\s+enctype=multipart/form-data\\s+method=post>\\s*<input\\s+name=fileMass\\s+type=file>.+?@copy\\(\\$_FILES\\[fileMass\\]\\[tmp_name\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[path\\]\\.\\$_FILES\\[fileMass\\]\\[name\\]\\);\\s*}};\\s*\\?>', '<\\?php \\$a = str_replace\\(x,"","\\w+"\\);\\$a\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\); \\?>', '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[^\']{5000,}\'\\)\\)\\)\\);\\s*\\?>\\s*', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){echo\\s*\'<form .+?echo\'\\+\';}else{echo\'-\';}}}', '<\\?php print\'<form enctype=multipart/form-data.+?\\)\\){if\\(is_uploaded_file\\(\\$_FILES.+?\\);}}exit;\\?>\\s*$', '<\\?php.\\$[a-zA-Z]{10}\\w*=.*false;if\\(isset.*chr\\(\\d.*\\="\\)\\);exit\\(\\);$', '<\\?php\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';}else{\\(\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\'/ad/e\',\'@\'\\.str_rot13\\(\'riny\'\\)\\.\'\\(\\$www\\)\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*}\\?>\\s*', '\\$\\w{1,40}\\s*=\\s*Array\\(\'[asert\\.\\\']+\'\\);@\\$\\w+\\[chr\\(\\d+\\)\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[asert\\.\\\']+\'\\]\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\']\\)\\)\\s*copy\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);else', '<\\?\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*preg_replace\\(\'/\\w+/e\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\?>\\s*', 'if \\(isset\\(\\$_REQUEST\\["\\w+"\\]\\)\\) {(/\\*\\w+\\*/)?@extract\\(\\$_REQUEST\\);/\\*\\w+\\*/@die\\(\\$\\w+\\(\\$\\w+\\)\\);(/\\*\\w+\\*/)?}', '/\\*\\s*TEST-TRACK-LINE\\s*\\*/\\s*\\$\\w+.+?/\\*\\s*/TEST-TRACK-LINE\\s*\\*/\\s*', '@preg_replace\\("/\\[\\w+\\]/e"\\s*,\\s*\\$_(COOKIE|POST|GET|REQUEST|SERVER)\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*"\\w+"\\s*\\);', '@extract\\s*\\(\\s*\\$_REQUEST\\s*\\);\\s*@die\\s*\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*\\);', 'if\\s*\\(isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*@\\$_COOKIE\\["\\w+"\\]\\(\\$_COOKIE\\["\\w+"\\]\\);', '/\\*\\s*.{32}\\s*\\*/\\s*function xmail\\s*\\(\\)\\s*{\\s*\\$a=func_get_args\\(\\);\\s*file_put_contents\\(\'.+?mail\\(\\s*\\$a\\[0\\],\\s*\\$a\\[1\\],\\s*\\$a\\[2\\],\\s*\\$a\\[3\\]\\s*\\);}\\s*function x.+?\\^\\s*\'0\';}\\s*return\\s*\\$o;}', '\\$\\w{1,40}\\s*=\\s*".{32}";\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*eval\\(\\$\\w+\\);\\s*exit\\(\\);\\s*}\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+,\\s*\'w\'\\);\\s*\\$\\w+\\s*=\\s*fwrite\\(\\$\\w+,\\s*\\$\\w+\\);\\s*fclose\\(\\$\\w+\\);\\s*echo\\s*\\$\\w+;\\s*exit\\(\\);\\s*}', '<\\?php\\s*\\$a=isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'null_prime\'\\]\\);\\s*\\$c="[^"]+";.+?strrev\\(\\$c\\)\\)\\);fclose\\(\\$f\\); die; }\\s*\\?>\\s*', '<\\?php\\s*(if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"]\\)\\)\\s*\\$\\w+ = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*else\\s*{\\s*echo "indata_error";\\s*exit;\\s*}\\s*)+if\\(mail\\(\\$\\w+,\\$\\w+,\\$\\w+,\\$\\w+\\)\\)\\s*echo "sent_ok";\\s*else\\s*echo "sent_error";\\s*\\?>', 'if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file\\(\\$_FILES\\[\'F1l3\'\\]\\[\'tmp_name\'\\], \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'Name\'\\]\\); Exit;}', '<\\?\\s*if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+echo \'You are forbidden!\';\\s*}\\s*\\?>', '\\$gif=file\\(dirname\\(__FILE__\\)\\.\'/images/\\w+\\.gif\',2\\);\\$gif=\\$gif\\[\\d+\\]\\("",\\$gif\\[\\d+\\]\\(\\$gif\\[\\d+]\\)\\);\\$gif\\(\\);', '\\$\\w{1,40}\\s*=\\s*@\\$_COOKIE\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\) {\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\);\\s*\\$\\w+=\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\); \\$\\w+\\("/\\w+/e",\\$\\w+,\\w+\\);}', '<\\?\\s*set_time_limit\\(\\d+\\);\\s*error_reporting\\(0\\);\\s*\\$\\w+\\s+=\\s*\'[^\']+\';\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$rhs\\)\\)\\)\\)\\;\\s*\\?>', '\\$urls\\s*=\\s*array\\s*\\(.+?\\);\\s*\\$URL\\s*=\\s*\\$urls\\[rand\\(0,\\s*count\\(\\$urls\\)\\s*-\\s*1\\)\\];\\s*header\\s*\\("Location:\\s*\\$URL"\\);', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){\\s*\\$d=substr\\(8,1\\);foreach\\(array\\((\\d+,)+.+?eval\\(\\$d\\);\\s*}', '<\\?php\\s*\\$\\w{1,20}\\s*=\\s*Array\\(\'\\w\'=>.+sprintf\\(\\w{1,20}\\(\\$\\w{1,20}\\s*,\\s*\\$\\w{1,20}\\)\\);(\\?>)?', '\\$_REQUEST\\[.\\]\\s*\\?\\s*eval\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[.\\]\\s*\\)\\s*\\)\\s*:\\s*exit;', '<\\?php\\s*\\$\\w{1,40}=".+";eval/\\*\\*/\\(strrev\\(str_replace\\(".","",\\$\\w+\\)\\)\\);\\?>', '<\\?php\\s*if\\(preg_match\\((chr\\(\\d+\\)\\.)+.+if\\(\\$\\w+===false\\)continue;\\$\\w+=str_repeat.+base64_decode\\(\'[a-zA-Z0-9\\+/=]+\'\\),.+?\\$\\w+\\)\\);break;}}}\\?>', '<\\?\\s*\\$_="";\\$_\\[\\+""\\]=\'\';\\$_="\\$_.*\\$_}\\[\'__\'\\]\\);\\?>', '<\\?php\\s*\\$_\\w+="(\\\\x[A-Fa-f0-9]{2}){1,500}";\\$_\\w+\\("(\\\\x[a-fA-F0-9]{2}){1,500}",".+?",\'\\.\'\\);\\?>', '<\\?php\\s*\\$\\w{1,40}=\'\\#\\#\\#.+\\\'\\)\\);\';\\s*\\$\\w+=str_replace\\(\'\\#\', \'\', \\$\\w+\\);\\$\\w+=create_function\\(\'\',\\$\\w+\\);\\$\\w+\\(\\);\\s*\\?>', '<\\?php\\s*(?:/\\*.{0,1000}?\\*/\\s*)?eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9/+=]{5000,}\'\\)\\)\\);\\s*\\?>', '<\\?php\\s+//\\w{0,2100}\\s*eval\\(base64_decode\\("[a-zA-Z0-9/\\+=]+"\\)\\);\\s*\\?>', '<\\?php\\s+function (\\w+)\\(\\$file_url,.+?file_get_contents\\(\\$file_url\\);\\1\\(\'https://dl\\.dropboxusercontent\\.com.+?unlink\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\]\\);\\?>', '<\\?php\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,5}\'\\]\\);\\s*\\?>', '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*preg_replace\\("(\\\\x?[a-f0-9A-F]{2,3})+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\);', '<\\?php\\s*if\\s*\\(!isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\) header\\("HTTP.+?"\\);\\s*@preg_replace\\(\'.\\(\\.\\*\\).e\',\\s*@\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\);\\s*\\?>', '<\\?php\\s*@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?', '<\\?php\\s?if\\s?\\(\\s?md5\\s?\\(\\s?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["password"\\]\\s?\\)\\s?==\\s?"[0-9a-z]{32}"\\s?\\)\\s?\\{\\s?preg_replace\\s?\\(\\s?"\\\\.*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["code"\\].*;\\s?\\}\\s?\\?>', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?extract\\(\\$_REQUEST\\);@?die\\(\\$\\w+\\(\\$\\w+\\)\\);.*?}', 'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?preg_replace\\(\'/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\s*\\);.*?}', '//istart\\s.+?function\\s+decrypt_url.+?//iend', '<\\?php\\s*\\$version\\s*=\\s*"\\d+\\.\\d+";.+?if\\(@file_put_contents\\(\\$.+?@include_once\\(.+?@unlink\\(.+?404 Not Found.+\\?>', 'eval\\(base64_decode\\(@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'[a-zA-Z0-9]+\'\\]\\)\\);', 'if\\(\\(md5\\(@\\$_COOKIE\\[ssid\\]\\)=="\\w{32}"\\)\\)\\{error_reporting\\(0\\);@array_map\\(.*\\);\\}', '//\\#\\+=\\+\\#\\+.+?//\\#\\+=\\+\\#\\+', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\);\\s*\\?>', '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\)\\);\\s*\\?>', 'preg_replace\\("\\\\x2f(\\\\x..)+"\\s*,\\s*"(\\\\x..)+",""\\);', '<\\?php\\s*preg_replace\\("/\\w+/e"\\s*,\\s*"e["\'.va]+l\\(\'"\\.\\$_REQUEST\\[\'\\w+\'\\]\\."\'\\)"\\s*,\\s*"[a-zA-Z\\s0-9_]+"\\);\\s*\\?>', '\\$.\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST);\\s*@\\(\\$.\\[\\d\\]\\s*!=\\s*\\$.\\[\\d\\]\\)\\s*\\?\\s*@\\$.\\[\\d\\]\\(\\$.\\[\\d\\]\\)\\s*:\\s*\\(int\\)\\$.;', '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$\\w+\\)\'\\s*,\\s*\'add\'\\);\\s*\\?>\\s*', 'class\\s*(\\w{1,40})\\s*{\\s*public\\s*function\\s*__construct\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?(\\$_COOKIE\\[[\'"])\\w{1,40}[\'"]\\];\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*\\(\\s*@?\\3\\w{1,40}[\'"]\\]\\s*\\);\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*;', '\\A\\s*<\\?php\\s*\\$[a-z]{4,15}\\s*=\\s*[^\\n]{6000,11000}\\s*=\\s*explode\\(chr\\s*\\([^\\?]{1000,3000};\\s*(\\$[a-z]{4,15})=\\(\\d+-\\d+\\);\\s*\\$[a-z]{4,15}\\s*=\\s*\\1\\s*-\\s*1;\\s*\\?>', '\\A\\s*<\\?php\\s+/\\*.{99,600}/\\s*\\$\\w{1,40}=[\'"][^;]{40,80}[\'"];/\\*\\w{1,9}\\*/\\$.+\\$\\w{1,40}\\s*=\\s*[\'"](a|c|e|g|l|p|r|_|\\\\160|\\\\162|\\\\137|\\\\145|\\\\154|\\\\141|\\\\143|\\\\147){3,9}[\'"];\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\.\\$\\w{1,40}\\.\\$\\w{1,40};\\$\\w{1,40}\\(\\$\\w{1,40},\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\),[\'"][\'"]\\);\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*;\\s*[^`]{1,600}file_get_contents\\s*\\(\\s*\\1(?:\\s*\\)\\s*){1,5};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\(\\s*base64_decode\\([\'"]ZWNobyAnPGNlbnRlcj48YSBocmVmPWh0dHA6Ly93d3cuZmIuY29tL3llYWhhY2tlci[^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\?>', '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])[^\\}]{1,400}\\2;\\s*(\\$\\w{1,40})\\s*=(?:\\s*\\.?\\s*\\1\\[\\d+\\]){90,150}\\s*;[^\\?]{420,600}(\\$\\w{1,40})\\s*=\\s*\\3\\s*;[^\\?]{1,200}\\4\\)\\);\\$\\w{1,40}\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\])=Array\\(base64_decode\\([^`]{20000,25000}false;\\}if\\(!empty\\((\\$\\w{1,40})\\)\\)\\{if\\(\\1\\[\\d+\\]\\(\\$\\w{1,40},\\2\\)\\)\\{(\\$\\w{1,40})=false;\\}\\}return\\s+\\3;\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+\\$GLOBALS\\[[^`]{2200,2700}\\}\\}(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.creat_funio]{21,60}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([^;]{40,100};[\'"]\\);\\2\\([\'"][^\\?]{60000,}[\'"]\\);\\?>', '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=(?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,};\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\((?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,}\\)\\s*;.+?eval\\s*\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s+function\\s*(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\([\'"]Ly4vZQ[=]{0,2}[\'"],[^\\}]{80,150}\\}\\s*preg_replace\\(\\1\\(\\d+\\),[^\\?]{5000,}\\1\\(\\d+\\)\\);\\s*\\?>', '\\A\\s*<\\?php\\s+@?eval\\(gzuncompress\\(base64_decode\\([\'"]eNqlfGlzE1e37l/puHJPbOKYnjRB[^\'"]{13000,13800}[\'"]\\)\\)\\);\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s)\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*md5\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*[^\\?]{1000,5000};\\s*\\}\\s*function\\s+\\w{1,40}\\s*\\(\\s*\\3\\s*\\)\\s*\\{\\s*[^\\*]{500,1500}(?:\\.(\\$\\w{1,40})\\.base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)){2}\\;\\s*\\}', '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoQCRf[^\']{1,600}[\'"]\\s*\\)\\s*\\);\\s*\\?>\\s*(<[^>]{0,40}(?:php|html))', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]?[^\\]]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*else\\s*\\{?\\s*echo\\s*\\(?\\s*[\'"][^\'"]{0,40}[\'"]?<script\\s*src\\s*=\\s*https?://[^>]{3,40}(?:images|css|uploads|includes)/\\w{1,40}\\.php\\s*>[^\\?]{1,100}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s)\\s*\\$[O0]{4,12}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"].{1,60}[\'"]\\s*\\)\\s*;\\s*(\\$[O0]{4,12})\\s*=.{58,558}\\s*;\\s*@?eval\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^"\']{1,10000}["\']\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php)?\\s+/\\*\\*', 'error_reporting\\(0\\);\\s*if\\s*\\(isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\s*&&\\s*md5\\(\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*&&\\s*isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\)\\s*eval\\s*\\( base64_decode\\s*\\(\\$_REQUEST\\[[\'"]\\2[\'"]\\s*\\]\\s*\\)\\s*\\);', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*(?:md5\\()?\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)?\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*\\1\\s*\\);\\s*@?(?:eval|assert|system)\\s*\\(\\s*(?:[\'"]\\s*\\?>)?[^\\?]{1,99}\\s*(?:\\?>|\\Z)', '<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmICggaXNzZXQoICRfQ09PS0lFWy[^\'"]{1,500}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>(?:\\s*<!--[a-z,0-9]{1,40}-->)?', '\\A\\s*<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*(<\\?|\\Z)', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]\\s*<\\s*form\\s*action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*method\\s*=\\s*[\'"]post[\'"][^\\}]{1,300}\\s*\\{\\s*echo\\s*[\'"][^\'"]{0,39}up![^\'"]{0,39}[\'"]\\s*;\\s*\\}\\s*\\}\\s*exit\\s*;\\s*\\}', '/\\*edition:\\d+\\.\\d+\\*/\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]eNpN[^;]{3000,5000}[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\}(?:\\s*(passthru|exec|shell_exec|popen|system|eval|assert)\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}(?:\\s*unlink\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}\\s*\\Z', 'file_put_contents\\([\'"]\\w{1,12}\\.php[\'"],\\s*[\'"]<\\?php\\s*[^`]{1,200}\\s*\\{?\\s*eval\\(\\$_POST\\[[\'"]\\w{1,12}[\'"]\\]\\);\\}?\\?>[\'"]\\);\\s/\\*[\'"]\\);', 'file_put_contents\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\1[\'"]\\s*\\)\\s*;', '<\\?(?:php)?\\s+[^\\$]{1,200}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]7T37W\\+O2sr/f77v/g\\+[^\\?]{12000,15000}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', 'if\\s*\\(\\s*\\$_SERVER\\[[\'"]REQUEST_METHOD[\'"]\\]\\s*===\\s*[\'"](?:GET|POST)[\'"]\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*array_shift\\(\\s*\\$_POST\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"\\s]{2,5},\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\);\\s*\\2\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{[^\\{]{1,600}if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,40}[\'"]?\\]\\s*==\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{100,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php)', '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];){2,4}\\s*\\$\\w{1,40}\\s*=\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\);\\s*if\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*else\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?(?:php)?\\s*include\\(\\$_SERVER[^\\}]{100,600}->Authorize\\([^\\)]{1,40}\\);\\s*header\\([\'"]location:[^\'"]{1,40}[\'"]\\);\\s*die\\(\\);\\s*\\}\\s*else\\s*\\{[^\\}]{1,600}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\{\\s*\\}\\s*\\?>', '(<\\?php\\s*)\\$GLOBALS\\[[^`]{1000,3000}file_put_contents\\([\'"]\\.\\./uploads/index\\.php\',\'index\\.php[\'"]\\);\\s*if\\(0\\^0\\)&&array_sum\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\)dir\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\s*echo\\s*[\'"]\\w{1,40}[\'"];', '<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*[\'"](PGgyPjxkaXYgc3R5bGU9InBvc2l0aW9uOiBhYnNvbHV0ZT)[^\'"]{100,600}[\'"];\\s*echo\\s+base64_decode\\(\\s*\\$\\1\\s*\\);\\s*\\?>\\s*<\\?php\\s+\\s*echo\\s+base64_decode\\([\'"]\\2[^\'"]{100,600}[\'"]\\);\\s*\\?>', '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\[\\d+\\]\\s*=\\s*[\'"][^\'"]{100,200}[\'"];){30,40}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];)?\\s*for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*count\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\.?=\\s*base64_decode\\(\\s*\\2\\[\\1\\]\\s*\\);\\s*\\}\\s*@?eval\\(\\3\\);\\s*\\?>', '\\A\\s*<\\?php\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]\\.php_uname\\(\\)\\.[\'"][^\'"]{0,40}[\'"];\\s*[^\\?]+if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{0,40}up[^\'"]{0,40}[\'"]\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\([^\\)]{1,80}\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\}\\s*\\}\\s*\\?>', '(//\\#\\#\\#==\\#\\#\\#)[^\\\\#]{1000,6000}\\}\\}\\}\\}if\\(@\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*==\\s*\\w{1,40}\\(\\w{1,40}\\)\\)\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]]\\[\\w{1,40}\\]\\(\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};\\s*\\}\\s*\\1', '(</body>\\s*</html>)\\s*<\\?php\\s*echo\\s*[\'"]<form\\s+action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{200,400}\\}\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '<\\?php(?:\\s*\\$[O0_]{1,40}\\s*=\\s*[\'"]\\w{1,40}[\'"];){1,3}[^`]{36000,37000}@?eval\\(\\s*\\$[O0_]{1,40}\\s*\\);\\s*unset\\(\\s*\\$[O0_]{1,40}\\s*,\\$\\w{1,40},(?:\\s*\\$[O0_]{1,40}\\s*,?){5,10}\\);\\s*exit\\(\\);\\s*\\}\\s*\\}\\s*[\'"]\\s*\\);\\$\\{\\s*[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\);\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*@?isset\\(\\s*(\\$_POST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\?]{1,}\\s*@?touch\\(\\$_SERVER\\[[\'"]?DOCUMENT_ROOT[\'"]?\\]\\s*\\.\\s*base64_decode\\s*\\(\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*,\\s*strtotime\\([\'"]-\\d+\\s*\\w{0,5}[\'"]\\)\\);\\s*die\\([^\\)]{1,40}\\);\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*\\w{0,40}\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$_FILES\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*basename\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);\\s*if\\s*\\(move_uploaded_file\\(\\$_FILES\\[[\'"]?\\1[\'"]?\\][^\\j]{1,300}</form>[\'"];\\s*\\?>', '<\\?php\\s*if\\s*\\(\\s*@?(\\$_SERVER)\\[[\'"](HTTP_X_)\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*if\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\],\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(\\s*@?md5\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?eval\\(stripslashes\\(\\$\\w{1,40}\\)\\);\\s*die;\\s*\\}\\s*\\?>', '\\AOptions\\s+FollowSymLinks\\s+MultiViews\\s+Indexes\\s+ExecCGI.{20,100}AddHandler\\s*cgi-script\\s*.\\w{1,5}\\Z', '\\ARewriteEngine\\s+On\\s*RewriteBase\\s+/\\w+\\s*RewriteCond %{REQUEST_FILENAME}\\s+!-..+?\\s*RewriteRule \\^\\(\\.\\*\\)\\s+index\\.php\\?id=\\$1\\s*\\Z', '\\A\\s*RewriteEngine\\s*On\\s*RewriteRule\\s*\\^\\.\\*\\$\\s*http://.+?\\.php\\s*\\[R=301\\]\\s*\\Z', 'RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[a-zA-Z0-9_\\-\\.]+\\.(xyz|info|pw)/\\w+\\s+\\[L\\s*,\\s*R=302\\]', 'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?fw=\\$1\\s+\\[L\\]', 'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[.+?windows-media-player\\)\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[\\S]+\\s+\\[L,R=302\\]', 'RewriteEngine On\\s*RewriteRule\\s+\\^\\(\\.\\*\\),\\(\\.\\*\\)\\$ \\$2\\.php\\?rewrite_params=\\$1&page_url=\\$2', '<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*Options\\s*\\+FollowSymLinks\\s*RewriteEngine\\s*on\\s*RewriteBase\\s*/\\w+\\s*RewriteRule\\s*\\^c\\s*\\(\\\\d\\+\\)\\[-/\\].+?</IfModule>', '\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#<IfModule\\s*mod_rewrite\\s*\\.\\s*c>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#</IfModule>\\s*\\#\\s*END\\s*WordPress', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^`]{1,600}/form>[\'"];\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+/\\*\\*[^`]{1,600}\\*/\\s*function\\s+(\\w{1,40})\\(\\s*(\\$phone)\\s*\\)\\s*\\{\\s*(\\$main)\\s*=\\s*\\2\\s*\\^\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*[^\\}]+\\$\\w{1,40}\\s*\\(\\s*\\3\\s*\\([^;]{1,40}\\s*;\\s*\\}\\s*\\1\\s*\\(\\s*[^\\)]{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\([^\\?]{999,2000}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(\\s*\\$\\w{1,40}\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\(\\s*\\3\\s*,\\s*\\2\\s*\\);[^\\?]{1,400}\\s*(?:\\?>|\\Z)', '(<\\?php)\\s*@?(?:eval|assert)\\s*\\(\\s*\\$_(?:POST|GET|COOKIE|REQUEST|SERVER)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])\\s*\\1\\s*[^\\?]{1,120}\\s*\\2;(\\s*\\1\\.?=\\s*\\2\\s*[^\\?]{1,120}?\\2;\\s*){1,9}\\s*[^@]{1,99}(\\$\\w{1,40})\\s*=\\s*@?\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*@?\\s*\\4\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\((?:\\s*(?:gzinflate|base64_decode|strrev|str_rot13)\\(\\s*){1,4}[\'"]=8u///5557/ss//xBzBpXjJ5/nVhIuMLepXM09DIgR[^\'"]{60000,}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\\w+\\]\\)\\)\\s*\\{\\s*stripslashes\\(\\$_REQUEST\\[\\w+\\]\\(\\$_REQ.+?\\?>', '\\${"\\\\x\\d+\\\\x.+;\\$\\{\\${.+]}\\["\\w"\\]\\);}}', '(<\\?php)\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,10000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?(\\s+/\\*\\*\\s+\\*)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*@?(?:eval|assert|system|exec)\\s*\\(\\s*base64_decode\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*\\}\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s+(?:echo|print)\\s*\\(?\\s*[\'"][\\!\\s\\-\\w\'"\\^]{1,40}[\'"]\\s*\\)?\\s*;\\s*\\?>(?:\\s*<\\?php\\s+(?:system|chmod)\\s*\\(\\s*(?:[\'"]?(?:chmod|\\w{1,40}\\.php|\\d{3,4})\\s*[\'"]?\\s*,?){2,3}\\s*\\)\\s*;\\s*\\?>){2}', '\\A\\s*<\\?php\\s*[^\\$]{0,150}\\$\\w{1,9}\\s*=\\s*[\'"][^\'"]*[\'"];\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]HJ3HjuvcckZf5cLwwAYHzAmGAVOMYs5p8oM55yCST2[^\'"]{20000,55000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php[^\\(]{0,150}eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzsffl3G8eR8M.0e.4fRhOuAJogLt6kQIn3IV4iSOoiH94AGBAQA[^\'"]{9999,38000}[\'"]\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:G|P)[^\\(]{1,15}preg_replace\\s*\\([^\\)]+[\'"](?:\\\\x65|e)(?:\\\\x76|v)(?:\\\\x61|a)(?:\\\\x6c|l)(?:\\(|\\\\x28)(?:g|\\\\x67)(?:z|\\\\x7a)(?:i|\\\\x69)[^\'"]{9,28}(?:\\\\x62|b)(?:a|\\\\x61)(?:s|\\\\x73)(?:e|\\\\x65)(?:\\\\x36|6)(?:\\\\x34|4)[^\'"]{5,35}[\'"][^\\)]{999,25000}\\);\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^;]{1,15}(?:Z290bw|b3Rv|IGdvdG8)[^;]{9999,24000}(?:ZXZhbA|dmFs|IGV2YWw)[^;]{9,99}(?:aHRtbHNwZWNpYWxjaGFyc19kZWNvZGUodXJsZGVjb2RlKGJhc2U2NF9|dG1sc3BlY2lhbGNoYXJzX2RlY29kZSh1cmxkZWNvZGUoYmFzZTY0Xw|bWxzcGVjaWFsY2hhcnNfZGVjb2RlKHVybGRlY29kZShiYXNlNjRf)[^;]{9,600}[\'"]\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*&&\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_[^\\)]+\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]BcFJkqowAADQu.Squ1xAlLG6eiEiCjIaBnHzC0kY[^\'"]{400,999}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*\\?>', '\\A\\a*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZRFDu2IAQSvMrvMxAszKcrCz8yMm8jMzD59.gVa3VJV.1Ve6fB3[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php\\s*(?:/\\*[^.]{1,25}\\*/\\s*)?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzlvX1XGzcTOPo3PaffQWz9dO3GGNskbWowgRBI[^\'"]{999,26000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\([\'"](?:ZXZhbChnemluZmxhdGUoc3RyX3JvdDEzKGJhc2U2NF9kZWNvZGU|IGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|QGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|ZXZhbCggZ3ppbmZsYXRlKCBzdHJfcm90MTMoIGJhc2U2NF9kZWNvZGU)[^?]{99,2000}[\'"]\\)\\);\\s*\\?>', '\\A\\s*<\\?php\\s+(\\$[O_0]{2,12})=[\'"][\'"]*["\'];\\s*(\\$[O_0]{2,12})=\\([\'"][\\w\\-\\*\\^%&]{9,40}[\'"]\\);\\$[O_0]{2,12}=\\2[\\[\\{]\\d+[\\]\\}]\\.[^%]{25000,30000}\\(\\$[O_0]{2,12},\\$[O_0]{2,12}\\);exit\\([^\\w]{1,9}runsuccess[^\\w]{1,9}\\);\\}[\'"]\\);\\$\\{[\'"](?:\\\\x47|G)[^\'"]{1,40}[""]\\}\\[[^\\]]+\\]\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+session_start\\(\\);[^\\$]{0,600}\\$\\w{1,20}\\s*=\\s*(pack\\(\\s*[\'"][nvchslvq]\\*[\'"]\\s*,[^\\)]{1,40}\\))\\s*;\\s*(\\$GLOBALS)\\s*=\\s*array\\(\\s*([\'"]\\w[\'"])\\s*=>\\s*\\1\\s*,[^\\{]{300,600}\\s*(\\$_SESSION)[^%]{60,200}\\%\\w[\'"]\\s*,\\s*\\2\\[\\3\\]\\([\'"]\\w\\*[\'"],\\4\\[[\'"]\\w[\'"]\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\#(\\w{4,7}\\#)\\s*if\\s*\\(\\s*empty\\s*\\(\\s*(\\$\\w{1,5})\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*=\\s*[\'"]<(script)\\s+type\\s*=\\s*[\\\\\'"tcpservi/jxa]+[^;]+;\\w{1,5}\\s*=\\s*[\'"\\\\+document]+;\\s*(\\w{1,5})\\s*=\\s*[\'"\\\\+split]+;[^:]{9,200}eval[^/]{9,99}[\'"][\\w]{999,7000}\\\\[\'"]\\[\\4\\][^<]+\\);\\s*\\}\\s*<\\/\\3>[\'"];\\s*echo\\s+\\2;\\s*\\}\\s*\\#/\\1', 'if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*[\'"](sorry_function)[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*[^=]{40,90}\\s*\\$[^\\(]{400,1400}\\}\\s*\\}\\s*add_filter\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]\\1[\'"]\\s*\\)\\s*;\\s*\\}', '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}[^:]{99,999}(?:h|\\\\x68)(?:t|\\\\x74){2}(?:p|\\\\x70)(?:s|\\\\x73)?://[^!]{99,600}if\\s*\\(\\s*strcasecmp\\s*\\(\\s*\\$_SERVER[^?]{99,5000}curl_exec\\s*\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}\\[[^\\]]{1,40}\\]\\}\\);[^;]{0,99};?\\}?exit\\(\\d*\\);?\\s*(?:\\Z|\\?>)', '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]1VVtT9swEP7c.gpTVSSVutFSNAYF1gk6aRL7AIwPCCbjJBfq[^?]{300,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][\\w\\.\\-]{1,40}\\.(?:jpg|gif|ico)[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_init\\([\'"]https?://[^\'"]{1,99}\\.php[\'"]\\s*\\)\\s*;[^>]{1,600}>[\'"]@?\\1[\'"][^=]{1,99}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\2\\);[^\\?]{1,99}(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*/\\*\\w{1,40}\\*/\\s*\\?>\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\{]{1,200}\\{\\s*return\\s*\\$\\w{1,40}\\.\\$\\w{1,40}.\\$\\w{1,40};\\s*\\}[^\\{]{15000,30000}[\'"],\\$\\w{1,40}\\)\\.[\'"][^\'"]*[\'"]\\);\\s*(\\?>|\\Z)', '\\A\\s*<\\?php\\s*error_reporting\\((?:0|false)\\);\\$\\w{1,40}=[\'"][^\'"]{1,99}[\'"];(\\$\\w{1,40})=array\\([^\\{]{9999,30000}\\{\\s*(\\$\\w{1,40})\\s*=\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\2\\s*\\]\\s*;\\s*\\}\\s*\\3\\s*\\(\\s*[\'"](?:\\\\\\w{1,3})+[\'"]\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*\\)\\s+\\{\\s*\\$\\w{1,40}\\s*=\\s*(?:(?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)\\s*\\(\\s*){2,5}[\'"][^\'"]{40,99}[\'"](?:\\s*\\)\\s*){1,5};\\s*[^\\?]{9999,20000}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*["\'][^\\^]{1,40}\\^[^\\;]{1,40};\\s*){2,5}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"],(?:\\s*\\$\\w{1,40}\\s*\\(\\s*){1,4}[\'"][^)]+\\)\\)\\);\\1\\(\\);\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+Error_Reporting\\((?:0|false)\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{9999,15000}[\'"];\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\x65|\\\\145)\\w?.?[\'"]\\s*,\\s*[\'"][^,]+,[^\\)]+\\);\\s*return[^\\;]*\\;\\s*(?:\\?>|\\Z)', '(<\\?php\\s+)(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\^\\s*\\2\\s*;\\s*(\\$\\w{1,40})\\s*=[^\\(]{600,999}(\\$\\w{1,40})\\s*=\\3\\([\'"][\'"],\\s*[\'"][^\'"]{500,999}[\'"]\\s*\\^\\s*\\4\\s*\\)\\s*;\\s*\\5\\s*\\(\\s*\\)\\s*;', '\\A\\s*(<\\?php\\s+)function\\s+(\\w{1,20})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,9}\\s*=\\s*array\\([^`]{1,999}\\s*if\\(\\s*@?\\$_POST\\[\\2\\(\\d+\\)\\][^\\w]{1,3}\\2\\(\\d+\\)\\)\\{if\\(@?copy\\((?:\\s*\\$_FILES\\[\\2\\(\\d+\\)\\]\\[\\2\\(\\d+\\)\\],?\\s*){1,2}\\)\\)(\\{echo)\\s*\\(?\\2\\(\\d+(\\);\\})else\\3\\s*\\(?\\2\\(\\d+\\4\\};\\};', '\\A\\s*(<\\?php\\s+)[^\\$]{1,600}(\\$\\w{1,40})\\s*=\\s*(?:false|0)\\s*;\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*(\\$\\w{1,40})\\)\\s*\\{\\s*\\2\\s*=\\s*\\3\\s*;\\s*[^\\?]{999,5000}\\s*\\;\\s*\\}\\s*return\\s+\\$buffer;\\s*\\}', 'if\\s*\\(\\s*(isset)\\s*\\(\\s*\\$_(COOKIE|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\2\\[[^\\]]{1,40}\\];\\s*elseif\\s*\\(\\s*\\1\\(\\s*\\$_(COOKIE|REQUEST)\\[[^;]{9,49};\\s*if\\s*\\(\\s*\\1\\s*\\(\\s*\\3\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\((?:\\s*(?:str_rot13|base64_decode)\\s*\\(\\s*){1,2}\\3(?:\\s*\\)\\s*){1,3};\\s*die\\(\\)\\s*;\\s*\\}', '\\A\\s*<\\?php[^\\$]{1,600}\\s*\\$\\w{0,9}pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,99};\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[^\\]]{1,40}\\][^\\?]{500,999}\\}\\s*@?(?:eval|assert)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:eNp9Wf.TE1W2.1cu|eNqNWflTE9n2.1d|ZXJyb3JfcmVwb3J0aW5nKDApOyAkeyJH)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:.Mw.ff..fnv..nq|UkFKPqkH3JF|rWjHzfqdkptPE|eF7svWl34kjSKPy|eNqde.uPJFl15)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"][^\'"]{999,25000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[\'"](?:eNpTiT83sfPs1pOH|eNpdkcFrE0EYxf|eNplUkFrE0EY|jVRtb9s4DP4eIP)[^\'"]*[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*@?eval\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHAgDQoNCg0KDQp[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '(?<!@)preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[\'"]\\\\[^,]{999,60000}\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{0,20};\\s*\\$\\w{1,40}\\s*=\\s*[^;]{20,80};\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\)\\s*;\\s*[^\\?]{60000,}function\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\{(?:\\s*\\$\\w{1,40}\\s*=[\'"][^\'"]{20,80}[\'"]\\s*;\\s*){2}return\\s*[\'"](?:\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*){2}[\'"]\\s*;\\s*\\}\\s*(?:\\?>|\\Z)', '\\A\\s*(<\\?php\\s+)[^\\$]{1,99}\\s*\\$wp_auth(?:\\w{1,9})?\\s*=\\s*[\'"]\\w{20,40}[\'"];\\s*if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*["\']slide[^<]+(?:<script[^\\.]+(?:\\.onclasrv|\\.mobisla)[^>]+>\\s*</script>\\s*){1,3}[^`]{999,3000},[\'"]slider_option_footer[\'"]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*[^\\{]{1,600}try\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,5000}[\'"]\\s*\\)\\s*;\\s*function\\s+scan\\s*\\([^\\?]{999,3000}=\\s*explode\\s*\\([\'"]<\\?php[\'"],[^\\?]+\\?\\s*[\'"]https?[\'"][^\\?]+unlink[^;]{1,40};\\s*\\}\\s*catch\\s*\\(\\s*Exception\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\?>', '\\A\\s*<\\?php\\s*[^$]{0,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*[^\\;]{1,40};\\s*){1,3}@?\\$\\w{1,40}\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,\\s*[\'"][^\\^]+\\^[^,]+,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\s*\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\s*\\(\\s*[\'"]?\\1[\'"]?\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\2\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)', '\\$(?:auth)?_?pass\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*[^;]{1,200};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\\\[^;]{1,200}[\'"];\\s*if\\s*\\(\\s*(?:!|@)?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2(?:e|\\\\x65)\\w?.?[\'"]\\s*,\\s*\\1\\s*,\\s*[\'"][\'"]*[\'"]\\s*\\)\\s*\\);(?:\\s*die\\s*\\(\\s*[^\\)]*\\s*\\)\\s*;)?', '(\\$\\w{1,40})\\s*=\\s*get_option\\s*\\(\\s*[\'"]_site_transie\\w{30,50}[\'"]\\s*\\);\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*\\1(?:\\[[^\\]]{1,40}\\])?\\s*\\)\\s*\\);\\s*if\\s*\\(\\s*[^\\{]{29,99}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\);\\s*@?\\2\\(\\);\\s*\\}', '\\A\\s*<\\?php\\s+[^\\$]{9,49}\\s*\\?>\\s*<form\\s+method\\s*=\\s*[\'"]POST[\'"][^\\?]{69,99}?</form>\\s*<\\?php\\s*(?:echo)?\\s*\\(?\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^;]{9,60};\\s*(?:\\?>|\\Z)', '\\A\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]\\s*<title>[^\\$]{199,600}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,400}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$data)\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"](Email|Password|IP(?:Address)?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){2,3}\\s*\\1\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;', 'error_reporting\\((?:0|Null|False)\\);\\s*preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,"eval\\([\'"]//', '<html>\\s*<head>\\s*<title>\\s*Webmail\\s+\\|?\\s*Update\\s*<', '\\A\\s*<\\?(?:php)?[ ]{200,}if\\s*\\(\\s*!\\s*isset\\s*\\(\\s*\\$_[^\\?]{40,150}\\s*\\?>\\s*<\\?(?:php)\\s*\\$\\{[^\\?]{60000,64000}[\'"],[\'"](?:\\\\x2e|\\.)[\'"]\\s*\\);\\s*\\?>\\s*\\Z', 'if\\s*\\(\\s*function_exists\\s*\\(\\s*[\'"]shell_exec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*shell_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*return\\s*[^;]{1,40};\\s*\\}\\s*function\\s*command\\(\\)\\s*\\{', '<title>\\s*[\\|]{0,2}\\s*InboX\\s+Mass\\s+Mailer', '\\A\\s*<\\?(?:php)?\\s*\\$[O0]{6,12}\\s*=\\s*urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{\\d+\\}\\s*\\.?\\s*){2,10};){2,9}\\s*@?eval\\(\\$[O0]{6,12}\\([\'"](JE8w|JE9P|JDAw|JDBP)[^\'"]{1000,25000}[\'"]\\)\\s*\\);\\s*(?:/\\*[^\\?]{1,40}\\*/)?\\s*\\?>\\s*\\Z', '<title>\\s*Cmd\\s+by\\s+ghz', '\\A\\s*(<\\?php)\\s*error_reporting\\([^\\)]{1,9}\\);\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*php_uname\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*phpversion\\(\\);\\s*(\\$\\w{1,40})\\s*=\\s*ini_get\\([\'"][^\'"]{1,40}[\'"]\\);\\s*if\\s*\\(\\s*\\2\\s*[^\\w]{1,2}=\\s*[\'"][\'"]\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*(?:print|echo)\\s*[^;]{1,600};', '\\A\\s*<\\?php\\s+call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*[\'"][\'"],\\s*[\'"][^\'"]{30000,40000}["\'](?:\\s*\\)\\s*){1,3};\\s*[\'"](?:\\s*\\)\\s*){1,3};\\s*(\\?>|\\Z)', '\\}\\s*elseif\\s*\\(\\s*function_exists\\([\'"]shell_exec[\'"]\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@?shell_exec\\(\\$cmd\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*function\\s+perms\\(\\$\\w{1,40}\\)\\s*\\{', '(\\$\\w\\d)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fputs|fwrite)\\(\\1,(\\$\\w\\d)\\);\\s*mail\\(\\$\\w\\d,\\$\\w\\d,\\2,\\$\\w\\d\\);\\s*header\\([\'"]Location:', 'visitor_country\\(\\);\\s*(\\$(?:msg|message))\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]?(\\\\n[\'"]);\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]email[\'"]\\]\\s*\\.\\s*[\'"]?\\2;\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]password[\'"]\\]\\.[\'"]?\\2;', '\\A\\s*GIF8\\d[^`]{2000,6000}?<\\?php', '<title>\\s*Sign\\s*in\\s*to\\s*your\\s*Microsoft\\s*account\\s*</title>', '\\$subject\\s*=\\s*[\'"]\\s*\\w{1,40}\\s*\\[\\s*[\'"]\\s*\\.\\s*getRealIpAddr\\s*\\(\\s*\\)\\s*\\.\\s*[\'"]\\s*\\]\\s*[\'"]\\s*;\\s*\\$headers\\s*=\\s*[\'"]\\s*From:\\s*New\\s+ID\\s+Scan', '\\$\\w{1,40}\\s*=\\s*[\'"]a:1:{s:13:"administrator";b:1;}[\'"];\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<!--\\s*Silence\\s*is\\s*golden\\.?\\s*-->[\'"];\\s*\\}', 'function\\s+\\w{1,40}\\s*\\([^\\)]{0,40}\\)\\s*\\{\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*class_exists\\s*\\(\\s*[\'"]JFactory[\'"]\\s*\\)', 'gcc\\s+-o\\s+(exploits)\\s+\\w{1,40}\\.c;\\s*chmod\\s+\\+x\\s+\\1;\\s*\\./\\1;', 'mysql_error\\(\\);\\s*\\}\\s*\\}\\s*(?:else)?if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\s*\\.?=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$_REQUEST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];\\s*if\\s*\\(\\s*@?unlink\\(\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\](?:\\s*\\)\\s*){1,5}\\{', '\\$filter\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*From\\s*:\\s*kay\\s*<\\s*mailist@mailist\\.com\\s*>\\s*[\'"];', '\\$message;\\s*\\}\\s*\\?>\\s*<\\?php\\s+system\\(\\s*[\'"]chmod\\s+\\d+\\s+(\\w{1,40})\\.php[\'"]\\s*\\);\\s*\\?>\\s*<\\?php\\s+chmod\\(\\s*[\'"]\\1\\.php[\'"]\\s*,\\s*\\d+\\s*\\);\\s*\\?>', '<title>\\s*(?:Priv8|Private)?\\s*(?:Mister|Mr)\\s+Spy\\s*</', '(\\$message)\\s*\\.?=\\s*[\'"](?:CC|Card)\\s+number\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](?:Exp|expiration)\\s*month/year/cvv\\s*code\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]', '(\\$urlz)\\s*=\\s*lrtrim\\(\\s*\\1\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*lrtrim\\(\\s*\\2\\s*\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];)?\\s*(\\$message)\\s*=\\s*urlencode\\(\\s*\\3\\s*\\);\\s*\\3\\s*=\\s*ereg_replace\\([\'"]%', 'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*[^\\w]{1,2}=\\s*[\'"]?[^\'"]{0,40}[\'"]?\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);', '(\\$\\w{1,40})\\s*=\\s*EMAIL;\\s*(?:\\$\\w{1,40}\\s*=\\s*)?@?mail\\s*\\(\\s*\\1\\s*,\\s*[^\\)]{1,120}\\s*\\)\\s*;\\s*(?:\\?>)?\\s*<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]>\\s*[^\\&]{1,200}&rand\\s*=\\s*\\d+InboxLightaspxn', '(\\$message)\\s*\\.?=\\s*[^;]{0,80}[\'"]\\s*CPassword:\\s*[\'"]\\s*\\.\\s*\\$_POST\\[[\'"](?:password|pass|passwd)[\'"]\\][^;]{1,40};\\s*\\1\\s*\\.?=\\s*[^\\{]{1,40}\\{\\$geoplugin->', 'if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}', '\\A\\s*GIF8(?:9|7)\\w?[^\\s]{0,2}\\s*[^`]{0,99}\\s*<\\?php', '<title>\\s*.{0,5}\\s*Rebels\\s+Mailer', 'apple\\/cssisma\\/Anonisma\\.css', '\\$opt\\("/\\d+/e', 'stylesheet[^/]{1,40}href[^/]{1,40}\\.?/cssisma[^\\?]{1,200}Anonisma', '<TITLE>\\s*dis\\s+Shell\\s+Commander', 'mail\\(\\$emailusr,\\s*(\\$subj),\\s*(\\$data)\\);\\s*mail\\(\\$cc,\\s*\\1,\\s*\\2\\s*\\);\\s*header\\([\'"]Location:[^\'"]{1,40}\\.scotiabank\\.com/[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\$ip\\w{0,20}\\s*=\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\];\\s*\\$(?:from_)?shellcode\\s*\\.?=\\s*[\'"]?[^\\(]{0,20}gethostbyname\\s*\\(', 'for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*[^\\}]{1,400}flush\\s*\\(\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*new\\s+PHPMailer\\s*\\(\\s*\\);', 'base64_decode\\s*\\(\\s*[\'"]Y1BhbmVsIENyYWNrZXIg', '<title>\\s*ZETHA\\s+WEB\\s*SHELL', '\\$(fone)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(emailaddr)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*\\$(emailpass)\\s*=\\s*\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$(token)\\s*=\\s*\\$_POST\\[[\'"]\\4[\'"]\\];', '\\$ip\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$email\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];\\s*\\1\\w\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];[^\\?]{100,600}fwrite\\(\\$\\w{1,40},\\s*\\$data\\s*\\);', '"[\\\\#-=\\[]{10,12}Priv(8|ate)\\s*PayPal\\s*Scam', '<title>\\s*[:]{0,2}\\s*Mailer\\s+Inbox\\s+-?\\s*Dejector', '\\$subj(?:ect)?\\s*=\\s*[\'"]Kumasiivertigo\\s*ALiBaBa', '\\$headers\\s*=\\s*[\'"]From:\\s*Office[\'"];\\s*\\$str=array\\((\\$send)\\);\\s*foreach', '<title>\\s*PHP\\s*Jackal', '(\\$bilsmg) \\.?=\\s*[\'"]card\\s*num(?:ber)?\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]\\w{1,40}\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]ccv2?(?:\\-code)?\'\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];', 'Kakak\\s+._.\\s*\\.?</font><br\\s*/>[\'"];\\s*\\}\\s*else(?:if)?\\s*\\{', '<title>\\s*w4l3XzY3\\s+Mailer', 'fwrite\\(\\s*(\\$\\w{1,4}),\\s*[\'"]\\s*(login|userid|username|email)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);\\s*fwrite\\s*\\(\\s*\\1[^\\$]{1,40}fwrite\\(\\s*\\1,\\s*[\'"]\\s*(pass|passwd|password)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);', '\\$headers\\s*\\.?=\\s*[\'"]From:\\s*[^\'"]{0,40}Spam[^\'"]{0,40}[\'"];', 'Password\\s*:\\s*[\'"]\\.\\$\\w{1,40}\\.[\'"]\\s*[=]{1,40}\\s*\\w{0,20}\\s*FACEBOOK\\s*\\w{0,20}\\s*[=]{1,40}\\s*Email\\s*:\\s*[\'"][^\'"]{1,40}[\'"]\\s*Password\\s*:\\s*[\'"][^\'"]{1,40}[\'"]', '<title>\\s*Safe\\s+Mode\\s+Shell', '\\)\\)\\s*{\\s*echo\\s*PHP_OS\\.\\$', 'if\\s*\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"]CheckCrd[\'"]\\)\\s*\\{\\s*(?:\\?>\\s*<\\?php)?\\s*function\\s+work.hard\\(\\$\\w{1,40}\\)\\s*\\{', 'ZGVmYXVsdF91c2VfYWpheCA9IHRydWU', '<title>\\s*Sign\\s+In\\s*</title>\\s*[^>]{1,40}(?:signin_?files|images)/\\w{1,40}\\.ico[\'"]', '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"][^\'"]{1,144}[\'"]\\s*\\);\\s*(?:\\?>\\s*<\\?php)?\\s*phpinfo\\(\\);\\s*\\?>\\s*\\Z', 'PD9waHAgaWYoIWlzc2V0KCRfQ09PS0lFWyJtb2R4', 'JE8wTzAwMD0ibkZ1Zmt', 'Ly9OTHRScS9mcjJYRzZhM3FPd3l', 'VnXO8\\$1_HU8nnjePnU8P8\\$e_njsP8\\$V', 'Ly9OTmhOOVUrMkRuVUkrTm9mdnhWV2RRV', 'ZXJyb3JfcmVwb3J0aW5nKDApO2lmKGlzc2V0KCRfUkVR', 'eNq1fflvU2f677/iieaqQDPhb', 'DRmNurHxXATBjbLkSGpOQnIzco', 'ZXJyb3JfcmVwb3J0aW5nKDcpOw0KQ', 'eNp9Vm1rG1cW/iu3orRSIpx508iy', 'eNqVWvtTFFfa/lc6VGoDSrC7p', 'eNq9fflzI9XV9r/S05CRBLas', 'Z2xvYmFsICRVU0VSOwokVVNFUi0', '6SgzwTnp6V5jAu8DDpIWHwHvz', 'Pz48P3BocCAkX0Y9X19GSUxFX18', 'aWYoITApJE8wMDBPME8wMD0kT09', 'aWYoaXNzZXQoJF9HRVRbIjB4Il0', 'aWYoITApJE8wMDBPME8wMD0kT09', 'JElJSUlJSUkxMTFsST0nb2JfZW5', 'eval\\(gzuncompress\\(base64_decode\\(\'eNqtWVlv21YWfm6B\\+Q9MYIR', '\\$\\w{1,12}\\s*\\.\\s*=\\s*[\'"][^\'"]{0,20}Social\\s+Security[^\'"]{0,20}\\s*[\'"]\\s*\\.?\\s*\\$_POST\\s*\\[\\s*[\'"]ssn[\'"]\\s*\\]\\s*\\.\\s*[^;]{1,40}\\s*;', '\\);eval\\(base64_decode\\("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJod', '\\$O00OO0\\{30\\};eval\\(\\$O00O0O\\("JE8wTzAwMD0iVFF3cVJQTGR0ZkZEeHVZeUVJVktXQ2tyY0poTlNaSGlib3Z', '<title>\\s*(?:Priv8|Private)\\s+Mailer', 'system\\([\'"]unset\\s+HISTFILE;\\s*unset\\s+SAVEHIST;\\s*[^\\$]{1,200}\\s*system\\(\\s*\\$\\w{1,40}\\s*\\);\\s*[^\\?]{0,100}\\s*\\?>\\s*\\Z', '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'P2lCP1ouWg1WDVYkcnNXTUVlWU0\\+Uz4iMi5NMnluUVluWFk5TCI7DVYkLy5NMnluUVlucnNXTXRlbi4\\+Uz4iMTE8QVBrUExVQTFBMFt', '\\$d?doss(?:tr)?;\\s*\\}\\s*while\\s*\\(\\s*\\w{1,40}\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\s*=\\s*@?include(?:_once)?\\s*\\(?\\$[o0]{5,60}\\)?;\\s*if\\s*\\(\\s*\\$[o0]{5,60}\\s*==\\s*[\'"][^\'"]{0,60}[\'"]\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\+\\+;', 'curl_getinfo\\(\\s*\\$\\w{1,40},\\s*CURLINFO_CONTENT_TYPE\\s*\\)\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*preg_replace\\([\'"]\\#\\^\\.\\*\\?\\\\<html\\#si[\'"],\\s*[\'"]<html[\'"],\\s*\\1\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*\\1;\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]?SCRIPT_NAME[\'"]?\\];', '<title>\\s*[\\s:]{0,4}g(?:0|o)nz\\s*[\\s:]{0,4}\\s*PHP\\s+MAILER', '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,40}\\.txt[\'"];\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*[\'"]?\\w{0,40}[\'"]?\\s*\\)\\s*\\{\\s*die;\\s*\\}\\s*else\\s*\\{\\s*@?unlink\\s*\\(\\s*\\2\\s*\\);\\s*\\$sym(?:link)?\\s*=\\s*\\1;', 'EOF\\s*<html>\\s*<head>[ ]{200,}<script>\\s*window\\.location\\s*=\\s*[\'"][^\'"]{1,100}[\'"]\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<[^>]{1,40}>\\$\\w{1,40}</[^>]{1,40}>\\s*</body>\\s*</html>\\s*EOF;?\\s*\\}\\s*else\\s*\\{\\s*\\$GLOBALS[^\\w][^\\}]{1000,2000}\\}\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s*(?:/\\*\\s*\\*/)?\\s*\\$ip\\w{0,10}\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$ip\\w{0,10}\\s*=\\s*array\\(\\s*[\'"]\\s*\\^?\\d+\\.\\d+\\.(?:\\*|\\d+)\\.(?:\\*|\\d+)\\s*[\'"]\\s*,[^\\)]{800,1800}\\s*\\);\\s*[^\\?]{300,350}\\$blocked_words\\s*=\\s*array\\(', '\\A\\s*\\(new\\s*Function\\(\\(function\\(s\\)\\{var\\s*d=\\{\\},a=\\(s\\+""\\)\\.split\\(""\\),cc=a\\[0\\],o=cc,r=\\[cc\\],c=256,p;for\\(var\\s+i=1;i<a\\.length;i\\+\\+\\)\\{var\\s+cd=a\\[i\\]\\.charCodeAt[^%]{200,300}%r\\.length\\)\\)\\}\\)\\.join\\([\'"]{2}\\)\\}\\)\\(atob\\("[^"]{20000,}"\\),.+"\\)\\)\\)\\)\\)\\)\\(\\);', 'window\\.miner\\.stop\\s*==\\s*[\'"]function[\'"]\\)\\s*window\\.miner\\.stop\\(\\);', ',\\s*basename\\(\\$_FILES[^\\$]{1,40}\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?];[^`]{1,400}<input\\s+name\\s*=\\s*[\'"]\\1[\'"][^>]{1,40}value\\s*=\\s*[\'"]\\.php[\'"]\\s*/>', '<pre>[\'"];\\s*system\\([\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_FILES\\[[\'"]([^\'"]{0,40}up[^\'"]{0,40})[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\.\\s*[\'"]\\s*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\$_FILES\\[[\'"]\\1[\'"]\\]', '<title>\\s*(?:Sign\\s+In\\s*-)?\\s*DocuSign\\s*</title>', 'if\\s*\\(crawlerDetect\\(\\$_SERVER\\[[\'"]?HTTP_USER_AGENT[\'"]?\\]\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.\\d\\s+404\\s+Not\\s+Found[\'"]\\);\\s*die\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\}\\s*\\$IP_Connected\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];', 'exit\\s*\\(\\);\\s*\\}?\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\)\\s*@?eval\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\);\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,20}up[^\'"]{0,20}[\'"]?\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]', '<br/>Mr Secretz</center>', '<title>\\s*Mr\\s*Secretz\\s+Shell', '<title>\\s*View\\s*Document\\s*-\\s*Sign\\s+In</title>\\s*</head>\\s*<script\\s*type="text/javascript">\\s*(?:<!--)?\\s*function popupwnd\\(', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\s*\\(isset\\(\\s*\\$_REQUEST\\[\\1\\]\\)\\)\\s*\\{\\s*@?(?:system|exec|passthru|shell_exec|popen)\\(\\$_REQUEST\\[\\1\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '(\\$\\w{1,40})\\s*=\\s*(?:@?implode\\(\\s*)?@?file\\([\'"]/etc/named\\.conf[\'"]\\)?\\s*\\)\\s*;\\s*if\\(!\\1\\)\\{\\s*die', 'phpddos\\.com[^\'"]{0,40}[\'"];\\s*echo\\s*[\'"]\\s*SYN\\s*Flood', 'echo\\s+serialize\\(\\$\\w{1,40}\\);\\s*\\}\\s*elseif\\s*\\(\\s*!empty\\(\\$_POST\\[["\']?(\\w{1,40})["\']?\\]\\s*\\)\\s*AND\\s*\\$_POST\\[["\']?\\w{1,40}["\']?\\]\\s*==\\s*["\']?\\w{1,60}["\']?\\)\\s*\\{\\s*eval\\(\\$_POST\\[["\']?\\1["\']?\\]\\);\\s*\\}\\s*else\\s*\\{\\s*header\\(["\']?Location:\\s*[^\\]]{1,40}\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z', '<title>\\s*DropBox\\s+Buisness\\s*</title>', '\\$\\w{1,40}\\s*=\\s*posix_getpwuid\\(@?fileowner\\([\'"]/etc/valiases/[\'"]\\.\\$domains?\\[\\d\\]\\[\\d\\]\\)\\);\\s*echo', '\\*/\\s*preg_replace\\([\'"]/\\[[a-z]{1,40}\\]\\*\\.\\+\\[[a-z]{1,40}\\]\\*/ei?[\'"],str_replace\\([\'"]\\s*[\'"],[\'"]\\s*[\'"],[\'"].{100,2100}"\\),\'\\w+\'\\);\\s*\\?>\\s*\\Z', '<title>\\s*[\\.]{1,5}\\s*[:]{1,5}\\s*Snff\\s+P90\\s*[:]{1,5}\\s*[\\.]{1,5}', 'pre>\';\\s*if\\s*\\(\\$_POST\\[[\'"](cmd)[\'"]\\]\\)\\{\\s*\\$\\1\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*passthru\\(\\$\\1\\);', '/\\*\\s*Created\\s+by\\s+l33bo_phishers', '(\\$\\w{1,40})\\s*=\\s*[\'"](?:\\\\x\\w{2}){40,78}[\'"];\\s*\\$payload\\s*=\\s*\\$\\w{1,12}\\.\\$\\w{1,12}\\.\\$\\w{1,12}.\\$\\w{1,12};\\s*preg_replace\\(\'/\\.\\*/e\',\\1,\'\\.\'\\);\\s*\\?>', '\\}\\s*\\}\\s*\\}\\s*if\\(\\$_POST\\[[\'"](\\w)[\'"]\\]\\)\\{\\s*\\$\\w\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$\\w{1,4}\\s*=\\s*md5\\(sha1\\(\\$\\1\\)\\);\\s*if\\s*\\(\\$\\w{1,4}\\s*==\\s*[\'"]\\w{30,34}[\'"]\\s*\\)\\{ \\$_SESSION\\[[\'"]\\w{1,4}[\'"]\\]\\s*=\\s*1;\\s*\\}\\}\\s*\\?>\\s*<form', 'exec\\(\\\\?[\'"]unzip\\s+\\w{1,40}\\.zip\\\\?["\']\\);\\s*\\?>[\'"];\\s*\\$\\w{1,4}\\s*=\\s*fopen\\([\'"][^\'"]{0,40}wp-login\\.php[\'"],\\s*[\'"]\\w[\'"]\\);', 'gagal[\'"]\\;\\}\\}\\}\\?>\\s*<title>\\s*Hacked\\s+by', '\\A\\s*<\\?(?:php)?\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"](clear|remove|delete)[\'"]\\s*\\)\\s*\\{?\\s*(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*[\'"][^\']{0,40}[^\\w]b(?:o|0)t[^\\w][^\']{0,40}[\'"]\\s*\\);\\s*echo', '>Upload\\s+Form\\s+Yunkers\\s+Crew<', '(\\$\\w{1,40})\\s*=\\s*Mage::getModel\\([\'"]sales/quote_payment[\'"]\\)->getCollection\\(\\);\\s*\\1->addFieldToFilter\\([\'"]cc_number_enc[\'"],[^;]{1,200};\\s*var_dump\\(\\1->getSize\\(\\)\\);', 'addFromString\\(\\s*[\'"](?:\\.\\.\\\\){7,10}[^`]{1,40}\\.php[\'"],\\s*[\'"]<\\?php exec\\(\\[[\'"]?cmd[\'"]?\\]\\);\\s*\\?>[\'"]\\s*\\);', '<title>\\s*Ghost\\s*by\\s*dandan', ';\\s*\\}\\s*\\}\\s*\\}\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]?\\s*\\.?\\s*php_uname\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*echo\\s*getcwd\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*\\?>\\s*\\Z', 'function\\s*\\w{1,40}\\(\\$hax\\)\\s*\\{return\\s+pack\\(', '\\$\\{\\$\\{[\'"][^\'"]{1,60}[\'"]\\}\\[[\'"][^\'"]{1,60}[\'"]\\]\\}=[\'"]/[\'"]\\.uniqid\\(\\)\\.uniqid\\(\\);', '\\A\\s*<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}\\?>[\'"];file_put_contents\\([\'"][^\\.]{1,40}(?:\\.|\\\\x2e)(?:p|\\\\x70|\\\\x50)(?:h|\\\\x68|\\\\x48)(?:p|\\\\x70|\\\\x50)[\'"],\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>', '<title>\\s*[\'"]?\\.?getcwd\\(\\s*\\)\\.[\'"]<', '\\]\\},ob_get_contents\\(\\s*\\)\\);\\s*fclose\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\);\\s*ob_end_flush\\(\\s*\\);\\s*\\}\\s*cache_start\\(\\$\\s*\\{\\s*\\$', '\\}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+visitor_country\\(\\)\\{\\$\\{[\'"](G|L|O|\\\\x47|\\\\x4c|\\\\x4f){3}', '<\\?php\\s*/\\*\\s*AthenaHTTP\\s*\\*/', '\\}return\\s*\\$\\w{1,40};\\}(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];\\$\\w{1,40}=\\w{1,40}\\(\\w{1,40}\\(\\2\\(__FILE__,false,null,__COMPILER_HALT_OFFSET__\\),[\'"]\\w{1,40}[\'"]\\)\\);\\1', ';\\$default_use_ajax=true;\\$default_charset=_\\w{1,40}\\(\\d\\);\\$GLOBALS', '<title>\\s*GFX\\s+\\|\\s*GForce\\s*X-Sender\\s*by\\s*Mr-Anobs\\s*2018', '\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\.?\\s*getcwd\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"];\\s*eval\\(\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\);[^`]{1,800}curl_exec\\s*\\(\\$\\w{1,40}\\);\\s*\\}?\\s*\\?>\\s*\\Z', '</form>\\s*<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*(?:passthru|exec|shell_exec|popen|system|eval)\\([\'"]\\$\\1[\'"]\\);\\s*echo\\s*[\'"][^\\$]{0,40}\\2[^\\$]{0,40}[\'"];\\s*\\?>', '(\\$message)\\s*\\.?=\\s*[\'"][^\'"]{0,40}LOGS[^\'"]{0,40}[\'"];\\s*\\1\\s*\\.?=\\s*"Email:\\s*"\\.\\$_POST\\[\'email\'\\]\\."\\\\n";\\s*\\1\\s*\\.=\\s*"Password:\\s*"\\.\\$_POST\\[\'pass\'\\]\\."\\\\n";', '\\$header\\s*\\.?\\s*=\\s*quoted_printable_encode\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\.?[\'"]?(?:\\\\r)?\\\\n[\'"];\\s*mail\\s*\\([^\\)]{1,40}\\);\\s*print\\s*[\'"]Spammed', '<title>\\s*[:]{0,2}\\s*eBuKa\\s*mAx\\s*INbOx\\s*sEnDeR', '<meta\\s*name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Banco\\s*Financiero\\s*del\\s*Peru[\'"]\\s*\\/>', '<title>\\s*Injected\\s+By\\s*Mrs\\.Poisoner', 'function\\s+sql_inject\\s*\\(\\$\\w{1,40}\\s*=\\s*FALSE\\s*,\\$bdestroy_sessio', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*exit;\\s*\\?>', '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '\\$\\w{1,40}\\s*=\\s*[\'"][^\\@]{1,40}@[^\\.]{1,40}\\.\\w{1,5}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*array\\((?:\\s*[\'"]\\s*\\w{1,40}\\s*[\'"]\\s*,){4,13}(?:,?[\'"](?:cvv2?|cardnumber|cardexp)[\'"]\\s*){3}\\)\\s*;\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\]\\s*;', '\\$sql\\s*=\\s*[\'"][^\\?]{1,40}\\s*,\\s*[\'"]\\s*<\\?(?:php)?\\s*system\\s*\\(\\\\\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,12}\\]\\s*\\);\\s*exit;\\s*\\?>[\'"]', '\\A<\\?(?:php)?\\s*.{0,40}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*\\$\\w{1,40}\\s*=\\s*date\\([^)]{1,40}\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{80,120}[\'"]\\s*;\\s*\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){2,5}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$message)\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"][^\\n]{1,60}([\'"]\\\\n[\'"]|[\'"]\\s*\\-\\s*[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;', '\\A<\\?php\\s*.{0,40}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;(\\s*\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,100}\\s*;\\s*){3,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*(?:\\?>|\\Z)', '\\A<\\?(?:php)?\\s*.{0,80}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*\\?>', '(\\$\\w{1,40})\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*;\\s*\\1\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*\\.\\s*\\1\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][_POST]{5}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\(\\s*(\\2\\[\\d\\]\\.?){5}\\s*\\)', 'function\\s+return_index\\(\\)\\s*\\{\\s*global \\$exec_file\\s*,\\s*\\$index_page', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};){0,5}\\s*\\$\\w{1,40}\\s*=\\s*rand\\(', '<html>\\s*<head>\\s*<title>Sucursal\\s+Virtual\\s+BANCOLOMBIA', 'setcookie\\s*\\([\'"](cvv2?|ssn\\d?)[\'"]\\s*,\\s*\\$_POST\\[\'\\1\'\\]', '\\$send="[^"]{1,60}";\\s*\\$subject\\s*=\\s*"Apple Result : \\$email";', '\\A\\s*<\\?php\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\s*\\);\\s*fwrite\\(\\s*\\1,\\s*[\'"][\'"]\\s*\\);\\s*fclose\\(\\s*\\1\\s*\\);\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(1\\s*,\\s*\\d+\\);', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\}(?:\\s*session_destroy\\(\\);)?\\s*(\\$fp)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"]a\\+?[\'"]\\);\\s*fwrite\\(\\1', 'function\\s*download_code\\s*\\(\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]key[\'"]\\s*\\]\\s*\\)\\s*\\)', '(\\$ip)\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);\\s*}\\s*return\\s*\\1;\\s*}\\s*\\1\\s*=GetIPsa\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\(', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*date\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$message)\\s*\\.?=(\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\s*[\'"];)\\s*\\1\\s*=\\s*\\1\\.?[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\1\\s*=\\s*\\1\\.?\\2\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(', '\\$GLOBALS\\[[^\\?]{47500,48000}>404\\s+Not\\s+Found[^\\?]{900,1000}\\)\\)\\);\\}else\\{echo\\s*\\w{1,40}\\(\\d+\\);\\}\\s*\\Z', '<\\?php\\s*error_reporting\\(0\\);\\s*(?:require\\s*[\'"](?:(?:\\.\\./){0,2}(check|email)\\.php)[\'"]\\s*;\\s*){2}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*)?if\\s*\\(\\s*(?:trim|isset)\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]submit[\'"]\\s*\\]\\)\\)\\{\\s*if\\(', 'include\\s*[\'"]\\./send\\.php[\'"];(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,10}\\s*\\$\\w{1,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$time', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*//\\s*\\w{1,40}\\s*(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,16}\\s*\\$fw2\\s*=\\s*fopen\\(', '\\$msg\\s*=\\s*[\'"]Alibaba\\s*login', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\([\'"]\\w{1,40}\\.\\w{1,8}[\'"],\\s*[\'"]a[\'"]\\);\\s*fwrite\\(\\1,\\$ip[^;]{1,60}\\);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(\\d+,\\s*\\d+\\);', '<\\?(?:php)?\\s*session_start\\(\\);\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(login_password)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*(\\$ip)\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\3[\'"]\\s*;', '\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];\\s*)+\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,400}\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"]from\\s[^\'"]{1,40}[\'"]\\s*\\);', '\\$\\w{1,40}\\s*=\\s*[\'"]\\w{1,40}\\s*BANCOLOMBIA\\s*\\(\\s*[\'"]\\s*\\.\\$ip\\.\\s*[\'"]\\s*\\)[\'"]\\s*;', '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{1,400}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$mensaje\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', 'else\\s*\\{\\s*[^\\}\\{]{0,200}(?:(?:\\s*(\\$to)\\s*=\\s*EMAIL;)|(?:\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);)){2}[^\\}\\{]{0,600}if\\s*\\(\\s*mail\\s*\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{', '<\\?php(\\s*\\$\\w{1,40}\\s*\\=\\s*\\$_REQUEST\\[[\'"][^\'"]{1,40}[\'"]\\]\\;){15,30}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);', 'CoffeeCup Web Form Builder\\s*-->\\s*<title>Yahoo\\s+Update</title>', '<title>\\s*Sign\\s+in\\s*</title>.{350}\\s*<\\s*script type\\s*=\\s*[\'"]\\s*text/javascript\\s*[\'"]>\\s*function unhideBody\\(\\)', '<title>Yahoo</title>\\s*<\\s*meta http-equiv\\s*=\\s*[\'"]refresh[\'"]\\s*content\\s*=\\s*[\'"]\\d+;\\s*url\\s*=\\s*https://yahoo\\.com[\'"]\\s*>', '<title>\\s*Sign\\s+in\\s*-\\s*Google\\s+Drive</title>\\s*<style>', 'charset\\s*=\\s*UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*-\\s*Google\\s+Drive\\s*</title', '<html>\\s*<head>\\s*<meta\\s*http-equiv=[\'"]Content-Type[\'"]\\s*content=[\'"]text/html;\\s*charset=UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*</title>\\s*<script\\s*language=[\'"]javascript[\'"]>', '\\A\\s*<!DOCTYPE html>\\s*<!--\\s+saved\\s+from\\s+url=.{200,600}https?://login\\.live\\.com', ';\\$b374k\\s*=\\s*\\$\\w{1,40}\\(\\s*[\'"]\\$\\w{1,40}[\'"]\\s*,\\s*[\'"\\.,\\seval]{7,40}\\(', 'public\\s*function\\s*root_vuln\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*php_uname', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*.{400,500}\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\Z', '(\\$log->lwrite)\\(\\$IP\\);\\s*\\1\\(\\$Agent\\);\\s*\\1\\(\\$browserType\\);\\s*\\1\\(\\$hostname\\);', '<script\\s+src\\s*=\\s*[\'"](?:\\.\\./){1,5}www1\\.bac-assets\\.com/online-banking/spa-assets/', '<!--\\s*Mirrored\\s*from\\s*(www\\.)?bankofamerica\\.com/online-banking/sign-in/', '\\$inj\\s*=\\s*[\'"][\'"\\s\\.\\/\\_\\=windovarsfcebg]{30,40}[\'"]\\s*\\.\\$\\w{1,40}\\s*\\.\\s*[\'"]\\s*;\\s*[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$_SERVER\\s*\\[[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.?\\s*[\'"\\s\\.\\/,\\_bitrxjsmancoeld]{41,60}\\s*\\)\\)', '<title>\\s*Priv8\\s+Tools', '\\$\\w{1,40}\\s*=\\s*MIME::Base64::decode\\s*\\(\\s*\\$cheataer\\s*\\)\\s*;', '<title>\\s*Mini\\s+Shell\\s*[&nbsp|]{1,80}\\s*TiGER', 'return\\(eval\\([^\\)]{1,}\\)\\);\\s*\\?>\\s*\\#!/usr/bin/php\\s*-q', '<title>\\s*ManToed\\s*Shell', '<title>\\s*\\[S\\]uper\\[BAD\\]\\s*Mailer', '<title>\\s*[|]{0,2}\\s*NOMAN\\s*HACKING\\s*COMPANY', 'function\\s+payload_download\\s*\\(\\s*\\$cwd\\s*,', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*find\\s*/\\s*-type\\s*f\\s*-name\\s*[\'"]\\*[\'"]\\s*\\|\\sxargs\\sgrep\\s-rl\\s[\'"]<head[\'"][\'"]\\s*;\\s*\\$\\w{1,40}\\s*=', '<title>\\s*[+\\[]{0,2}\\s*Powered\\s*by\\s*KcB\\s*[\\]+]{0,2}', 'if\\s*\\(\\s*socket_listen\\s*\\(\\s*\\$sock\\s*,\\s*\\d+\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{\\s*echo\\s*[\'"]HaHa', '<title>\\s*-\\s*r\\s*w\\s*-\\s*r\\s*-\\s*-\\s*r-\\s*-<', '5YN15T3R_742\\s+shell</font>', '\\$Report\\s*=\\s*new Report\\(\\$DBData,\\s*file_get_contents\\(\'php://input\'\\), intval\\(\\$_SERVER\\[\'CONTENT_LENGTH\'\\]\\), ENCKEY_, TEMP_\\);\\s*\\$Report = NULL;', '<title>\\s*MakMan\\s*[-\\s]{0,3}\\s*Root\\s*Exploiter', 'Data\\s*=\\s*\\$LokiDBCon->ExportDatabyID\\(', '<title>\\s*:.Spade\\s*Mini\\s*Shell', 'private\\s+function\\s+backdoorFiles\\s*\\(\\s*\\$\\w{1,40}\\s*\\)', 'name\\s*===\\s*"webconsole"\\)\\s*\\$get\\s*=\\s*array\\([\'"]https?\\:\\/\\/pastebin\\.com\\/raw', 'echo\\s*"This\\s*shit\\s*works!";\\s*if\\s*\\(isset\\(\\$_FILES', '<center>\\$\\s+root@x48', '<title>\\s*BlackTools\\s*Folder\\s*Mass\\s*Defacer', 'echo\\s+file_get_contents\\(\'/home/\'\\.\\$user\\.\'/\\.my\\.cnf', '<\\?(?:php)?\\s+include\\s*\\([\'"]blocker\\.php[\'"]\\)\\s*\\;\\s*\\$DIR\\s*\\=\\s*md5\\s*\\(\\s*rand\\s*\\(\\s*\\d+\\s*\\,\\s*\\d+\\)\\s*\\)\\s*\\;', 'function\\s+c99shexit\\(\\)\\s*\\{', '<title>Uploader\\s+By\\s+IndoXploit', '@chmod\\((\\$\\w{1,40}),0755\\);\\s*@unlink\\(\\1\\);\\s*\\}\\s*@file_put_contents\\(\\1,\\$\\w{1,40}\\);\\s*echo \'ok\';\\s*\\}\\s*\\?>', '\\$tofile=\'[^\']{1,50}\';\\s*\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\(strtr\\(\\$_POST\\[[^)]+\\)\\);\\s*\\$\\w{1,40}=\'<\\?php', 'if\\s*\\(sha1\\(md5\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)==="\\w{40}"\\)\\s*move_uploaded_file\\(\\$', 'DirContents\\(\\$rest\\);\\}else\\{getDirContents', '\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*\'\\}\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'//\'\\s*\\);\\s*\\Z', '<\\?php\\s{1000,}\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\[\\w{1,40}\\]\\s*;', 'sin\\(\\$\\w{1,40}\\?\\);syslog\\(LOG_ERR,\\$err\\);\\}\\$\\w{1,40}=\'\';if\\(in_array', '\\$VERSION\\s*=\\s*\'Gamma\\s+Web\\s+Shell', '<title>\\s*::\\s+AventGrup\\s+::\\.\\.', '\\$title="NetworkFileManagerPHP";', 'eval\\(gzinflate\\(base64_decode\\(str_rot13\\(strrev\\(', '=\\s*remove_tags\\(\\s*_dl\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[', 'srand\\(seed\\(\\)\\);\\s*\\$additional=array\\("%1meta name=\\\\"description\\\\"\\s*content=\\\\"\\$description\\\\"%3","%1meta', '@symlink\\(\'/home/\' \\. \\$user \\. \'/public_html/wp-config\\.php\', \\$user', '(\\$passwd)\\s*=\\s*explode\\("\\\\n"\\s*,\\s*file_get_contents\\(\'/etc/passwd\'\\)\\);\\s*foreach\\(\\1', 'function\\s+GetPayload\\(\\$payload\\)\\s*\\{\\s*\\$current_payload\\s+=\\s+base64_decode\\(\\$payload', '\\$user->set_role\\(\\s*\'administrator\'\\s*\\);\\s*\\}\\s*\\}\\s*wpb_admin_account\\(\\);\\s*\\}\\s*\\?>\\Z', '\\)\\)\\s*\\{\\s*echo\\s+\'<b>Shell\\s+Uploaded', '<title>Vuln!!\\s+patch\\s+it\\s+Now', '(\\$\\w{1,40})\\s*=\\s*"as";\\s*\\1\\s*.=\\s*".{2000,10000}"\\)\\)\\)\'\\);\\s*\\?>\\Z', 'exec\\(\\$_(?:GET|POST|COOKIE)\\["\\w+"\\],\\$\\w{1,40}\\);print_r\\(\\$\\w{1,40}\\);\\}\\}if\\(\\$_(?:GET|POST|COOKIE|REQUEST)', '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\(""\\s*,\\s*"};"\\s*\\.\\s*\\$\\w{1,40}\\(\\s*preg_match\\(\\s*"[^"]+"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*file\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\)\\s*\\?\\s*\\(\\s*\\$match\\[1\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\);', 'if\\(\\d\\^\\d\\)&&strtoupper\\(\\$_\\d+,\\$_SERVER,\\$_SERVER,\\$_\\d+\\)\\)cosh', ',\\s*sprintf\\((\\w{1,40})\\(\'[^\']{1,40}\'\\),\\s*constant\\(\\1\\(\'[^\']{1,40}\'\\)\\)\\s*,\\s*Config::get\\(\\w{1,40}\\(', ';\\}\\s*echo\\s+\'[^\']{1,100}\';\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65","\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28', '<head>\\s*<title>Xsender</title>\\s*</head>', 'setcookie\\(\'f_wp\'\\s*,\\s*\\$_POST', '\\]\\}=pre_term_name\\(\\$\\{\\$\\{', 'function\\s+initFunctions\\(\\)\\s*\\{\\s*if\\s*\\(!function_exists\\(\'myfuncgood\'\\)\\)\\s*\\{\\s*function\\s+myfuncgood\\(\\$in', '<\\?php\\s*\\$alphabet\\s*=\\s*"[^"]+";\\s*(\\$string)\\s*=.{50000,};\\s*\\$(\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(""\\s*,\\s*\\$array_name\\(\\1\\)\\);\\s*\\$\\2\\(\\);\\s*\\Z', ';\\$\\w{1,40}\\^\\$\\w{1,40};\\$\\w{1,40}=\\$\\w{1,40}\\^\'', 'if\\s+!\\s+pgrep\\s+-f\\s+"minmon', '@fsockopen\\(\\$\\w{1,40}\\[[^\\]]{1,100}\\],\\s*80\\s*,\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*,\\s*5\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}\\s*goto', '(\\$\\w{1,40}\\s*=\\s*\\\\\'[^\']{1,100}\'\\^\\\\\'[^\']+\';\\s*){3,}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\\\\'\\\\\'\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(', '</head>\\s*<body>.+function\\s+\\w{1,40}\\(\\)\\s*\\{\\s*\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\);\\s*\\w{1,40}\\s*=\\s*\\[(?:\\d+,){20,100}\\d+\\];\\s*return\\s*\\w{1,40}\\(\\w{1,40},\\w{1,40}\\);\\s*\\}', 'content="0;data:text/html;base64,DQo8IURPQ1RZUEUgaHRtbD48aHRtbCB4bWxucz', '<\\?php\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*sha1\\(md5\\("\\w+"\\)\\);\\s*//\\s*sha1\\(md5\\(pass\\)\\)\\s*\\$func=', '@error_reporting\\s*\\(\\s*0\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*0\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\'[^\']+\'\\s*;\\s*@eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;', '\\$userful\\s*=\\s*array\\(\'gcc\',\'lcc\',\'cc\',\'ld', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\s*\\(\\s*\\$_POST\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\){\\s*if\\s*\\(\\s*strlen.{1000,2000}strlen\\(\\$\\w{1,40}\\s*\\)\\s*\\);\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', ';\\s*eval\\(\\s*""\\s*\\);\\s*if\\(\\s*\\(\\s*\\$', 'if\\s*\\(!\\(!\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\s*\\|\\| !\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}', 'else\\s*if\\("shell"\\s*==\\s*substr\\(\\$action\\s*,\\s*0\\s*,\\s*5\\)\\)\\{\\s*\\?>', 'eval\\(base64_decode\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\)\\);\\s*else\\s*eval\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\);\\s*break;', 'function\\s*javascript_in\\(\\$p,\\$c\\)\\s*\\{\\s*\\$result\\s*=\\s*shell_exec\\(\\$p\\);', 'U7TiM4T3_H4x0R\\s*Mini\\s*Shell\\s*</', 'function __\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=[base64_decode.\']+;return\\s*\\$\\w\\(\\$\\w{1,40}\\);\\}\\}\\$\\w+=[create_function.\']+;\\$_', 'flush\\(\\);\\s*@mail\\(\\$_GET\\[\'\\w+\'\\]\\s*,\\s*\\$subject\\s*,\\s*\\$message\\s*,\\s*\\$header\\);\\s*sleep\\(\\$_GET\\[\'\\w+\'\\]\\);', ';\\$\\{\\$\\{"[^"]{1,100}"\\}\\[[^\\]]{1,100}\\]\\}=system_custom\\(\\$\\{\\$\\w{1,40}\\}\\);echo\\$\\{\\$\\{"[^"]{1,100}"\\}\\["[^"]{1,100}"\\]\\};print', 'conf\\s*=\\s*@file_get_contents\\(\\s*\\$isSecureProtocol\\s*\\.\\s*\\$this->normalizedTag\\s*\\.\\s*\\$configNormalize\\s*\\.\\s*\\$this->normalizeTagPattern', '<<YeMeNi\\s*HaCkeR>>', '@mkdir\\("wp-admin"\\);\\s*\\$path_shell\\s*=\\s*fopen', 'elseif\\s*\\(\\s*has_passthru\\s*\\)\\{\\s*x_passthru', '\\A<html>.{100,1500}echo\\(""\\);\\s*\\}\\s*\\$filename = \\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z', '\\$message\\s*\\.=\\s*"-+Vict!m Info-+\\\\n";', '\\A.{0,10}GIF8[79a]+<\\?php\\s*eval\\(', 'color=.FFF5EE>"\\.shell_exec\\(\'ls -la\'\\)', 'echo\\s*\'exist-\'\\s*\\.(\\$\\w{1,40});\\s*\\}\\s*else\\s*\\{\\s*file_put_contents\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\}', '\\$msg\\s*\\.=\\s*"P\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[\'psw\'\\]\\s*\\.\\s*"\\\\n";', 'error_reporting\\(0\\);\\s*echo\\s*"AnonymousFox', '\\$path_mailer\\s*=\\s*fopen\\("wp-content/\\$rxMailer\\.php"', 'id\\s*=\\s*system\\s*\\(\\s*base64_decode\\(\\s*"cGlkb2YgY25yaWc=', '<code>\\s*Trying\\s*\\$ServerName\\.\\.\\.<br>\\s*Connected\\s*to\\s*\\$ServerName', 'sendraw\\(\\$IRC_cur_socket\\s*,\\s*"PRIVMSG', '<title>KID\\s*-\\s*Dr\\.JEeNTeL\\s*SheLL', '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\(@is_resource\\(\\$f\\s*=\\s*@popen\\(\\$cfe\\s*,\\s*"r"\\s*\\)\\)\\)\\s*\\{', '\\{private static\\$_[^;]{1,30};static function _[^(]{1,30}\\(\\$[^)]{1,30}\\)\\{if\\(!self::\\$_', '\\{private static\\$_[^;]{1,30};public\\s*static\\s*function\\s*_[^,]{1,30}‚\\(\\$_[^)]{1,30}\\){if\\(!self::\\$_[^)]{1,30}\\):self::_[^(]{1,30}\\(\\);', ';exit;endif;endif;@iNI_sET\\("error_log",null\\);@iNi_SEt\\(', ';\\s*\\$\\w{1,40}=@\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\);\\s*echo \\$\\w{1,40};\\s*\\?>\\Z', 'if\\(strpos\\(\'\\w{1,40}\',\'\\w{1,40}\'\\)!==false\\)mssql_query\\(\\$_\\d+,\\$_\\d+\\);\\s*curl_setopt\\(\\$_\\d+,\\d+,\\$_\\d+\\);', '\\)\\s*&&\\s*mktime\\(\\$_\\d+,\\$_\\d+,\\$_\\d+,\\$_\\d+\\)\\)socket_create_pair\\(\\$_SERVER,\\$_\\d+\\);\\s*function l_\\w{1,40}\\(\\$_\\d+,\\$_\\d+=\'\',\\$_\\d+=true\\)', 'if\\(strpos\\(\'\\w{1,60}\',\'\\w{1,60}\'\\)!==false\\)imagefilter\\(\\$_\\d,\\$_\\d,\\$_SERVER\\);\\s*\\$_\\d=curl_getinfo\\(\\$_\\d,\\d+\\);', '\\$_\\d=\\$_(?:REQUEST|GET|POST)\\[\'id\'\\];\\s*\\$_\\d=curl_init\\(\\);\\s*\\$_\\d=\'http', 'time\\(\\)-@filemtime\\(\\$_\\d\\)\\)>0\\)\\{\\$_\\d=base64_decode\\(@file_get_contents\\(\'http', 'if\\(strpos\\(\'\\w+\',\'\\w+\'\\)!==false\\)socket_create_listen\\(\\$_\\d,\\$_\\d,\\$_\\d,\\$_\\d\\);\\s*\\$_\\d="text/html;', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{', '@eval\\(\\s*\\$unzip\\(\\s*\\$_SESSION\\[\\s*\'PhpCode\'\\s*\\]\\s*\\)\\s*\\)\\s*;', ';@\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>\\s*\\Z', 'url\\s*=\\s*https://bank\\.westpac\\.co\\.nz/', '\\$(\\w{1,40})\\s*=\\s*@\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*strrev\\(\\s*\';\\)\\)]\\s*C2BFE_PTTH\\[\\s*REVRES_\\$\\(\\s*edoced_46esab\\(\\s*lave\\s*\'\\)\\s*\\)\\s*;\\s*@\\s*\\$\\1\\s*\\(\\s*\\);', ',\\s*function\\s*\\(\\s*\\)\\s*{\\s*add_object_page\\s*\\(\\s*"UBH"\\s*,', '<%\\s*eval\\s*request\\([^)]{1,30}\\)\\s*%>', '<H1>\\s*<center>\\s*mini\\s*File\\s*Manager', 'if\\s*\\(\\$act\\s*==\\s*\'down\'\\)\\s*\\{\\s*if\\s*\\(is_file\\(\\$p1\\)\\s*&&\\s*is_readable\\(\\$p1\\)\\)\\s*\\{\\s*@ob_end_clean', 'Community\\s*priv8\\s*WebShell', 'copy\\(\\s*\\$_REQUEST\\[\'path\'\\]\\s*,\\s*\\$p\\s*\\.\'/\'\\s*\\.\\s*time\\(\\)\\s*\\.\\s*\'\\.\'\\s*\\.\\s*\\$f\\s*\\);', ';if\\(\\$_POST\\[\'\\w{1,40}\'\\]=="Upload"\\){if\\(@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)\\)\\{echo', '_BLANK\\s*>\\{\\$_FILES\\["userfile"\\]\\["name"\\]\\}</a><br><br>"\\s*;\\s*echo\\s*getcwd\\(\\)', 'ioctl\\s*\\(\\s*\\$listen_socket\\s*,\\s*0x8004667e', '\\$file_content\\s*=\\s*httpget3\\(REMOTE_FILE\\s*,\\s*\\$context\\);\\s*\\$file_name_array\\s*=\\s*explode', 'basename\\(\\$file\\)\\s*==\\s*"configuration\\.php"\\s*\\|\\|\\s*basename\\(\\$file\\)\\s*==\\s*"wp-config\\.php"\\s*\\)\\s*\\)', '<title>PEREBA_r0x', '/\\*_\\*/\\s*touch\\(\\s*\\$var1\\s*\\);\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z', 'description"\\s+content="Hacked\\s+By', 'echo\\s*eval\\(\'\\?>\'\\s*\\.\\s*join\\(\\s*""\\s*,\\s*file\\(\\s*"\\$c/\\$p\\.html', '@pcntl_exec\\s*\\(\\s*"/bin/sh"\\s*,\\s*Array\\("-c",\\$arg\\)\\);\\s*\\}\\s*else\\s*\\{@pcntl_waitpid\\(\\$p,', 'eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$backdoor', '<title>-\\$\\$Ar\\s*ab_money\\$\\$-</title>', '<title>Leaf\\s+PHPMailer</title>', '\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*\\}\\s*\\$referrer = urlencode\\(@\\$_SERVER\\[\'HTTP_REFERER\'\\]\\);\\s*\\$url = "http://\\d+\\.\\d+\\.\\d+\\.\\d+/api\\.php\\?is_api=1&action=get&api_key', 'curl_init\\("file:///"\\.\\$m\\."\\\\x00/\\.\\.', '<title>Tryag\\s+File\\s+Manager</title>', '(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,80}\\);\\s*foreach\\(\\s*\\1\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s*\\$\\w{1,40}\\[\\2\\];\\s*}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\(\\s*[\'"\\s\\.creat_funio]{15,40}\\s*\\);', '>\\s*<title>Hacked\\s+by\\s*[^<]+</title>\\s*<style', ';\\$_\\w{1,10}=array\\([^)]+\\);\\$payload="[^"]{4000,14000}";', ';\\$_\\s*=\\s*create_function\\(\\s*""\\s*,\\s*@gzuncompress\\(\\$_+\\)\\);\\$_+\\(\\);\\s*\\?>', '<\\?php\\s*echo\\s*\'None\'\\s*\\.\\s*\'<br>\'\\s*\\.\\s*\'Uname:\'\\s*\\.\\s*php_uname', ';\\$_\\w{1,40}=.\\$_\\w{1,40}\\("[^"]+",\'\\w{1,40}\'\\);@\\$_\\w{1,40}\\("[^"]+",.\\$_\\w{1,40}\\(', 'echo\\s+"<h1><a href=\'\\$fullpath\'>OK-Click here!</a>', 'fwrite\\(\\$f,file_get_contents\\(\\$s\\.\'s-\'\\.\\$_GET', '<\\?php\\s*echo\\s*eval\\(base64_decode\\((str_replace\\(\\s*\'.\'\\s*,\\s*\'.\'\\s*,\\s*){3,6}', '\\$(\\w{1,40})\\s*=\\s*urldecode\\(\'%\\d+[^;]+;\\s*\\$\\1\\s*=\\s*\\$\\1\\(\'\'\\s*,\\s*\\$_(GET|POST|REQUEST)\\[\'\\w{1,40}\'\\]\\s*\\);\\s*\\$\\1\\(\\s*\\);', '\\$_+\\s*=\\s*"[^;]+;\\s*eval\\(\\$_+\\(\\$_+\\)\\);', '\\A<!DOCTYPE[^>]{0,100}>\\s*<html>\\s*<head>\\s*<title>Hacked\\s+By', '\\$passwd\\s*=\\s*fopen\\(\\s*\'/etc/passwd\'\\s*,\\s*\'r\'\\s*\\);', '\\$\\w{1,30}\\s*=\\s*file\\(\'/etc/passwd\'\\);', '\\$pwdump2\\s*=\\s*"TVqQAAMAAAAEAAAA', 'URI\\.encode\\("/user/register\\?element_parents=account/mail/\\#valu', 'echo\\s*\\$USER\\s*->\\s*Update\\s*\\(\\s*\\d+,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;', '\\$content\\s*=\\s*remove_tags\\s*\\(\\s*_dl\\s*\\(\\$_(COOKIE|GET|POST|REQUEST)\\[\'key\'\\]\\)\\)\\s*;\\s*\\$func\\s*=\\s*"[create_function"\\.\\s*]+";', 'echo\\s*\'<title>Upload\\s*Files\\s*xSecurity', '<b>Upload\\s*Complate\\s*!!!', '<\\?php\\s*error_reporting\\(0\\);\\s*echo\\s*file_get_contents\\(\\$_GET\\[\'filename\'\\]\\);', 'exec\\s*\\(\\s*"which\\s*wget"\\s*,\\s*\\$wgetPath\\)\\s*;\\s*if\\s*\\(\\s*\\$wgetPath\\[0\\].{2000,6000}if\\s*\\(!\\$forceIntegrateAnsciTangetBlue', '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*;', ';\\s*\\$\\w{1,30}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*Prior2Line\\s*\\([^)]+\\)\\s*;\\s*\\Z', 'if\\(\\s*\\$sd\\s*\\)\\s*\\{\\s*echo\\s*1;\\s*exit\\(\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*2;\\s*exit\\(\\);\\s*\\}', 'copy\\(\\$link,\\$path\\.\\$name\\);\\s*if\\(shell_exec\\(\'echo\\s*index\'\\)\\s*==\\s*\'index\'\\s*\\)\\s*\\{\\s*shell_exec\\(\\s*\'touch', 'false\\)\\s*\\{\\s*if\\(is_mobile2\\(\\)\\)\\s*exit\\(\'<script[^<]{1,500}</script>\'\\);\\s*}', '\\$USER\\s*-\\s*>Authorize\\s*\\(\\s*\\$\\w{1,40}\\[\\s*"ID"\\s*\\]\\s*\\);\\s*LocalRedirect\\s*\\("/bitrix/[^"]{1,40}"\\);', '\\$shell_name\\s*=\\s*"devilzShell";', '\\$ID\\s*=\\s*\\$USER->Add\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*intval\\(\\s*\\$ID\\s*\\)\\s*>\\s*0\\)\\s*echo\\s*"Yes";', '}\\s*}\\s*eval\\s*\\(\\s*gzuncompress\\(\\s*_\\w{1,40}::\\w{1,40}\\(\'[^\']{1,100}\'\\s*\\)\\s*\\)\\s*\\)\\s*;', '=\'\\);return\\s*base64_decode\\(\\$a\\[\\$i\\]\\);\\s*}\\s*\\?>Wordpress\\s*<\\?php\\s*\\$_0', '\\}\\s*list\\(\\$\\w{1,40},\\$\\w{1,40}\\)=\\w{1,40}::\\w{1,40}\\("\\\\r\\\\n\\\\r\\\\n",\\$\\w{1,40},\\(', '\\$text\\d+\\s*=\\s*http_get\\(\'https://ghostbin\\.com/paste/\\w+/raw', '<title>Mass\\s*Defacer', '\\A<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\(\\s*"\\#Ask\\\\s\\*Jeeves\\#i"\\s*,\\s*"\\#', '\\$extention\\s*==\\s*\'js\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$content\\s*=\\s*@file_get_contents\\(\\$dirname\\s*\\.\\s*\\$sobs', 'pl\\(\\$s_cwd\\)\\."&x=upload"\\."\'>upl', 'echo\\s*\\("<<OK>>"\\s*\\.\\s*join\\s*\\("\\\\n"\\s*,\\s*\\$injected\\s*\\)\\s*\\.\\s*"<</OK>>"\\s*\\);', 'return\\s*@file_get_contents\\(\\w{1,40}\\s*::\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[array_rand\\(\\$\\w{1,40}\\)\\]\\);\\s*\\}\\s*static', 'echo\\s*file_get_contents\\(\\$our_site\\.\\$page\\);', '\\$html\\s*=\\s*curl_exec\\s*\\(\\$ch\\);\\s*curl_close\\(\\$ch\\);\\s*if\\s*\\(strstr\\(\\$id\\s*,\\s*"\\.css"\\s*\\)\\s*\\)\\{\\s*header\\(\'Content', 'empty\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*\\)\\s*die\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*preg_match\\(', '";@file_put_contents\\("\\$GLOBALS\\[web_root\\]temp/', ';\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\s*\\{\\s*return\\s*\\(substr\\(\\$\\w{1,40}\\s*,\\s*\\d+\\s*,\\s*\\d+\\s*\\)\\s*==\\s*\\w{1,40}\\(array\\([^)]{1,100}\\)\\s*\\)\\s*\\)\\s*;\\s*\\}', 'include\\s*\'antibots\\.php\';\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];', 'Try\\s+a\\s+different\\s+payment\\s+method\\s+this\\s+time\\s+\\-\\s+PayPal</title>\\s*<meta', '</form>";\\s*move_uploaded_file\\(\\$saw1,\\$saw2\\);', '<h2>Verified\\s+Your\\s+Personal\\s+Bank/Add Bank</h2>', '<\\?php\\s*include\\s+\'antibots\\.php\';.{3000,5000}<title>Paypal', '\\A<\\?\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$message\\s*\\.=\\s*"---------.{100,3000}mail\\(', 'server\\s+d3ifff', '\\$subject\\s*=\\s*"PayPal\\s+Billing\\s+Info', '\\$subject\\s*=\\s*"PayPal\\s+Bank\\s+Info', '\\$subject\\s*=\\s*"PayPal\\s+PP\\s+LOGIN\\s+FROM', 'if\\s*\\(!Anon_true\\(\\s*\\$em\\s*,\\s*\\$ps\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*die\\(', '\\$subject\\s*=\\s*"AOL\\s*Login\\s*\\|\\s*\\$ip', '\\$ssn\\s*=\\s*\\$_SESSION\\[\'ssn\'\\]\\s*=\\s*\\$_POST\\[\'ssn\'\\];', '==\\[BY\\s+P!RA17DZ\\]==', '/\\#s"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\s*\\)\\s*\\?\\s*\\(\\s*\\$match\\[\\s*\\d+\\s*\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\)\\s*;', ';@\\$__\\(\\$__\\d+\\(@\\$_\\[\\d+\\]\\.@\\$_\\[\\d+\\]\\.', 'fwrite\\(\\$\\w{1,40}\\s*,\\s*file_get_contents\\(\\$\\w{1,40}\\.\'\\w-\'\\.\\$_GET\\[\'\\w{1,40}\'\\]\\)\\);\\s*fclose\\(\\$\\w{1,40}\\);\\s*}\\s*echo\\s*\'<!DOCTYPE html!>\';\\s*\\?>', '\\$SandyKey=\\$_POST\\[\'SandyKey\'\\];', '@mail\\(\\s*\\$_POST\\[\'emailfinal\'\\]\\s*,\\s*\\$_SERVER\\[\'HTTP_HOST', 'DRIV3R\\s+KR\\s+PRIV8\\s+MAILER</title', '\\$double\\s*=\\s*1;\\s*}\\s*\\$email\\s*=\\s*urlencode\\(\\$email\\);\\s*if\\s*\\(!empty\\(\\$_SERVER\\["HTTP_CF_CONNECTING_IP', '\\$domains_dir\\s*=\\s*estimate_current_path\\(\\s*\\);\\s*process\\s*\\(\\s*\\$domain\\s*,\\s*\\$domains_dir\\s*\\);\\s*foreach\\s*\\(get_valid_dirs', '\\$\\w{1,40}\\s*=\\s*http_get\\s*\\(\'https://pastebin\\.com/raw', 'Dr\\.\\s*Nova\\s+Login\\s+To\\s+Shell</title>', 'Coded\\s*by\\s*:\\s*</font><font\\s*color="red">\\s*TrenggalekTeam', 'ACCOUNT\\s+PAYPAL\\s+FULLZ</font', '\\$asu="move_";\\s*\\$asu\\.="uploaded_";\\s*\\$asu\\.="file";', 'private\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']{10,200}\'\\s*;\\s*private\\s*\\$\\w{1,40}\\s*=\\s*\'application/msword\'\\s*;\\s*public\\s*function\\s*execute\\s*\\(\\s*\\)', '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*}', ';\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\Z', '<title>Propaganda\\s+Mail!\\s+v\\d+', 'href="https://www\\.bancosantander\\.es', 'chdir\\(\\$lastdir\\);\\s*capriv8exit\\(\\)', '^\\w{1,40}\\s*<\\?php\\s*echo\\s*php_uname\\(\\);\\s*if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*{', '\\$License\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_POST.+?;\\s*\\$License\\s*\\(\\s*\\)\\s*;', '\\$message\\s*\\.=\\s*"cvv\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[', 'substr\\(\\$__lp,\\s*0x\\w+-0x\\w+\\)\\)\\);break;\\}\\}\\}eval\\(\\$__ln\\);return 0;\\}\\s*else\\s*\\{die\\(', '\\$log_file_name\\s*=\\s*GetDocRoot\\(\\)\\s*\\.\\s*"/\\s*"\\s*\\.\\s*"\\w+\\.log"\\s*;\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[', '<\\?php\\s*eval\\(\\s*strrev\\(.{30000,}\\(\\s*rqbprqhh_geriabp\\s*\\(\\s*ynir\\s*\\\\\'\\s*\\(\\s*31tor_rts\\s*\\(\\s*lave\'\\s*\\)\\s*\\)\\s*;\\s*\\Z', '\\$color\\s*=\\s*"\\#\\w{1,10}";\\s*\\$default_use_ajax = true;\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']{50000,}\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;', 'Coded\\s+By\\s+<font color="red">Little\\s+Wei', '\\$JSubMenuHelper\\s*=\\s*create_function\\(\'\',\\s*\\$JSubMenu\\);\\s*unset\\(\\$\\w+,\\s*\\$JSubMenu\\);\\s*\\$JSubMenuHelper\\(\\s*\\);', '<h2>Developer\\s+By\\s+KymLjnk</h2>', 'chdir\\(\'bypassbin\'\\);\\s*@exec\\(\'curl http://dl\\.dropbox\\.com', 'yetkiKontrol\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*<\\?php\\s*preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;', '\\]\\}="";class\\s+BaseJsonRpcServer\\{const\\s+ParseError', 'javascript:Goto\\(\'shell\'\\);>shell</a>', '\\)\\)\\)\\)\\s*{\\s*echo\\s*\'query\'\\s*;\\s*}\\s*else\\s*{echo\\s*\'bad request\'\\s*;\\s*}\\s*}\\s*else\\s*{echo\\s*\'not found\';\\s*}', 'if\\(strpos\\(\\s*\\$\\w{1,40}\\s*,\\s*\'@\'\\)\\s*!==\\s*false\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*CUser::GetByLogin\\(\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}->Fetch\\(\\);', 'define\\("USER_AGENT", "Mining Cacher', '(\\$\\w{1,40}\\s*="[^"]*"\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,}\\s*){3,}\\$__\\w+\\(\'\',"};"', '<h2>Developer\\s+By\\s+KymLjnk</h2>', '@mkdir\\("ByPassSym"\\);\\s*@chdir\\("ByPassSym"\\);\\s*@exec', '\\}=new WebConsoleRPCServer\\(\\);\\$rpc_server->Execute\\(\\);\\}else\\s*if\\(!\\$\\{\\$\\{', '<title>\\s*\\[\\s*D912\\s*Browser\\s*\\]\\s*</title>', '\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'\\|\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*,', '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\./id\\.zip\';\\s*\\$extract_path\\s*=\\s*\'\\./\';', 'eval\\(\\s*\'error_reporting\\(E_ERROR\\);\\$out', '\\(\\s*\\$_\\d+,\\d+\\s*,\\s*array\\s*\\("IP:\\s*{\\$_SERVER\\[_\\d+\\(\\d+\\)\\s*]\\s*}"\\s*\\)\\s*\\)\\s*;\\s*\\$GLOBALS', '\\A\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z', ']\\}\\)==\\d+\\s*\\)\\s*echo\\s*@serialize\\(\\$\\{\\$', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<<<EOT.{20000,60000}EOT;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST)\\["\\w{1,10}"\\];\\s*//.+?$\\s*\\$\\w{1,40}\\s*=\\s*create_function', '\\$run_ioncubetesterplus\\s*=\\s*create_function', '@set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"[^"]{1,100}"\\);array_walk\\(\\$_POST,"[^"]{1,100}"\\);function\\s*enumerator', '\\#!/bin/bash\\s*while\\s*true\\s*;\\s*do\\s*\\{\\s*if\\s*\\[\\s*"\\$\\(pidof \\w{1,100}\\)"\\s*\\]\\s*then\\s*sleep\\s*60\\s*else\\s*\\.\\s*/kswd\\s*&\\s*fi\\s*\\}\\s*done', 'return\\s*true;\\s*\\?><\\?php\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\){\\$\\w{1,40}="";if\\(isset\\(\\$_GET\\["v1"\\]', 'ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*class\\s*MCurl', '\\$finish_result\\s*=\\s*array_unique\\(\\$finish_result\\);\\s*foreach\\s*\\(\\$finish_result', 'arr_php_file\\s*=\\s*findshells\\s*\\(\\s*\\$_SERVER', 'eval\\(str_rot13\\(gzinflate\\(str_rot13\\(base64_decode\\(\\(\\$astra', '\\(\\s*\\$google_n=0;\\s*\\$google_n<\\d+;\\s*\\$google_n=\\$google_n\\+\\d+\\)\\s*{\\s*\\$ch\\s*=\\s*curl_init\\(\\s*\\);', '}\\s*echo\\s*\\w{1,40}\\s*\\(\\s*"[^"]{1,80}"\\s*\\)\\s*;\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]+"\\s*,\\s*""\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*str_replace\\s*\\(\\s*""', 'for\\s*\\(\\$i\\s*=\\s*2\\s*;\\s*\\(\\s*\\$i\\s*<=\\s*20\\s*\\)\\s*;\\s*\\$i\\+\\+\\)\\s*{\\s*\\$newfile\\s*=\\s*"\\$i\\.php";', '\\$Salesforce_Desk_1\\s*=\\s*stristr\\(\\$finish_result', 'file_put_contents\\(\\$rfn,file_get_contents\\(\'pid\\.php', '=unserialize\\(string_cpt\\(base64_decode\\(\\$\\w{1,40}\\),\\$\\w{1,40}\\)\\);\\$\\w{1,40}=\\$_REQUEST', '<title>MINI\\s+SHELL</title>\\s*<style>', '\\$_POST\\["pwd"\\]="Weak\\s*Liver', '\\$\\w{1,40}=base64_decode\\(\\$_POST\\["z0"\\]\\);\\s*@eval\\("\\\\\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40};"\\s*\\);\\s*\\}\\s*\\}.{3000,}\\}\\}\\}else\\{\\?><form', 'Exec_Run\\("rm\\s*-rf\\s*"\\.\\$filename\\);', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\\\x.{50000,}\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]{1,20}"\\s*\\)\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}', 'app->getMenu\\(\\);\\s*if\\s*\\(\\$jemenu->getActive\\(\\)\\s*==\\s*\\$jemenu->getDefault\\(\\)\\)\\s*\\{\\s*\\$rand\\s*=\\s*rand', '\\]\\}=mail_utf8_html_attch\\(\\$\\{\\$\\{', '<\\?php\\s*\\$\\w{1,40}\\s*=(?:\\s*(\\s*\'.{77}\'\\.$)){3,}', '<\\?php\\s*function\\s+gethttpcnt\\(\\$url\\s*,\\s*\\$timeout\\s*=', 'stratum\\+tcp://pool\\.minexmr\\.com:', 'x@xmr\\.crypto-pool\\.fr:80/xmr', '@eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$code\\)\\)\\)\\);', 'magicboom\\(\\$_GET\\["y"\\]\\);\\$f\\s*=\\s*\\$_GET', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$\\w+\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$file\\s*=\\s*basename\\(\\s*__FILE__\\s*\\)\\s*;\\s*\\$user\\s*=\\s*\\$_POST\\[\\s*"user"\\s*\\];', '@move_uploaded_file\\(\\$userfile_tmp\\s*,\\s*\\$qx\\);\\s*@chmod\\s*\\(\\$qx\\s*,\\s*octdec\\(\\s*\\$mode\\s*\\)\\s*\\);', 'public\\s+function\\s+setLinksToDbJm\\(\\)', 'function\\s*rmhtmltag2\\(\\$tagname=\'\',\\$str=\'\'\\s*\\)\\s*{\\s*\\$rulers\\s*=\\s*\'\\#<\'\\.\\$tagname', 'function\\s*astripslashes\\(\\$array\\)\\s*{\\s*return\\s*is_array\\(\\$array\\)\\s*\\?\\s*array_map\\(\'WSOstripslashes\'\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\)', '\\$_COOKIE\\[\'j_submenu\'\\]\\s*:\\s*NULL\\);\\s*\\$JSubMenu\\s*=\\s*addFilter\\(getEntries\\(_JEXEC\\), \\$action\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$JSubMenu\\s*\\)\\s*\\)', '\\$content\\s*=\\s*http_request\\(\\s*"http://"\\.\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/\\w+"\\);\\s*\\$content\\s*=\\s*str_replace\\(\\s*"/\\w+"\\s*,\\s*\\$uri\\s*, \\$content\\s*\\);\\s*exit\\(\\s*\\$content\\s*\\);', '@set_time_limit\\(\\s*0\\s*\\)\\s*;\\s*if\\(\\s*\\$lim\\s*>\\s*100\\s*\\)\\s*break\\s*;\\s*\\$d\\s*=\\s*\\$startDir\\s*\\.\\s*\\$one_dir;', ';return\\${\\$\\w{1,20}};}public function getRules\\(\\){if\\(\\$this->detectionType==self::DETECTION_TYPE_EXTENDED\\){return self::getMobileDetectionRulesExtended\\(\\);}', '<h2>Confirm\\s+Your\\s+Paypal\\s+Debit/Credit\\s+Card\\s*</h2>', '}\\["[^"]+"\\]}=mail_utf8_html_attch\\(\\${\\$\\w{1,20}},\\${\\${', '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'to\'\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)', 'if\\(\\$_GET\\[\'mod\'\\]\\s*==\\s*\'X0X\'\\s*OR\\s*\\$_GET\\[\'mod\'\\]\\s*==\\s*\'00X\'\\s*\\)', 'file_put_contents\\(\\s*\'err_class/sape\\.php', '\\$dl=urldecode\\(\\$_COOKIE\\[\'dl\'\\]\\);\\$cp=urldecode\\(\\$_COOKIE\\[\'cp\'\\]\\);\\$cd=urldecode\\(\\$_COOKIE\\[\'cd\'\\]\\);', 'unzip\\("archive\\.zip"\\);\\s*@unlink\\(\'archive\\.zip\'\\);\\s*@unlink\\(\'\\w+\\.php\'\\);', '\\$data\\s*=\\s*file_get_contents\\(\'php://input\'\\);\\s*if\\s*\\(strlen\\(\\$data\\)\\s*<=\\s*4\\)\\s*d\\(\'e0\'\\);', '\\$message\\s*\\.=\\s*"CVV:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv\'\\]\\s*\\.\\s*"\\\\n";\\s*\\$message\\s*\\.=\\s*"PIN:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv0\'\\]\\s*\\.\\s*"\\\\n";', 'rename\\s*\\(\\s*(\\$\\w{1,20})\\s*\\.\\s*"\\.php\\.suspected"\\s*,\\s*\\1\\."\\.php"\\s*\\);', '\\$tags=array\\("p","div","span"\\);\\$tags=\\$tags\\[rand\\(0,count\\(\\$tags\\)-1\\)];\\s*array_push\\(\\$body,"%1\\$tags%3",\\$text,"%2\\$tags%3"\\);', 'if\\s*\\(strlen\\(strval\\(key\\(\\$_GET\\)\\)\\)\\)\\s*\\$m\\s*=\\s*\'sub_id_1=\'\\s*\\.\\s*strval\\s*\\(\\s*key\\(\\s*\\$_GET\\s*\\)\\s*\\);', '@file_get_contents\\("\\$chain/csbx\\.php', 'eval\\(base64_decode\\("JGF1dGhfcGFzcyA9ICIyYTF', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*\\$act\\s*==\\s*\'redate\'\\s*&&\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*rdFile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', 'function\\s*clear_htaccess\\(\\$file_name\\)\\s*{\\s*\\$path_htaccess\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT', '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*eval', ';\\s*\\b\\w{1,20}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*hebrevc\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*\\w{1,10}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);', '<center>config\\s*root\\s*man</center>', '\\$GLOBALS\\[\'\\w+\']=Array\\(\\);\\s*\\?><\\?\\s*function\\s*_\\w+\\(\\$i\\){\\s*\\$a=Array\\(\\);\\s*return base64_decode\\(\\$a\\[\\$i]\\)\\s*;\\s*}\\s*preg_replace\\(\\s*"/\\.\\*/e","', 'file_put_contents\\(\\s*\\$\\w{1,10}\\s*\\.\\s*["\']/\\w+\\.(png|gif)["\']\\s*,\\s*["\']<\\?php\\s*["\']\\s*\\.\\s*get\\(\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\)\\)', '<\\?php\\s*eval\\s*\\("\\?>"\\s*\\.\\s*gzuncompress\\(base64_decode\\("eJysvV', '<\\?php\\s*function\\s+file_to_include_unknown_cms', '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\?php\\s*eval\\(base64_decode\\(\'IGVycm9yX3JlcG9ydGluZygw', '{\\s*echo\\s+"Files\\s+Extracted\\s+MbroOk', '\\$_F=__FILE__;\\$_X=\'P2lCPz5NY2VXKDxlbk1bVV85TTJPOU0oJzhDcjA5Qy5', ';\\s*symlink\\(\'/\'\\.\\$home\\.\'/\'\\.\\$user\\.\'/public_html/client\\-area/configuration\\.php\',\\$user\\.\'WHMCS\\.txt\'\\);', '\\$f\\s*=\\s*\\$a\\(\\s*"",\\s*\\$array_name\\(\\s*\\$string\\s*\\)\\s*\\);\\s*//\\s*MALWARE\\s*\\$f\\(\\s*\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\${"', '\\$exploitURL\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*REDIRECTION_FOLDER\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;', '\\$ff\\s*=\\s*\\$f1\\s*\\.\\s*\\$f2\\s*\\.\\s*\\$f3;\\s*if\\s*\\(file_exists\\(\\$ff\\)\\)\\s*chmod\\s*\\(\\$ff\\s*,\\s*0777\\);', 'PRIVATE\\s+SCAM\\s+APPLE.+?\\$bannedIP\\s*=\\s*array', '<title>\\|\\#\\|\\s*BW\\s*Inbox\\s*Mailer\\s*\\|\\#\\|\\s*</title>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', 'print\\s*"Sending\\s*Mail\\s*To\\s*\\$to\\.\\.\\.\\.";\\s*flush\\(\\);\\s*\\$header\\s*=\\s*"From:\\s*\\$realnamenew', ':\\${\\$\\w+}=php_uname\\(preg_replace\\("/\\^-/","",\\${\\${', 'hide\\s+-s\\s+"/usr/sbin/httpd"\\s+-d\\s+-p\\s+ax\\.pid', 'Rez\\s+by\\s+\\[\\s+bajatax\\s+--\\s+Sniper', '<\\?php\\s*session_start\\(\\s*\\);\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];\\s*\\$pass\\s*=\\s*\\$_SESSION\\[\'pass\'\\]\\s*=\\s*\\$_POST\\[\'\\w+\'\\];\\s*\\$IP\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];', 'Wahib\\s+Mkadmi\\s+Priv8\\s+Mail3R', 'eval\\(gzuncompress\\(base64_decode\\(\'eNqs/fuPK9tWH47', 'WritePayload\\(\\s*\\$local_payload_path\\s*,\\s*\\$payload_file\\s*\\);', ';\\$\\{\\$\\w{1,40}\\}\\s*=\\s*get_option\\(EWPT_PLUGIN_SLUG\\);echo"[^"]+"\\s*\\.\\s*esc_attr\\(\\$\\{\\$\\{"[^"]+"\\}\\s*\\["', 'define\\(\'SHELL_PASSWORD\'\\s*,\\s*\\$hashed_password\\)\\s*;\\s*define\\(\'MAX_UP_LEVELS\',\\s*\\d+\\)\\s*;\\s*if\\(empty\\(\\$_COOKIE', 'my\\s*@ps\\s*=\\s*-c\\s*1\\s*-x\\s*-x"\\s*,\\s*"/usr/sbin/acpid"\\s*,\\s*"/usr/sbin/cron', '<title>Navicat HTTP Tunnel Tester</title>', 'stripos\\(\\$path\\s*,\\s*\'/httpdocs/\'\\s*\\)\\s*\\+\\s*strlen\\(\\s*\'/httpdocs/', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*form', '@system\\("killall\\s+-9\\s+"\\.basename\\("/usr/bin/host"\\)\\);', 'if\\s*\\(\\s*!function_exists\\(\\s*\'jquery_GetAllWritableDirs\'\\s*\\)\\s*\\)\\s*{\\s*function\\s*jquery_GetAllWritableDirs\\(\\s*\\$params\\s*\\)\\s*{\\s*global\\s*\\$jquery_dr\\s*,\\s*\\$dirList', 'webadmin\\.php</h1>', '\\$\\w{1,40}\\s*=\\s*fopen\\(\\s*"temp1-1\\.php"\\s*,\\s*"w"\\s*\\);\\s*fputs\\(\\$\\w+\\s*,\\s*"<\\?php', 'function\\s*xcalendarBufferEnd\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*xcalendarWPBase::getInstance\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*octdec\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*else\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*chmod_R\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}', 'Web\\s+Shell\\s+By.+?preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;', '}\\s*else\\s*{\\s*syswrite\\(\\$client\\s*,\\s*"\\\\x05\\\\xFF"\\s*,\\s*2\\s*\\);\\s*}\\s*;', 'Mister\\s+Spy\\s+&\\s+Souheyl\\s+Bypass\\s+Shell', '(\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[^)]+?\\s*\\)\\s*;\\s*){4,}\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*,\\s*\\d+\\s*\\);\\s*\\$\\w+\\s*=\\$\\w+\\(\\s*\\$\\w+\\s*\\);\\s*\\$', '{keyword}\\s*</h1>\\s*</big>\\s*</h1>\\s*{manytext_bing}\\s*</div>\\s*</div>', '<\\s*\\?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}', '<title>v\\d+\\.0\\s*\\-\\s*Mass\\s*Mailer\\s*by\\s*Kobra-Crew', '<title>INDRAJITH\\s+SHELL.+filemanager_bg', '/\\*\\s*Turbo\\s+Force\\s+By\\s+TrYaG\\.CC\\s+\\-\\s+TrYaG\\s+AcaDemY\\s*\\*/', ']}\\)\\);}echo\\${\\$\\w+};exit\\(\\);function get_ip\\(\\){\\${\\${".+uniqid\\(\\)\\.uniqid\\(\\);\\${\\${', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"-+\\|\\s*Full\\s*Infos', '<title>\\s*HOTMAIL\\s*\\(W33\\.INFO\\)\\s*</title>', '<\\?\\s*\\$random=rand\\(0,100000000000\\);\\s*\\$md5=md5\\("\\$random"\\);\\s*\\$base=base64_encode\\(\\$md5\\);\\s*\\$dst=md5\\("\\$base"\\);', '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"\\s*-+\\|\\s*CC\\s*Infos', '<title>\\s*Impots\\.gouv\\.fr\\s*-\\s*Accueil\\s*</title>', '<title>Navicat\\s*HTTP\\s*Tunnel\\s*Tester</title>', 'Sign\\s+on\\s+to\\s+Scotia\\s+OnLine', '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$md5\\s*=\\s*md5\\(\\s*uniqid\\(\\s*time\\(\\s*\\)\\s*\\)\\s*\\);', '<\\?php\\s*function botcheck\\(\\s*\\)\\s*{\\s*\\$spiders\\s*=\\s*array\\(', '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$user\\s*=\\s*\\$_POST\\[\'user\'\\];\\s*\\$pass\\s*=\\s*\\$_POST\\[\'pass(word)?\'\\];', 'function\\s*LimitDownloadSize\\(\\s*\\$resource\\s*,\\s*\\$DownloadSize\\s*,\\s*\\$Downloaded\\s*,\\s*\\$UploadSize\\s*,\\s*\\$Uploaded\\s*=\\s*null\\s*\\)', 'my\\s*\\$fakeproc\\s*=\\s*"/usr/local/apache/bin/httpd\\s*-KKD"', 'PlgSystemXcalendarHelper::getInstance\\(\\s*\\);', 'function\\s*start_work\\(\\s*\\$off\\s*,\\s*\\$unto\\s*\\)', 'touch\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\|\\|\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*chmod\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*0444\\s*\\)\\s*;\\s*chmod\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*0555\\s*\\)\\s*;\\s*\\}', 'die\\(\'ERROR-400-BAD-REQUEST\'\\);\\s*if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\)\\){\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'\\w+\']\\)\\)', 'echo"<center>.+?</center>\\s*";\\s*echo\\s*\'uname:\'\\.php_uname', '<!--\\#include\\s*file="/etc/passwd"\\s*-->', '\\$default_action\\s*=\\s*[\'"]FilesMan[\'"];\\s*\\$default_use_ajax\\s*=\\s*true;', '<title>GaLers\\s+xh3LL\\s+Backd00r</title>', ';class\\s*Smarty3\\s*{\\s*private\\s*static\\s*\\$file_with_ip', 'exec\\("cat /etc/passwd', '\\.\\s*/sss\\s*\\.\\s*pl\\s*<\\s*local_host\\s*>\\s*<\\s*local_port\\s*>\\s*\\[\\s*auth_login\\s*\\(\\s*:auth_pass\\s*\\)\\s*\\]', '<title>Navicat HTTP Tunnel Tester</title>', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$mailTo\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;.+if\\(mail\\(\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody\\s*,\\s*\\$MessageHeader\\s*\\)\\s*\\)', 'Upload\\s*is\\s*<b>\\s*<color>\\s*WORKING', 'Sindbad\\s*File\\s*Manager\\s*Version', 'if\\s*\\(\\s*file_exists\\(\\s*"config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./\\.\\./config/settings\\.inc\\.php"\\s*\\)', '<\\?php\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ignore_user_abort\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*eval\\(gzuncompress\\(base64_decode\\(\'eNp1VW1r21YU/it3JjA7mMSSLCmyyYqXOJ4zj5R4rEl2h7iWrl4aWfKk60YmjFFox', '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*0\\s*,\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'gzinflate\'\\s*;', '<title>Cardiman\\s+Asooooh', '\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\$\\w+\\);\\s*}\\s*elseif\\(!in_array\\([\'"]exec[\'"]\\s*,\\s*explode\\(\\s*[\'"],[\'"]\\s*,\\s*ini_get\\(\\s*[\'"]disable_functions[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*{\\s*exec\\(\\s*"wget\\s*-O\\s*-\\s*\'"\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"\'"\\s*,\\s*\\$\\w+\\);', '\\$headers\\s*=\\s*"From:\\s*MafioZo0', '\\$ADconn\\s*=\\s*new\\s*adLDAP;\\s*if\\(\\$ADconn->existingUser\\(\\$user\\[\'username\'\\]\\)\\){\\s*section\\("Active\\s*Directory",2\\);\\s*content\\(\\);', 'makehide\\(\'action\', \'backconnect\'\\);\\s*p\\(\'<p>\'\\);\\s*p\\(\'Your IP:\'\\);\\s*makeinput\\(array\\(', '<title>\\w+</title><form\\s+enctype=multipart/form-data\\s+method=post><input\\s+name=\\w+\\s+type=file><input\\s+type=submit\\s+name=\\w+>\\s*<br><br><input\\s+name=path\\s+type=text\\s+value=<\\?php\\s+echo\\s+@getcwd\\(\\);\\s*\\?>/>', '<\\?php\\s*echo\\(\\s*htmlentities\\(\\s*\\$_GET\\[\\s*\'symlinktarget\'\\s*\\]\\s*\\)\\s*\\);\\s*\\?>\\s*</b>\\s*<br>\\s*<input\\s*type="checkbox"\\s*name="relative"\\s*value="yes"\\s*id="checkbox_relative', 'if\\s*\\(\\s*\\$pass\\s*==\\s*\'\\w{32}\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*FALSE\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}', 'PhpFileAdmin.+?<a\\s*href="index\\.php\\?dir=<\\?=\\$_GET\\[\'dir\']\\?>">', 'elseif\\s*\\(\\s*isset\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*&&\\s*!empty\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*htmlentities\\(\\s*\\(\\s*string\\s*\\)', 'list\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)=\\s*explode\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\);', '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=', ';\\s*\\$[O0_]+="[^"]*"\\s*;\\s*\\$\\w{1,40}="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*', 'else\\s*\\{\\s*echo\\s*"indata_error"\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)', '<title>D\\.R\\.S\\s+Dz</title>', 'list\\(\\$tobuf,\\$from,\\$frompwd,\\$fromname,\\$subject,\\$message\\)= split \\(\':::\',\\s*\\$conar\\);\\s*\\$toar = split\\(\'\\\\\\|\\\\\\|\',\\$tobuf\\);\\s*foreach \\(\\$toar\\s*as\\s*\\$to\\)\\s*{\\s*list\\(\\$fromlogin,\\$fromhost\\)=split\\(\'@\',\\$from\\);', 'base64_decode(\'UHJvcGVydHkgb2YgUmV2aXNpdW0uY29t\')', 'static\\s*public\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*["\'][^"\']*=["\']\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '}\\s*if\\(\\w+::\\w+\\(\\w+\\("[a-zA-Z0=9/]+=="\\)', '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=\\d+\\s*x3=', 'OK\\s*COK\\s*SUKSESS', 'fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*[\'"][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*rawurldecode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;', '\\$\\w{1,40}-\\s*>\\s*\\w+\\s*=@file_get_contents\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*===\\s*false\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+\\s*;', '\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*1\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}', 'basename\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*&&\\s*in_array\\s*\\(\\s*strtok\\s*\\(\\s*"[^"]*"\\s*\\)\\s*,\\s*array\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*', '\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"php"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"aspx"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;', '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\.\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*;\\s*\\}\\s*', 'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s+\\w+\\s*{.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,.+?MRT_ALL_TRAFFIC', '<\\?php\\s*//=+//\\s*//=+\\+\\+\\+Dhanush\\+\\+\\+=+//\\s*//=+//\\s*//=+\\+\\+\\+Coded\\s*By\\s*Arjun\\+\\+\\+===//\\s*//=+//\\s*//=+\\+\\+\\+An\\s*Indian\\s*Hacker\\+\\+\\+=====//\\s*//=+//\\s*//====\\s*Ashvin-2069/Oct-2012\\s*====//\\s*//\\s*Set\\s*Username\\s*&\\s*Password\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*Malware\\s*Site\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*"[^"]*"\\s*Base64\\s*encoded\\s*"[^"]*"\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>', '<\\?php\\s*/\\*\\s*PHP\\s*Encode\\s*by\\s*http://Www\\s*\\.\\s*PHPJiaMi\\s*\\.\\s*Com/\\s*\\*/error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*if\\s*\\(\\s*!defined\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*__FILE__\\s*\\)\\s*;\\s*if\\s*\\(\\s*!function_exists\\s*\\(.+?\\?>', 'if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*scandir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\(\\s*is_dir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{', 'if\\s*\\(\\s*\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\|\\|\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}', '\\{\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\s*3600\\s*\\)\\s*;', 'require\\s*__DIR__\\s*\\.\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Clue\\\\Psocksd\\\\App\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*run\\s*\\(\\s*\\)\\s*;', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<\\s*<\\s*<\\s*S\\s*\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#\\s*<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#\\s*<\\s*/IfModule\\s*>\\s*\\#\\s*END\\s*WordPress', 'if\\s*\\(\\$query\\s*===\\s*\'checker-page\'\\)\\s*{\\s*if \\(\\s*_fetch_url\\(\\s*_get_rev\\(\\s*\\)\\s*\\)\\s*>\\s*0\\)\\s*{', 'by_rEpErOk</font>', '(\\$\\w{10,40}\\s*=\\s*\\d+;\\s*){10,}.+?array_push\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*>\\s*tV12hsJy_\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*array_shift\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*microtime\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\}\\s*\\}', 'Configs\\s+Grabber\\s+By\\s+AnonCoders\\s+Team', 'function\\s+sessionStart\\(\\$session\\)\\s*{\\s*if\\(!empty\\(\\$session\\)\\)\\s*return\\s*eval\\(\\$session\\);\\s*}', 'if\\s*\\(\\s*me_file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0444\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*;\\s*\\}\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*me_file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}', 'md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*===\\s*__PASSWORD__\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*filemtime\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*filemtime\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*move_uploaded_file', 'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*" AND \\#__content\\.title LIKE', 'fp\\s*=\\s*@fsockopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*connect3\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urlencode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;', '\\$_SESSION\\[\'_ip_\'\\];\\s*//+\\s*\\$LOGS\\s*=\\s*"\\["\\s*\\.\\s*date\\(\\s*\'Y-m-d[^;]+;\\s*file_put_contents\\(\\s*\'[^\']+\'\\s*,\\s*\\$LOGS\\s*\\.\\s*PHP_EOL\\s*,\\s*FILE_APPEND\\s*\\);', 'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\|\\|\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*print\\s*json_encode\\s*\\(\\s*selfTest\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*elseif\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*json_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*true\\s*\\)\\s*;\\s*print\\s*json_encode\\s*\\(\\s*alexusMailer\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*json_encode\\s*\\(\\s*array\\s*\\(', '\\$\\w{1,40}\\s*=\\s*\\$dir\\.DIRECTORY_SEPARATOR;\\s*chmod\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\', 0644\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\'\\s*,\\s*"r"\\);', '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]jquery[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]var', '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;', '\\*/\\s*(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}\\$\\w+\\s*=\\s*"(\\\\\\d+){3,}";\\s*((\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}|/\\*)', '\\$\\w{1,40}\\s*=\\s*explode\\(\\s*\'\\|\',(\\s*base64_decode\\(){3,}\\s*\\$\\w+\\s*(\\)\\s*)+;', '\\$\\w{1,40}\\s*=\\s*new\\s*PclZip\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*extract\\s*\\(\\s*\\)\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*errorInfo\\s*\\(\\s*true\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\?>', '<\\s*title\\s*>\\s*<\\s*\\?\\s*=\\$Z118_title\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\?><\\s*/title\\s*>', 'wget\\s+https?://[^/]+/xmrig_lin64\\s+-o\\s+/tmp/', 'echo\\s+"Uploader\\s+By\\s+Psyco', '<\\?php\\s+//\\s+HacKerD\\s+By\\s+aDriv4', 'register_shutdown_function\\(array\\(\'\\w+\',\'\\w+\'\\)\\);\\$\\w{1,40}=\\$\\w{1,40}\\?;\\}if\\(!file_exists\\(\\$\\w{1,40}\\?\\)\\)\\{@assert\\(str_replace', '<title>Mister\\s+Spy</title>', 'LOGIN\'\\s*=>\\s*\\$_POST\\[\'login\'\\]\\s*,\\s*\'ACTIVE\'\\s*=>\\s*\'Y\',\\s*\'GROUP_ID\'\\s*=>\\s*array\\([^)]+\\),\\s*\'PASSWORD\'\\s*=>\\s*\\$_POST\\[\'pwd1\'\\],', 'bad_list\\.txt"\\s*,\\s*"a"\\s*\\);\\s*fwrite\\(\\$\\w+,\\s*\\$check\\."\\\\n"\\);\\s*\\$\\w+\\s*=\\s*fopen\\s*\\(\\s*"good_list\\.txt', '(\\$func\\d\\s*=\\s*strrev\\(str_replace\\(\'[^\']+\',\'\',\'[^\']+\'\\)\\);\\s*){3,}', 'user\\.\'/etc/\'\\.\\$t\\.\'/shadow\',\'ab', '\\$htaccess\\s*=\\s*"https://pastebin\\.com/raw/\\w+";\\s*\\$file\\s*=\\s*file_get_contents\\(\\$htaccess', '<br>\\[\\+\\]\\s*Uname:\'\\.php_uname\\(\\)', 'urltoredirect\\s*=\\s*\\$new_request->request\\("http://"\\s*\\.\\s*\\$servurl\\s*\\.\\s*"\\?clientid="\\.urlencode\\(\\$clientid\\)\\."&ineednewurltoredirect', '\\$cachetime\\s*=\\s*\\d+;\\s*if\\s*\\(\\(file_exists\\(\\$target\\)\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*\\$cachetime\\)\\s*>\\s*filemtime\\(\\$target\\)\\)\\s*\\{\\s*\\$string\\s*=\\s*file_get_contents', '\\$engines\\)\\s*\\{\\s*if\\s*\\(preg_match\\(\\s*"/\\$engines/"\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\(\\$target', 'if\\s*\\(\\s*is_bitch\\(\\s*\\$_SERVER', 'SCAM\\s+PAYPAL\\s+V.{10,100}SHADOW\\s+Z118', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*chr\\(.{400,600};include\\(\\$\\w{1,40}\\);\\$\\w{1,40}\\(\\$\\w{1,40}\\);\\s*\\Z', '<\\?php\\s*echo\\s*\'RxR\\s+HaCkEr', '\\$file\\s*=\\s*\\$exec_path\\.\\$drop_name;\\s*drop_file\\(\\$file\\s*,\\s*\\$\\w{1,40}\\);\\s*\\}\\s*@chmod\\(\\$file\\s*,\\s*0777\\);', 'file_put_contents\\(\\$path\\s*,\\s*\\$this->get_backdoor_code', '<\\?php\\s*\\$auth_pass=\'.{32}\';preg_replace\\("/\\.\\*/', 'ccc=str_rot13\\(gzinflate\\(base64_decode\\(\\$code_', 'HacKerD By aDriv4', 'error_reporting\\(0\\);\\$c_=\'[^\']+\';\\$c0=\'[^\']+\';\\$c1=\'[^\']+\';\\$c2=\'', 'if\\(\\$_POST\\[\'success\'\\]\\s*==\\s*\\$msg\\[\'delScript\'\\]\\)\\s*@unlink\\(__FILE__\\);\\s*LocalRedirect', 'else{file_put_contents\\(\\$c9\\.\'/\\.htaccess\',file_get_contents', '<TITLE>Backdoor shell', 'sh\\s+-c\\s+\\./cnrig\\s+-a\\s+cryptonight\\s+-o', '<\\?php\\s*\\$[O0_]{1,40}=\'[^\']+\';\\s*\\$[O0_]{1,40}=\\d+;\\s*\\$[O0_]{1,40}=\'index\\.php.{30000,}range\\(1,\\$p\\);\\s*\\}\\s*\\$numbers\\s*=\\s*range\\(1,\\$p\\);\\s*shuffle\\(\\$numbers\\);\\s*return\\s*array_slice\\(\\$numbers,0,\\$n\\);\\s*\\}\\s*\\?>', '\\Amy \\$\\w{1,40};\\$\\w{1,40}.=\\$_\\s*while\\(<DATA>\\);\\s*eval\\(unpack\\(\'u\\*\'\\s*,\\s*\\$\\w{1,40}\\)\\);\\s*__DATA__', 'port_c="I2luY2x1ZGUgPHN0ZGlvLm', 'HTTP_HOST"\\)\\.\' - FaTaL Shell', '\\A<\\?php\\s+\\$\\w{1,40}\\s*=\\s*\\d+;\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}, \\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*\'\';.{2000,4000};echo/\\*[^*]{1,100}\\*/\\(\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\)\\s*;\\s*\\?>', '<title>ex0shell', 'function\\s+DxFiles_UploadHere', 'feshow="shell_exec"', '<title>Dive\\s+Shell', 'made_by="Bl0od3r";', '<center>\\.:Cyber Shell', 'array\\("find all suid files', ':: 3FEShell', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*include\\s*\'antibots\\.php\';\\s*\\$message\\s*\\.=\\s*"--', '<\\?\\s*\\$adddate=date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$country\\s*=\\s*visitor_country\\(\\);', '\\$login\\s*=\\s*\\$_SESSION\\[\'clientemail\'\\];\\s*\\$passwd\\s*=\\s*\\$_POST\\[\'passwd\'\\];\\s*\\$own\\s*=', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=.{3000,30000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*user_error\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*E_USER_ERROR\\s*\\)\\s*;', '<option value="cat /etc/passwd">', 'mailto:\'>P0Uy@_\\$3r\\/3R', 'mydir->close\\(\\);\\s*@chmod\\("\\$deldir",0777\\);\\s*echo\\s+@rmdir\\(\\$deldir\\)', '<b>\\.::\\[Shell functions\\]::\\.</b>', 'create_symlink\':\\s*if\\s*\\(!empty\\(\\$_POST\\[\'destination\'\\]\\)\\)\\s*\\{\\s*\\$dest\\s*=\\s*relative2absolute\\(\\$_POST', '\\$file\\s*=\\s*"N-Cool-\\$date\\.sql\\.gz";\\s*\\$gzip\\s*=\\s*TRUE;\\s*\\$silent\\s*=\\s*TRUE;', '\\$s_pass\\s*=\\s*"\\w{32}";\\s*//\\s*password\\s*\\(.{1,100}\\)\\s*eval\\("\\?>"\\.gzinflate\\(base64_decode\\(', '@eval\\(gzinflate\\(base64_decode\\(\\$code\\)\\)\\);\\s*\\?>\\Z', '<head>\\s*<title>azrail\\s+1\\.', 'fold in folder\\.SubFolders \'-->FOLDERz', '\\.Visible=true;\\s*Bin_H2_Title\\.InnerText="File Manager', 'HTTP_HOST"\\)\\.\'\\s*-\\s*Antichat\\s*Shell</title>', 'case\\s*\'exesys\':\\s*\\$content\\s*\\.=\\s*\\$shell->exesysform\\(\\);', 'elseif\\(strtolower\\(\\$cmd\\)\\s*==\\s*"etcpasswdfile"\\)\\s*\\{\\s*\\$pw\\s*=\\s*file\\(\'/etc/passwd/\'\\);', 'curl_setopt\\(\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*"file:file:///', 'fm_redirect\\(\\s*FM_SELF_URL\\s*\\.\\s*\'\\?p=\'\\s*\\.\\s*urlencode\\(FM_PATH\\)\\s*\\);', 'RxR\\s+HaCkEr\\s*<\\?\\s*\\$cwd', '<\\?php\\s*if\\(\\s*\\$_GET\\["\\w{1,40}"\\]\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*if\\(\\s*@copy\\(\\$_FILES\\[\'file\'\\].{1,400}</form>\'\\s*;\\s*\\}\\s*\\?>\\Z', 'div\\s+id="content"><textarea\\s+rows="20%"\\s+cols="50%">\\\\\'\\.\\$[O0_]{5,20}\\.\\\\\'</textarea', ';set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"enumerator"\\);array_walk\\(\\$_POST,"enumerator"\\);function enumerator\\(\\$value,\\$key\\)\\{\\$\\{', ',CURLOPT_USERAGENT,\\\'WHR\\\'\\);\\$\\{', 'putincache\\(\\$urlhash\\."::::"\\.codedata', ';\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\w{1,40};', '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*null\\s*\\.\\s*\\$\\w{1,40}\\s*\\(', 'function check_commands\\s*\\(\\)\\s*\\{\\s*if\\s*\\(\\s*array_key_exists\\s*\\(\\s*\'delete\'\\s*,\\s*\\$_REQUEST\\s*\\)\\s*\\)\\s*\\{\\s*unlink\\(\\s*__FILE__\\s*\\);', '\\A<\\?php\\s*\\$\\w{1,40}="[^"]{30000,}";eval\\(base64_decode\\("[^"]+"\\)\\);return;\\s*\\?>\\Z', '<title>W3LL\\s+M!N!\\s+SH3LL</title>', '<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*/\\s*>\\s*<\\s*title\\s*>\\s*\\#[a-z]+\\#\\s*<\\s*/title\\s*>\\s*<\\s*meta\\s*name\\s*="keywords"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>\\s*<\\s*meta\\s*name\\s*="description"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>', 'chdir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*get_rand_touch\\s*\\(\\s*\\)\\s*;\\s*writeTo\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*false\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*"wp-config\\.php"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*file_put_contents\\(', '<\\?php\\s/\\*\\s*--\\s*enphp.+}\\{\\d+\\}\\(E_ALL\\^E_NOTICE\\);\\$_SERVER{', 'global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*new\\s*dolly_plugin\\s*\\(\\s*\\)\\s*;', 'echo\\s+mail\\(\\$to,\\$them,\\$mss,\\$head\\)\\?_\\d+\\(\\d+\\):_\\d+\\(\\d+\\)', '}\\s*=\\s*@unserialize\\(\\s*sh_decrypt\\(\\s*@base64_decode\\(\\s*\\${\\s*\\$\\w+\\s*}\\)\\s*,\\s*\\${\\s*\\${\\s*"[^"]+"\\s*}', 'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s*bb_pres\\d+\\s*\\{\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;.+data:text/javascript;base64', '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*[^;]+;\\s*\\$\\w+\\[chr\\(\\s*\\d+\\s*\\)\\s*]\\(bd\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\$\\w+\\[\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\]\\(\\s*\\w+\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);', 'class\\s+bb_press2.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,', '<\\?(php)?\\s*\\$auth_pass\\s*=\\s*"[^"]*";\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\([\'"]', '\\#!/usr/bin/perl\\s+-w\\s*my\\s+\\$Password="\\w+";\\s*\\$\\w+\\s*=\\s*[\'"](\\d+;)', '<title>(cPanel\\s+)?Turbo\\s+Force', '\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*@chdir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Check\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Send\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*', '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*', '\\$GLOBALS\\[\'Alfa_Protect_Shell\'\\]', '<\\?php\\s*/\\*\\s*WSO\\s*\\[\\s*2\\s*\\.\\s*\\d+\\s*\\]', '\\$\\w{1,20}\\s*=\\s*\\$\\w{1,20}\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*\\$\\w{1,20}\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*\\$\\w{1,20}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{', 'preg_split\\("//",\\$\\w+,-1,PREG_SPLIT_NO_EMPTY\\);\\$\\w+=implode\\("",array_reverse\\(\\$\\w+\\)\\);};\\$\\w+=__FILE__;', '\\.(\\$\\w{1,10}\\(){6,}["\'](\\\\x[A-Fa-f0-9]{2}){10,1100}["\']\\)', '\\$code\\s*=\\s*\'\\s*<\\?php\\s*\\$user_agent_to_filter = array\\( \\\\\'\\#Ask\\\\s\\*Jeeves', '<\\?php\\s*\\$\\w+\\s*=\\s*[\'"]\\w{32}[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]\\#df5[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]FilesMan[\'"];', 'chr\\(\\d+\\)[^/]+?@\\$\\w{1,30}\\(\\s*@\\$\\w{1,30}\\(\\s*[\'"][^\\)]{1000,}\\)\\)\\)?;', '\\$wpautop\\s*=\\s*pre_term_name\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\);.*\\$shortcode_unautop\\(\\);', 'function arr2html\\(\\$array,\\s*&\\$arr\\s*=\\s*\'\\s*\',\\$ztabhtml=\'\',\\$zheaderarray=\'\'\\)\\s*{\\s*\\$array\\s*=\\s*"as"\\s*\\.\\s*\\$_REQUEST\\[\'array\'\\];\\s*\\$sort\\s*=\\s*array\\(\\$_REQUEST\\[\'sort\'\\]\\);', '(\\$\\w{1,40}\\s*=\\s*\'[^\']{1,200}\';\\s*){10,}\\$\\w{1,40}=str_replace\\(\'[^\']{1,50}\',\'\',(\\$\\w{1,40}[\\s\\.\\)]+){10,};', '";\\s*eval\\s*/\\*[^*]+\\*/\\s*\\(\\w{1,30}\\s*\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*\\);\\s*\\?>', '\\$\\w{1,30}\\s*=\\s*str_ireplace\\(\\s*"\\w{1,30}"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*"[^"]+"\\s*;\\s*function\\s+\\w{1,30}\\(\\s*\\$errno\\s*,\\s*\\$errstr\\s*,\\s*\\$errfile\\s*,\\s*\\$errline\\s*\\)\\s*{\\s*array_map\\(\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*\\$errstr\\)\\s*,\\s*array\\s*\\(\\s*\'\'\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\(\\s*\'\\w{1,30}\'\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*\\$\\w{1,30}\\(\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*(user|trigger)_error\\(\\s*\\$\\w{1,30}\\s*,\\s*E_USER_ERROR\\s*\\);', 'case\\s*["\']update["\']\\s*:\\s*if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s* base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*[\'"]OK[\'"];', '\\$\\w{1,40}\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\);\\s*/\\*\\s*GNU\\s+GENERAL\\s+PUBLIC\\s+LICENSE', 'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*}\\s*\\?>\\s*<title>BOOM</title>', 'if\\(mail\\(\\$_POST\\[\'email\'\\], \\$_POST\\[\'subject\'\\], \\$_POST\\[\'content\'\\], \\$headers\\)\\) {\\s*echo "Bravo!";\\s*}\\s*else\\s*{\\s*echo "Failed to send email\\.";\\s*}', 'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*echo "Bravo!";\\s*}\\s*\\?>\\s*<title>BOOM</title>', '\\$leaf\\[\'version\'\\]="2\\.7";\\s*\\$leaf\\[\'website\'\\]="leafmailer\\.pw";', 'if\\(PLATFORM\\s*==\\s*WORDPRESS\\)\\s*{\\s*if\\(strpos\\(\\$file\\s*,\\s*\'wp-content\'\\)\\s*===\\s*false\\s*&&\\s*strpos\\(\\$file\\s*,\\s*\'wp-admin\'\\)', '\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+?\\[-\\] SOCKET ERROR\\[fsock\\]: {\\$_\\d+\\[path\\]} \\[\\{\\$_\\d+\\}\\] {\\$_\\d+}";}\\$_\\d+=FALSE;}}if\\(\\$_\\d+===FALSE\\){if\\(\\$_\\d+\\){print _\\d+\\(\\d+\\);}\\$_\\d+=FALSE;}return \\$_\\d+;}', '\\$req_uri\\s*=\\s*\'http://\'\\.\\$req_uri\\."\\?req="\\.urlencode\\(\\$full_uri\\)\\."&gzip="\\.\\$is_gzip\\."&host=\\$host&ip=\\$ip&rip=\\$reverse_ip&ua=\\$ua&ref=\\$ref";', '<title>PHP-FILES\\.ME</title>', '\\$\\w{1,40}=gzinflate\\(base64_decode\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(\\s*ord\\(\\$\\w+\\[\\$i]\\)\\s*-1\\s*\\);\\s*}\\s*return\\s*\\$\\w+;\\s*}\\s*eval\\(\\w+\\(', 'path_throwgh_files.+burlywood', '\\$strFileBody=GetFileContent\\(\\$strUrl\\);\\s*\\$strFileBody=str_replace', 'checksuexec\\s+"\\.escapeshellarg\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\.\\$_SERVER\\[\'REQUEST_URI\'\\]', '\\$auth_pass\\s*=.+;eval\\("\\\\x65', 'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|REQUEST|COOIE|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s+"file test okay";\\s*}\\s*\\$\\w{1,10}="\\w+";\\s*\\$\\w{1,10}=\'\\w+\';\\s*\\$\\w{1,10}="\\w+";', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}.+PCLZIP_READ_BLOCK_SIZE', 'function\\s*refercheck\\(\\$refer\\s*=\\s*""\\)\\s*{\\s*return\\s*preg_match\\("/\\(google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing\\)/si", \\$refer\\);\\s*}', 'function\\s+WSOstripslashes\\(\\$array\\)\\s*{\\s*return is_array\\(\\$array\\)\\s*\\?\\s*array_map\\([\'"]WSOstripslashes[\'"]\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\);\\s*}\\s*\\$_POST\\s*=\\s*WSOstripslashes\\(\\$_POST\\);\\s*\\$_COOKIE\\s*=\\s*WSOstripslashes\\(\\$_COOKIE\\);', ';\\s*\\$default_use_ajax\\s*=\\s*false;\\s*\\$default_charset\\s*=.+print\\s*eval\\(', 'function\\s+pushUploaders\\(\\)\\s*{\\s*global\\s*\\$uploaderStatusHandle;\\s*\\$data\\s*=\\s*readFileOpt\\(CACHE_UPLOADER_DB\\);', '<h1>"\\.ucfirst\\(\\$key\\)\\."</h1><br>\\s*<br>"\\.\\$templateimage\\."<br><br>\\s*"\\.\\$mapinpages\\."\\s*"\\.\\$pageparse\\."<br>\\s*"\\.\\$links1\\."', 'function\\s+evalEndClean\\(&\\s*\\$p\\) {\\s*\\$t = gzuncompress\\(base64_decode\\(\\$p\\)\\);\\s*\\$t = str_replace\\(array\\("<\\?php",\'\\?>\'\\),\'\',\\$t\\);\\s*eval\\(\\$t\\);\\s*unset\\(\\$p\\);unset\\(\\$t\\);', '//\\w{3,20}\\s*function\\s+request_url_data\\(\\$url\\)\\s*{\\s*\\$site_url\\s*=.+?print\\s+\\$decoded;\\s*}\\s*}//\\w{3,20}', ']}=Array\\("\\w+"=>@phpversion\\(\\),"\\\\x\\d+\\\\x\\d+"=>"\\\\x\\d+\\.\\\\x\\d+-1",\\);echo\\s*@serialize\\(\\${\\$\\w+\\}\\);}elseif\\(\\${\\${', 'function\\s+__get_template\\(\\)\\s*{\\s*\\$root_path\\s*=\\s*__get_root\\(\\);\\s*\\$tpl_path\\s*=\\s*\\$root_path\\."/SESS_\\w{32}', '\\$map_index_sitemap_uri\\s*=\\s*sprintf\\(\'%s%ssitemap_%d\\.xml\'\\s*,\\s*\\$currentUrl\\s*,\\s*"\\$dir/"\\s*,\\s*\\$sini\\);\\s*\\$map_sitemap_genuri_href\\s*=\\s*sprintf\\(\\s*\\$map_sitemap_genuri_link_format\\s*,\\s*\\$currentUrl', 'if\\s*\\(file_exists\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*\\)\\s*\\)\\s*rename\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*,\\s*"(\\.\\./)+\\w+\\.php"\\s*\\);', 'function\\s*is_from_search\\(\\$http_referer\\)\\s*{\\s*\\$flag\\s*=\\s*false;\\s*\\$http_referer_str\\s*=\\s*\'google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing', '__create_initial_settings[^\\#]+\\#google.+?__obfuscate_write', ';eurt\\s*=\\s*xaja_esu_tluafed\\$', '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*\\s*\\.=\\s*"\\w+";\\s*@\\$\\w+\\(\\$\\w+\\(\\\'[a-zA-Z0-9/=+]{100,200}', '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+="Fil.+?\\s*\\$default_use_ajax\\s*=\\s*true', 'proftpd.+?eval\\(\\$_[GET|POST|COOKIE|REQUEST|SERVER]+\\[[\'"]\\w+[\'"]\\]\\)', 'FakeSender\\s*by\\s*POCT', '\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\s*\\$\\w+=\'[^\']+\';\\s*(\\$\\w+=\'[^\']+\'|\\$\\w+=\\d+);', '\\$\\w{1,40}=@gzinflate\\(\\$\\w+\\)\\){\\$\\w+=create_function\\(\'\',\\$\\w+\\);unset\\(\\$\\w+,\\$\\w+\\);\\$\\w+\\(\\);}}', 'if\\(\\$\\w+=@gzinflate\\(\\$\\w+\\)\\)\\{if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)@setcookie\\(\'\\w+\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\$\\w+=create_function', '}}}}if\\(\\$q=="this-is-the-test-of-door"\\){\\$page="DOORWAYISWORKTITLE', '<\\?php\\s*(\\$\\w+) = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*echo (\\$\\w+) = isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\?base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\):\'\';\\s*(\\$\\w+) = \'\';\\s*foreach\\(array\\(\\1\\) as (\\$\\w+)\\){\\s*\\4\\.=\\5;\\s*}\\s*ob_start\\(\\4\\);\\s*if\\(\\2\\){\\s*echo \\2;\\s*}\\s*ob_end_flush\\(\\);', 'if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\)\\s*{\\s*\\$abod\\s*=\\s*\\$filedir\\.\\$userfile_name;\\s*@move_uploaded_file\\(\\$userfile_tmp,\\s*\\$abod\\);\\s*echo"<center><b>Done\\s*==>\\s*\\$userfile_name</b></center>";\\s*}\\s*}\\s*else{', '}}else{\\$\\w+=@\\$_SERVER\\[((""|chr\\(\\d+\\)|"\\w")\\.?){10,}];', '\\$__=hex2ascii\\(\\$_+\\);\\s*\\$.="\\$_+";\\s*\\$.=[eval\\."\'\\s]+\\(\\$.\\)\';\\s*assert\\(\\$.\\);', '\';\\$\\w+=str_rot13\\(\'fge_ebg13\'\\);\\$\\w+=\\$\\w+\\(\'onfr64_qrpbqr\'\\);\\$\\w+=\\$\\w+\\(\'[^\']+\'\\);eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\)', '<\\?php\\s*\\$\\w+=strrev\\("edoced_46esab"\\);\\$\\w+="[^"]+";eval\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*$', '<\\?error_reporting\\(0\\);(\\$\\w+=(urldecode\\()?\\$_COOKIE\\[\'\\w+\'\\]\\)?;\\s*){10,}', '\\$\\w{1,40}\\s*=\\s*\'[assert\\\'\\.\\s]+\';\\s*\\$\\w+\\s*=\\s*sprintf\\(\'[\\!\\(\\)evalbase64_decode\\s\\.\\\']+\\("%s"\\)\\)\'\\s*,\\s*\\$\\w+\\);\\s*\\$\\w+\\(stripslashes\\(\\$\\w+\\)\\);', '\\$default_action=[FilesMan\'\\.]+;\\s*\\$color=[\'\\#df5\\.]+;\\s*\\$default_use_ajax=true;', '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*array\\(\\$\\w+\\{\\d+\\}\\s*,\\s*"\\\\n"\\s*\\),\\s*"",\\s*"[^"]+"\\s*\\)', '\\$\\w{1,40}\\s*=\\s*\'[\\.preg_replace\\\']+\';\\s*\\$call_user_func_array\\(\\s*\\$\\w+\\s*,\\s*array\\(\'/\\[\\w+\\]/\\w+\'\\s*,\\s*\\$_REQUEST\\["\\w+"\\]\\s*,\\s*"[^"]+"\\s*\\)\\);@\\w+\\(\\s*\\$_REQUEST\\s*\\);', '(/\\*[^\\*]+\\*/\\$\\w+=\'[^\']+\';){30,}', '\\$login="\\w+";\\s*\\$\\w+=str_rot13\\("\\w+"\\);\\s*\\$\\w+\\s*=\\s*str_rot13\\(\'\\w+\'\\);\\s*\\$\\w+="\\w{32}";\\s*eval\\(\\$mdh\\(\\$md\\(strrev\\(\'', 'error_reporting\\(0\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*\\$\\w+\\s*=\\s*basename\\(__FILE__\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{if\\(strlen\\(\\$\\w+\\)\\s*==\\s*32\\)', '<\\?php\\s*error_reporting\\(0\\);\\s*if \\(!isset\\(\\$_COOKIE\\[\'\\w+\'\\]\\)\\)\\s*deny\\(\\);\\s*\\$cookieData', '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*(\'\\w\'\\s*=>\\s*\'\\w\'\\s*,?\\s*){26,80}\\);\\s*eval(/\\*[^\\*]{0,40}\\*)?/\\(\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\s*\\);', 'assert_options\\(ASSERT_WARNING,0\\);\\s*\\$\\w+=\'[0-9a-fA-F]+\';.*?chr\\(hexdec.*?\\$\\w+=\'eval\\(\\$\\w+\\)\';\\s*assert\\(\\$\\w+\\);', 'eval\\(stripslashes\\(array_pop\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\)\\)\\)', '(\\$\\w+\\d+\\{\\d+\\}\\s*\\.?\\s*){10,}.+?\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\$\\w+\\s*\\(\\s*array\\(\\$\\w+\\d+\\{\\d+\\}\\s*,\\s*"\\\\n"\\),\\s*"",\\s*".+?\\)\\s*\\)\\s*\\);\\s*\\$\\w+\\(\\);', 'php_uname()\\(\\)\\.\'<br></b>\';\\s*echo\\s*\'<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">\'.*?if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'_upl\'\\]\\s*==\\s*"Upload"\\s*\\)\\s*\\{\\s*if\\(\\@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\s*\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)', 'function\\s*\\w+\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\{\\$\\w+="base64_decode.*?curl_init.*?"/wp\\\\-login\\\\\\.php.*?/\\\\/administrator\\\\//".*?phpmyadmin/i".*?define\\("___NOTSELF___\',1\\);.*?include_once.*?\\*/\\}\\}\\}', '<\\?\\s*eval\\(gzuncompress\\(base64_decode\\(\'.{22000,25000}\'\\)\\)\\);', '\\$\\w{1,40}\\s*=\\s*1;\\s*\\$\\w+\\s*=\\s*get_userdata\\(\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+->\\w+;\\s*wp_set_current_user\\(\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*wp_set_auth_cookie\\(\\$\\w+\\);\\s*do_action\\(\'wp_login\'\\s*,\\s*\\$\\w+\\);', ',\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(["\'].+?["\'],\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*\\(\\$\\w+\\s*\\);\\s*\\?>', '<font color="red">pwn pwnd owned hacked</font>', 'error_reporting\\(round\\(\\d+\\)\\);mb_internal_encoding\\(_\\w+\\(\\d+\\)\\);mb_regex_encoding\\(_\\w+\\(\\d+\\)\\);mb_http_output\\(_\\d+\\(\\d+\\)\\);mb_http_input', ';\\s*eval\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\)\\);\\?>', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZZH', 'if\\s*\\(\\$upload\\s*&&\\s*\\$user\\s*&&\\s*wp_check_password\\(\\$passwd,\\s*\\$user->data->user_pass,\\s*\\$user->ID\\)\\s*&&\\s*is_super_admin', 'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\$time\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0\\d+\\);\\s*eval\\(base64_decode\\(', 'Array\\((\'.\'=>\'.\'\\s*,?\\s*)+\\);\\s*eval/(\\*\\w+\\*/)?\\(\\s*\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*\\);\\s*\\?>\\s*$', '<title>Pro\\s*Mailer\\s*V2</title>', '\\$fullurl\\s*=\\s*""\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"<br><p>Emails:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$\\w+\\s*.\\s*"</TEXTAREA></p><p>Engenharia:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$mensagem\\[\\d+\\]."</TEXTAREA>', '<title>Hacked by NG689Skw</title><center>', '\\$result\\s*=\\s*dns_get_record\\(\\s*\\$domain\\s*\\.\\s*"\\.multi\\.uribl\\.com"\\);', '\';@\\$\\w+\\([eval\\."]+\\(\'(\\\\x[a-fA-F0-9]{2}){10,1100}\'\\);"\\);\\s*$', 'if\\(smtp_mail\\(\\$email,\\s*\\$subject,\\s*\\$message,\\s*\\$Header,\\s*\\$from_email\\)\\)\\s*{\\s*echo\\s*"good";\\s*}\\s*else\\s*{\\s*echo\\s*"Some error occured";\\s*}\\s*\\?>', '(mail\\((\\$\\w+,\\s*\\$\\w+,\\s*\\$\\w+(,\\s*\\$header)?\\))|(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\));(\\s*})?)\\s*if\\(\\$\\w+\\)\\s*{\\s*echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*(echo)?\\s*\'\\w+\\s*:\\s*\'', '<\\?php\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$\\w+\\){echo\\s*(trim\\()?\'\\w+\'\\)?;}\\s*else\\s*{echo\\s*\'\\w+\\s*:\\s*\'\\.\\$\\w+;}', '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\'[^\']+\'\\);\\s*\\$\\w+=\\$\\w+\\(\\$\\w+\\(\\)\\);\\$\\w+\\(\\);\\s*\\$\\w+\\(\\$\\w+,"\\$\\w+\\(', '@move_uploaded_file.+?echo"<center><b>Done ==> \\$userfile_name</b></center>', 'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\)\\)\\s*\\$to = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*else\\s*{\\s*echo "404 error";\\s*exit;\\s*}\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{', 'if \\(!empty \\(\\$hostname\\) \\) {\\s*\\$output = "";\\s*@exec \\("nslookup\\.exe -type=MX \\$hostname\\.", \\$output\\);\\s*\\$imx=-1;', '<?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*){3,}\\$result\\s+=\\s+mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){echo \'thank you\';}', '\\$result\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){\\s*echo\\s*\'\\w+\';\\s*}else{\\s*echo\\s*\'\\w+\\s*:\\s*\'\\s*\\.\\s*\\$result;\\s*}', '\\$message\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["body"\\]\\);\\s*set_time_limit\\s*\\(\\d+\\);\\s*@ignore_user_abort\\s*\\(true\\);\\s*\\$to_ar = explode\\(\',\',\\s*\\$to\\);', 'if\\(\\$vas\\){echo\\s*\'lessloss\';}else{echo\\s*\'cramdam\\s*:\\s*\'.\\$v', 'else\\s*{\\s*\\$result\\s*=\\s*mail\\(stripslashes\\(\\$to\\)\\s*,\\s*stripslashes\\(\\$subject\\)\\s*,\\s*stripslashes\\(\\$message\\)\\);\\s*}\\s*if\\(\\$result\\){echo\\s*\'good\';}else{echo\\s*\'error\\s*:\\s*\'\\.\\$result;}', '<\\?php\\s+mb_http_input\\("iso-8859-1"\\);.*?B L E S S E D S I N N E R .*?<\\/DIV>.+<\\/div>.+?<\\/form>', 'echo "<html><head>.*?Safe mode:</span>.*?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\\'\\w+\\\'\\]\\s*===\\s*\\\'uploadFile\\\'\\).*?echo \\"</body><\\/html>\\";', '//PING.*?sav.php\\?p=\\w+&url=.*?\\@ob_start\\(\\\'obCacheStart\\\'\\);', '\\$GLOBALS\\[\'\\w+\'\\]=Array\\((base64_decode\\((\\\'[A-Za-z0-9\\/\\=]*\\\'\\s*\\.*)+\\)\\,*)+.*?\\[\\d+\\]\\(\\$_\\w+\\),\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\);}\\s*\\?>', 'class PluginJoomla.+\\$\\w+\\s*=\\s*@?\\$_COOKIE\\[\\\'\\w+\\\'\\]\\;\\s*.*\\$\\w+\\s*=\\$\\w+\\(@?\\$_COOKIE\\[\\\'\\w+\\\']\\)\\;.+\\$\\w+\\s*=\\s*new\\s*PluginJoomla;', '\\$mcdata=array\\(\\);\\$mcdata\\[0\\]=base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\);array_filter\\(\\$mcdata, base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\)\\);\\?>', 'file_put_contents\\(\'\\w+\',\'<\\?php \'\\.\\$m\\);include\\(\'\\w+\'\\);\\s*$', '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\)\\s*{\\$\\w+="[^"]{2000,}";', '\\.(chr\\(\\d+\\)\\."[a-zA-Z0-9/\\\\ ]*?"\\.){5,}', 'if\\s*\\(isset\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\);\\s*}\\s*}elseif\\(isset', 'if \\(\\$whattime\\s*==\\s*"goodtime" \\|\\|\\s*empty\\(\\$settings\\)\\) {', '<title>Bypass\\s*shell</title>', 'if \\(md5\\(\\$_COOKIE\\[\'i\'\\]\\) == \'.{32}\'\\)\\s*{\\s*function file_download\\(\\$filename, \\$mimetype=\'application/octet-stream\'\\) {', '<\\?php if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["ms\\-load"\\]\\)==".{32}"\\){\\s*\\$p=\\$_SERVER\\["DOCUMENT_ROOT"\\];', '\\$a\\s*=\\s*[\\.\\sbase64decode_"]+;\\s*assert\\(\\$a\\(', '\\$GLOBALS\\[\'\\w+\'\\]\\(\\$\\w+\\[(\\$\\w\\d+\\[\\d+\\]\\.)+\\$\\w\\d+\\[\\d+\\]\\]\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\$\\w+\\s*=\\s*array\\(\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*\\$\\w+,\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*"",', '<\\?php\\s*if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*\\(\\s*\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\s*\\$www\\s*\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*}\\s*$', '"User-Agent:\\s*\\$template"\\s*\\."\\|\\$pathToDor"\\s*\\."\\|\\$pathOnMyHost"', '<\\?php\\s*\\$\\w+=([.]?chr\\(\\d+\\)[.;])+\\s*eval\\(\\$\\w+\\(\\$_REQUEST\\[\\w+\\]\\)\\);\\s*$', '}elseif\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eval\'\\]\\){\\s*\\$qV\\s*=\\s*"stop_";', '\\$\\w{1,40}\\.=\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)&0xFF\\);}eval\\(\\$\\w+\\);exit\\(\\);\\s*$', '(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}\\$\\w+ = "base64_decode";(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}', '}exit;if\\(\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\)!==false\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}else{\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\)\\);echo _\\d+\\(\\d+\\);}exit;}\\s*\\?>\\s*$', 'preg_replace\\(\\$\\w+.\\$\\w+,"(\\\\x[a-zA-Z0-9]+){3,}.{3000,}\\?>', 'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'check\'\\]\\)\\) {\\s*echo "ok";\\s*}\\s*else\\s*{\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{', '<html>.+?<title>utf</title>.+?echo "<h1>Welcome</h1>\\\\n";.+touch\\(\\$newfile,\\s*\\$time\\);.+</html>', 'file_put_contents\\(str_rot13\\("[^"]+"\\), file_get_contents\\(str_rot13\\("uggc://[^"]+"\\)\\)\\);.+@\\$strings\\(str_rot13\\(file_get_contents', '\\$folder = str_replace\\(\\$_SERVER.+ http_build_query.+function http_parse_headers.+\\$s \\.= \\$m\\[2\\]\\.\\$m\\[3\\];', 'GLOBALS\\[\'_\\d+_\'\\]\\[1\\]\\(\\$_REQUEST,\\$_1\\);\\$_1=\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\);while\\(round\\([^\\)]+\\)-round\\([^\\)]+\\)\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+]\\(\\$_REQUEST,\\$_REQUEST\\);.+echo \\$_\\d+;\\s*\\?>', 'riny\\(tmhapbzcerff\\(onfr64_qrpbqr\\(\'', '<\\?php\\s*error_reporting\\(0\\);\\s*ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*function str_1replace\\(\\$needle', 'if \\(strpos\\(\\$check_result,\'BLOCK\'\\) !== false \\|\\| strpos\\(\\$check_result,\'FOUND\'\\) !== false \\|\\| strpos', '\\$wp_enc_file\\s*=\\s*\'<\\?php eval\\("\\?>"\\s*\\.\\s*base64_decode\\("\'\\.\\$wp_code\\.\'"\\)\\);\\s*\\?>\';', '<\\?\\s*\\$lin=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["link"\\];\\s*switch \\(\\$lin\\) {', '\\$return = smtpmail\\(\\$smtp_host, \\$smtp_port, \\$smtp_login, \\$smtp_passw, \\$email_polucha, \\$telo_pisma, \\$headers\\);', '\\$file_path = dirname\\(__FILE__\\) \\. \'/\' \\. basename\\(\\$_FILES\\["file"\\]\\["name"\\]\\);\\s*move_uploaded_file\\(\\$_FILES\\["file"\\]\\["tmp_name"\\], \\$file_path\\);\\s*\\$file_name = basename\\(\\$file_path\\);', '<\\?php\\s*if\\(\\s*empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'ineedthispage\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*ini_set\\(\\s*\'display_errors\'\\s*,\\s*"Off"\\s*\\)\\s*;\\s*ignore_user_abort\\(1\\)', 'return\\s*\\$c0\\[\\$c_\\];}\\$GLOBALS\\[\'_\\d+_\'\\]\\[0\\]\\(a_\\(0\\),a_\\(1\\),a_\\(2\\)\\);\\s*}', '<\\?php\\s*echo md5\\(\\d+\\)\\."<form\\s*method=post\\s+enctype=multipart/form-data><input type=file name=filename>', '<\\?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*)+\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if.+?{echo\\s*\'\\w+ :\\s*\'\\s*\\.\\s*\\$ejfkqexizs;}', '\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$default_charset,\\$auth_pass,\\$color,\\$default_charset\\)', '<\\?php\\s+\\$\\w+=\'base.+?\\(\\s*str_replace\\(.+@?setcookie\\s*\\([\'"]\\w+[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).+</form>', '\\$sess\\s*=\\s*md5\\(\\s*@\\$_COOKIE\\[ssid\\]\\);', 'class\\s+PlgSystemXcalendarJoomlaBase', '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\(.+?wso_version.+eval\\(gzuncompress\\(base64_decode\\(.+==\'\\)\\)\\);\\s*\\?>', '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\((\'[a-zA-Z0-9/\\+=]+\',?)+\\);.+\\$default_action=.+\\)\\)\\)\\); \\?>', 'print\\s*"<h1>\\w+</h1>\\\\n";\\s*echo "Your IP: ";\\s*echo \\$_SERVER\\[\'REMOTE_ADDR\'\\];.+move_uploaded_file.+touch.+</html>', '<title>Sender Anonym Email :: FLoodeR :: SpameR</title>', '\\$i=strpos\\(\\$im,\'\\[UPD_CONTENT-\'\\);', 'global \\$\\w+; \\$\\w+=array\\(\'\\$\\w+\\[0\\]=array_pop\\(\\$\\w+\\);\\$\\w+=\\w+\\(\\d+,\\d+\\);.+create_\';if\\(function_exists.+?\\)\\);};unset\\(\\$\\w+\\);', '\\[3ran\\]\\s*\\*/\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["mailto"\\]\\)\\)', '\\$sh_name = base64_decode\\(\\$sh_id\\)\\.\\$sh_ver;', '<\\?php\\s*\\$r6\\s*=\\s*pow\\(2,6\\);\\s*\\$stringus\\s*=', '@\\$\\w+\\(\'\\#\\#e\'\\s*,\\s*"\\\\x[^"]+"\\s*,\\s*\'\'\\);', 'charCode\\(\\$\\w+\\);\\s*function charCode\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*array\\(.+?\\$\\w+\\[\\d+\\];return\\s+EvAl\\(\\$\\w+\\);\\s*}', '<\\?php\\s*\\$(\\w+)=".+?";eval\\(\\$\\1\\("[\\w+/=]+"\\)\\);', '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZ.+\\)\\)\\);\\s*\\?>', 'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[str_rot13\\(pack\\("H\\*",\\s*"\\w+"\\)\\)]\\)\\)\\s*{\\$_', 'else\\s*{\\s*ClosingDelicateHolesButton\\s*(\\s*);\\s*}', '}\\s*function [a-z0-9]{10,}\\(\\){}\\sfunction [a-z0-9]{10,}\\(\\){\\$.+?array\\(\\d+,\\d+', '<\\?php\\s*\\$a\\s*=\\s*".+?";\\s*assert\\(\\$a\\(', '=Array\\(".+?"=>@phpversion\\(\\),"sv"=>".+?",\\);echo\\s*@serialize\\(\\${\\${', '=\\s*\\$\\w+\\("",\\s*\\$\\w+\\(\\$\\w+\\("\\w+",\\s*"",\\s*\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\s*\\$\\w+\\(\\);\\s*\\?>', '==\\s*FALSE\\)\\s*{\\s*break;\\s*}\\s*if\\s*\\(\\$\\w+\\s*==\\s*\\d+ \\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\[\\$\\w+\\]\\[', '<\\?php\\s*\\$target_urls\\s*=\\s*array.+?\\$n\\s*=\\s*mt_rand\\(0,count\\(\\$target_urls\\)-1\\);.+?\\$rand_url;\\?>\\s*">\\s*', 'function\\s+Check25Port\\(\\)\\s*{\\s*\\$res\\s*=\\s*TRUE;\\s*\\$s\\s*=\\s*socket_create\\(AF_INET,\\s*SOCK_STREAM,\\s*SOL_TCP\\);\\s*if\\(@socket_connect\\(\\$s,\\s*\'gmail-smtp-in', '\\$\\w{1,40}\\s*=\\s*\\w+;\\$\\w+\\s*=\\s*"\\w+";\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*\\d+;\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*false;\\$\\w+\\s*=\\s*implode', 'code\';\\$vvv=\\$vvv\\(str_replace\\("\\\\n"', '\\$imgData\\s*=\\s*@\\$p2\\(@\\$p1\\(\\$imgData\\)\\);', '\\$\\w{1,40}\\s*=\\s*system\\("wget\\s+http:.+?;chmod\\s+\\d+\\s+\\w+;\\./\\w+"\\);\\s*echo\\s+\\$\\w+;\\s*system\\("rm\\s+\\w+"\\);', 'if \\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'multipart\'\\]\\)==\\$multipart\\.\\$part\\){', '<\\?php\\s+eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode\\(.+?\\)\\)\\);"\\);\\s*\\?>', ';file_put_contents\\(\\$_7\\[\'.\'\\]\\[\'\\w+\'\\],\\$_\\d+,FILE_APPEND\\|LOCK_EX\\);}if', 'define\\(\'ALREADY_RUN_\\w*\',\\s1\\);.*eval', 'preg_replace\\(\\"\\\\043\\\\056\\\\052\\\\043\\\\145', 'var_dump\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST),\\s*\\$_GET,\\s*\\$_COOKIE,\\s*\\$_FILES\\);\\s*\\$output = ob_get_clean\\(\\); \\$fp = fopen', 'if\\(strpos\\(\\s*\'fff\'.\\$file,\'home\'\\)>0 or strpos\\(\'fff\'\\.\\$file,\'admin', 'chmod\\(\\s*dirname\\(__FILE__\\).+?{\\$a=Array\\("/\\.\\*/e.+?_\\d+\\(\\d+\\)\\);', '<\\?php\\s*if\\s*\\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+? forbidden!\'; } \\?>', 'function\\s*check_cookie.+?android == true\\)check_cookie\\(\\$android_redirect\\);elseif \\(\\(\\$iphone.+?\\$aaa = false;', 'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\(\'gbk\',\'utf-8//IGNORE', '<title>VaRVaRa\\s*Searcher</title>', 'if\\(!empty\\(\\$_FILES\\[\'\\w*\'\\]\\[\'\\w*\']\\)\\sAND\\s\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'nick\'\\]\\)\\s==\\s\'\\w{32}\'\\)\\)\\s{', '\\$user_agent\\s*=\\s*"ConBot";', 'if\\(isset\\(\\$_COOKIE\\[\\\'\\w{11}\\\'\\]\\X*fsockopen', 'function\\s*xr\\(\\$text,\\$key\\){\\$out="";for\\(\\$i=0;\\$i', '\\beval\\(\\s*\\$_g\\(\\s*\\$_b\\(\\$_r', 'function\\s+WSOsetcookie', '<\\?php\\s+eval\\(\\s*eval\\("\\\\\\$_', '\\beval\\(\\s*"return\\s+eval\\(\\\\\\"\\$code\\\\\\"\\);"\\)\\s+\\?>', 'move_uploaded_file\\s*/\\*;\\*/', '\\$k="ass"\\."ert"', '_POST\\[\\(chr\\(\\d+\\).chr\\(\\d+\\)\\)', '\\$default_charset.*=\\.*\\$dc\\.\\$dc2', 'rand_url\\s*=\\s*\\$target_urls\\[$n', 'DIRECTORY_SEPARATOR\\s*\\.\\s*\\$[A-Za-z0-9]+;\\s*if\\s*\\(@\\$GLOBALS\\[\'[a-z0-9]+\'\\]\\(\\$[A-Za-z0-9]+', '"\\.\\$[\\w]{1,40}\\s*;\\s*\\$[\\w]{1,40}\\((\\$[\\w]{1,40}\\[\\d+\\]\\s*\\.?){4,}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*"\\d+"\\s*\\);', 'disk_free_space\\(\\s*dirname\\(__FILE__\\)\\) , disk_free_space', '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[pass', '\\$color\\s*=\\s*"\\#df5";', 'sprintf\\s*\\(\\s*"%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*for', 'User-Agent: SEoDOR-Client \\(pathOnMyHost-\\$pathOnMyHost', 'if\\s*\\(preg_match\\("/zh-c/i", \\$lang\\)==false\\|\\|preg_match\\("/zh-c/i",s\\*\\$lang\\)==0\\s*\\)\\s*{\\s*echo\\s*"<script', '<title>::\\s+Priv8\\s+vHost\\s+Config\\s+Grabber', ';lets_jump\\(\\$\\{\\$\\w{1,40}},\\$\\{\\$\\w{1,40}\\}\\);\\}\\$\\{\\$\\{', ';\\$\\{\\$\\w{1,40}\\}\\.=pack\\("[^"]{1,20}?",0x00000000,0x00000000,0x00000000,strlen\\(\\$\\{\\$\\{"', 'register_shutdown_function\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Ratel\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}', '\\$\\w{1,40}\\s*=\\s*\\(\\s*mktime\\s*\\(\\s*\\)\\s*-\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\|\\|\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*array\\s*\\(\\s*\'NO\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{', 'my\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*while\\s*\\(\\s*<\\s*DATA\\s*>\\s*\\)\\s*;\\s*eval\\s*\\(\\s*unpack\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;', '\\{if\\(\\$o\\)\\$o\\.=\';\\s*\';\\$o\\.=\\$n\\.\'=\'\\.addslashes\\(\\$v\\);}\\$h\\.=\'Cookie:', 'if\\s*\\(file_exists\\(\\$htaccessPath\\)\\)\\s*{\\s*chmod\\(\\s*\\$htaccessPath\\s*,\\s*0777\\);\\s*if\\s*\\(is_writable\\(\\$htaccessPath\\)\\)\\s*{\\s*\\$htaccessData\\s*=\\s*file_get_contents\\(\\$htaccessPath\\);\\s*\\$htaccessTime\\s*=\\s*filemtime\\(\\$htaccessPath\\);', '\\$expy\\s*=\\s*\\$_POST\\[\'expy\'\\];\\s*\\$cvv\\s*=\\s*\\$_POST\\[\'cvv\'\\];\\s*\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];', '\\)\\s*;\\s*foreach\\s*\\(\\s*\\$blocked_words\\s*as\\s*\\$word\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*substr_count\\s*\\(\\s*\\$hostname\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*>\\s*0\\s*\\)\\s*\\{\\s*header\\s*\\(', '<title>Ekin0x Shell', '\\$\\w{1,40}\\s*=\\s*JOkEr7\\(\'https://www\\.paypal\\.com/', '<\\?php\\s*include\\s*\'check_is_bot\\.php\'\\s*;\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$is_bot\\s*\\)\\s*\\)\\s*\\{\\s*echo', '\\$install_code\\s*=\\s*str_replace\\s*\\(\\s*\'{\\$PASSWORD}\'\\s*,\\s*\\$install_hash\\s*,\\s*base64_decode\\s*\\(\\s*\\$install_code\\s*\\)\\s*\\);', '<title>IndoXploit</title>', '\\&nbsp\\&nbsp\\&nbsp\\&nbsp\\&nbspCant\\s+Edit\\s+>>', '====\\+\\+\\+Coded\\s+By\\s+Izladen\\+\\+\\+===', '</script>";exit;}}}function\\s+\\w{1,40}\\(\\){\\$\\w{1,40}=\'http://\';if\\(\\$_SERVER\\["SERVER_PORT"\\]!="80"\\){\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]\\.":"\\.\\$_SERVER\\["PHP_SELF"\\];}else{\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]', '}\\s*if\\s*\\(\\s*\\$_POST\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*MAILER_CONFIG_FILE\\s*,\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*object\\s*\\)\\s*\\$_POST\\s*\\)\\s*\\)\\s*;', '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']{0,2000}\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', '<b>Black\\s*Space\\s*Mailer\\s*201', 'if\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*!="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}', 'die\\(file_get_contents\\(\\$urlSQLServerPage', '\\$rcard\\s*=\\s*\\$m->getRandcards\\(\\s*\\$id\\s*,\\s*\\$idsum\\s*\\);', 'header\\("\\s*location:\\s*ufl\\.php\\?id="\\s*\\.\\s*\\$first\\[0\\]\\);', '<title>Web\\s*Login\\s*Service\\s*-\\s*University\\s*of\\s*Florida</title>', '<title>Mail\\s+form\\s+HTML\\s+v\\d+[^<]+</title>', '\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\(\\s*\'<pre>\'\\s*\\)\\s*;\\s*echo\\s*htmlspecialchars\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;', 'if\\s*\\(\\s*strstr\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{', '(\\$\\w{1,50})\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,50}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,50}\\s*\\)\\s*;\\s*@\\$\\w{1,50}\\s*\\(\\s*\\$\\w{1,50}\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;', 'list\\s*\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)\\s*=\\s*split\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\)\\s*;', '\\$global_version\\s*=\\s*array_walk\\s*/\\*', '\\\\x\\w\\w"\\]}=@?unserialize\\(sh_decrypt\\(@?base64_decode\\(\\${\\$', '=@gzuncompress\\s*\\(\\s*@base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}=\\s*create_function', 'echo\\s*"<form\\s*action\\s*=\\s*\'"\\s*\\.\\s*\\$current\\s*\\.\\s*"&mode=copy&src="\\s*\\.\\s*\\$src\\s*\\.\\s*"\'\\s*method\\s*=\\s*\'POST\'>', '\\(isset\\(\\$_POST\\[\'execl\'\\]\\)\\)\\s*{\\s*echo\\s*\\$_POST\\[\'execl\'\\]\\s*\\.\\s*\'<br>\'\\s*;\\s*echo\\s*myshellexec\\(\\$_POST\\[\'execl\'\\]\\);\\s*}\\s*if\\s*\\(isset\\(\\$_POST\\[\'pcntl_exec\'\\]', 'elseif\\s*\\(\\s*\\$current_blog\\s*===\\s*\'active\'\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*\\$destination\\s*,\\s*\\$blog_id\\s*\\)\\s*;\\s*\\}', ';\\$this->tm_class_name_div=\\$\\{\\$\\{"\\\\x\\w{2}', '<title>Your\\s*University\\s*Grant\\s*Information</title>', '<HEAD><TITLE>IDBI\\s*Bank\\s*-', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\s*\\);\\s*\\$pager->render_pagelinks\\(\\s*\\);\\s*\\Z', 'do_passreturn\\(\\$_POST\\[\'path\'\\],\\$_POST\\[\'code\'\\],\\$_POST\\[\'return\'\\]', '\\$\\w{1,40}\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$username\\s*=\\s*\\$_POST\\[\\s*[\'"][^"\']+[\'"]\\s*\\];\\s*\\$password', 'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.\\$body', 'eval\\(\\s*\\$gzc\\(\\s*\\$b64\\(\\s*\\$r13', '\\A\\s*<\\?php\\s*GIF8(7|9)?\\w?[^\\s]{0,2}\\s*[^\\;]{0,80};', '<title>\\s*PHP\\s+Shellecho\\s+offender', '\\$short\\s*=\\s*make_bitly_url\\s*\\(\\s*[\'"]\\s*https?://wps\\.bank\\.login\\.it', 'value="<\\?\\s*passthru\\("pwd"\\);\\s*\\?>', '\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{24,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{50000,}[\'"];\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(', '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[^\\w]{1,3}DQogJHdlYiA9ICRfU0VSVkVSWyJIVFRQX0hPU1QiXTsNCiAkaW5qID0g[^\'"]{1,600}[^\\w]{1,3}\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z', '=@\\$_COOKIE;\\s*\\$', 'include(?:_once)?\\s*[\'"\\(][^\'"\\(]{0,20}cssisma[^/]{0,20}/\\w{1,40}\\.php[\'"\\(];', '\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*(?://?[^/]{0,150}/?\\s*)?\\Z', 'Popping\\s*root\\s*shell[^\\w]{1,40}Don[^\\w]t\\s*forget\\s*to\\s*restore\\s*/tmp/bak', '\\}\\s*elseif\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"](cvv)[\'"]\\s*\\|\\|\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\)\\s*\\{\\s*[^\\[]{1,200}\\s*\\$\\w{1,40}\\s*=\\s*trim\\(\\$rows\\[[\'"]?(number|cardnumber|cn|ccn|cnumber)[\'"]?\\]\\);\\s*\\$\\1', '<meta\\s+name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Wells\\s+Fargo\\s*:\\s*Provider\\s+of\\s+banking\\s*,', '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\s*\\(\\s*@?is_resource\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*@?popen\\(\\s*\\$\\w{1,40},\\s*[\'"]\\w[^\\w]?[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$res', '<title>\\s*Indoxploit', '\\A\\s*<\\?(?:php)?\\s+function\\s+long2str\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{50000,};\\s*@?eval\\s*\\(\\s*\\w{1,9}_decrypt\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\),\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z', '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[^\\$]{1,40}\\s*\\1\\s*(?:\\s*\\)\\s*){1,6};', 'if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*else(?:if)?\\s*\\{\\s*header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*[^\\?]{1,40}\\?>\\s*\\Z', '<title>\\s*Andro\\s*Ghost\\s*69', '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.p1.\\]\\); else @unlink\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[', '\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]/app/code/core/Mage[\'"];\\s*\\$\\w{1,40}\\s*=\\s*\\1\\([\'"][^\'"]{1,40}[\'"]\\);', '\\beval\\(\\s*x\\(\\$x', '-\\s*Process\\s*Faker\\s*,[^\\n]{1,200}\\s+Options:\\s+-s\\s+string\\s+Fake\\s+name\\s+process', '\\A\\s*<\\?(?:php)?\\s*error_reporting\\((?:0|false)\\);[^>]{1000,3000}\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\2\\s*\\);\\s*@?eval\\(\\s*\\1\\s*\\);\\s*\\};\\s*die\\(\\);\\s*\\?>\\s*\\Z', '/(?:\\*|/)\\s*PastiGanteng\\s*(?:\\w{1,40}\\.\\d+)?\\s+Shell', '<title>\\s*nShell\\s+\\w?\\d+\\.\\d+', '\\A(\\s*<\\?php\\s*(\\/\\*[^\\*]{100,600}\\*/)?\\s*error_reporting\\((0|false)\\);\\s*ini_set\\(\\s*[\'"]max_execution_time[\'"]\\s*,\\s*(0|false)\\);\\s*eval\\(\\s*base64_decode\\([\'"][^\\?]{1000,2500}break;\\s*\\}\\s*\\}\\s*\\}\\s*eval\\(\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\);\\s*\\?>){3}', '(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\.?){1,5};\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"]php://input[\'"]\\);\\s*\\2\\s*=\\s*CB_XORm\\(\\2,\\s*\\1,\\s*\\d+\\*\\d+\\);\\s*if\\s*\\(\\s*strncmp\\(\\s*[\'"][^\'"]{1,40}["\'],\\s*\\2\\s*,\\s*\\d+\\s*\\)\\s*==\\d+\\s*\\)\\s*\\{', '\\};\\s*WriteToFile\\([\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"],\\s*[\'"][\'"]\\);\\s*Auth\\(\\);\\s*if\\s*\\(\\s*\\(\\s*@?\\$_COOKIE\\[[\'"][^\'"]{1,40}[\'"]\\]\\)\\s*[^\\w]=\\s*md5\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*FileToString\\(\\s*[\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"]\\)\\);\\s*Main\\(\\);\\s*\\?>\\s*\\Z', 'my\\s+\\$botshell\\s*=\\s*[\'"][^\'"]{1,60}[\'"];', ';\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_FILES)\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\1\\[[\'"]?\\2[\'"]?\\][^\\(]{200,300}php_uname\\(\\s*[^\\)]{0,40}\\s*\\)', '<title>\\s*SST\\s*Sheller', '<title>\\s*:\\s*:\\s*Inbox\\s*:\\s*:\\s*Unlimited\\s*</title>\\s*<\\?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(', '<title>\\s*Hacked\\s+by\\s+(?:Dr\\.SiLnT\\s*HilL|your\\s+HaxorsteinBD|Mo[E3]Gza|KIWIL0736|AssasinCyber)', '<title>\\s*Blackhat\\s*Code\\s+Backdoor', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\?]{200,600}Social\\s*Security\\s*Number\\s*:\\s*\\$ssn', '@array_diff_ukey\\(\\s*@array\\(\\(string\\)\\$_REQUEST', 'return\\s*RC4::Encryp', '\\A\\s*GIF8\\d\\w?[^\\s]{0,2}\\s*[^\\?]{0,80}\\s*<\\?\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(', '\\}\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]add_filter[\'"]\\s*\\)\\s*\\)\\s*add_filter\\(\\s*[\'"]all_plugins[\'"]\\s*,\\s*[\'"]fourofour_pp[\'"]\\);\\s*return\\s*1;\\s*\\?>\\s*\\Z', '<title>\\s*[\\[]{0,1}\\s*RileyWilder\\s*(?:\\\'\\s*s)?\\s*Mailer', '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fwrite|fputs)\\(\\s*\\1,\\s*(\\$(?:message|\\w\\d))\\s*\\);\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\2\\s*(?:,\\$\\w{1,40}\\s*)?\\);\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '<\\?(?:php)?\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){0,3}\\s*\\$(?:mensaje|message)\\s*\\.?=\\s*[\'"](pass|passwd|password)[^\\w]{1,40}\\$_POST\\[[\'"]?\\w{0,20}\\1[\'"]?\\]\\.?[\'"]?\\\\n[\'"];', '\\{(\\s*\\$\\w{1,40}\\s*=\\s*[\'"](\\.\\./){1,7}[\'"];){7}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\$\\w{1,40}\\s*\\.\\s*[\'"]wp-config\\.php[\'"]\\);', '<title>\\s*(?:Magic|MySQL|Peterson|indoxploit|CIH\\.)\\s*[^\\?]{0,15}\\s*(?:Web)?Shell', '<title>\\s*File\\s*</\\s*[^\\?]{1,200}<form\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{1,200}<\\?php\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*(\\$_FILES\\[)([\'"][^\'"]{1,40}[\'"])(\\]\\[[\'"][^\'"]{1,40}[\'"])\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\(\\1\\2\\3\\],\\s*\\1\\2(\\]\\[[\'"][^\'"]{1,40}[\'"]\\])\\s*\\)\\s*;\\s*\\$file\\s*=\\s*\\1\\2\\4', '\\$sex\\s*\\.=\\s*[^\\n]{40,100}\\s*@mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,20}\\.html[\'"]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1', '<title>\\s*s72\\s*Shell[^\\w]', '<title>\\s*Symlink(?:_|\\s)\\s*Sa\\s+\\w?\\d+\\.\\d+', '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\$\\w{1,4}\\s*,\\s*[\'"](a|w)\\+?[\'"]\\);\\s*fwrite\\(\\s*\\1\\s*,\\s*[^\\)]{1,20}(\\$bilsmg)[^\\)]{1,20}\\s*\\)\\s*;\\s*fclose\\(\\1\\);\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*@?mail\\s*\\(\\s*\\4\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;', '\\$((?:email|login|user|username)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:pass|password|passwd)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*[^\\+]{1,400}\\$message\\s*=\\s*[\'"]\\s*[^\\}]{1,200}(FACEBOOK|GOOGLE)', '\\$from\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:user|username|login))\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];', '<\\?pHp\\s*if\\s*\\(file_exists\\s*\\(([\'"]/tmp/[^/]+/sess_[^\'"]{1,40}[\'"])\\)\\)\\s*@?include(?:_once)?\\s*\\(\\1\\);\\s*else\\s*echo\\s*\\(?[\'"]?[^\'"]{0,40}[\'"]?\\)?;\\s*\\$\\w{1,40}\\s*=\\s*"https?://"\\.getenv\\("SERVER_NAME"\\)\\.getenv\\("SCRIPT_NAME"\\);', '<title>\\s*[-:\\[]{1,3}\\s*GreenwooD\\s*[-:\\]]{1,3}\\s*WinX\\s+Shell', '\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*\\$(country)\\s*=\\s*\\w{0,40}\\1\\(\\);\\s*\\$(region)\\s*=\\s*\\w{0,40}\\2\\(\\);\\s*\\$(city)\\s*=\\s*\\w{1,40}\\3\\(\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);)?\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]username[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]password[\'"]\\];', 'copy\\(\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*,\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+system_custom\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*\\$[^\\\\}]{1,40}\\s*if\\s*\\([^\\(]{1,40}\\(\\s*[\'"]exec[\'"]', '<title>\\s*nsT\\s*View', '\\$shell_mode\\s*\\)\\s*\\{\\s*\\?>\\s*[^\\?]{1,99}\\s*<title>\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]?\\s*\\$shell_title;', 'class\\s*\\=\\s*[\'"]tit[\'"]>\\s*Mailer\\s*Inbox', 'makebotlist\\s*\\(\\s*(\\$BotList)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!file_exists\\(\\s*\\1', 'LD_PRELOAD=\\s*\\./libworker.so', '>\\s*Da(?:3|s)s\\s*(?:HaCkEr)?\\s*File\\s+Manager\\s*(?:Version)?\\s*<', '=num_macros\\(\\s*\\${\\s*\\${', 'fopo\\.com\\.ar', '<\\s*title\\s*>\\s*404-server!+\\s*<\\s*/title\\s*>', ';\\s+eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]Dc/JcoIwAADQz1GHQ2WH6SkIqOwBZLt0BBKkBIKyjX59[^\'"]{360}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '@eval\\(\\$r9f35db4\\(', 'mail\\(stripslashes\\(\\$strr1\\), stripslashes\\(\\$strr2\\)', '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"](?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)[\'"]\\s*;\\s*){3,5}[^}]{200,400}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);[^\\?]{400,600}<\\s*form', '\\A\\s*<\\?(?:php)?\\s+/\\*\\s*\\*\\s*MySQL\\s+Web\\s+Interface\\s+By', '<td>\\$\\s*execute\\s*a cmd</td>', '\\A\\s*X5O.{25}EICAR-STANDARD-ANTIVIRUS-TEST-FILE[^\\s]{1,9}\\s*\\Z', '\\A\\s*[^\\w]?PNG.{3000,6000}?<\\?php', 'Usage:\\s*\\w{1,40}\\s*\\[\\s*OPTIONS\\s*\\]\\s*Options:\\s*-a,\\s*--algo\\s*=\\s*ALGO\\s*specify\\s+the\\s+algorithm\\s+to\\s+use\\s*cryptonight', ';eval\\(base64_decode\\(gzuncompress\\(base64_decode\\(\\$\\w+\\)\\)\\)\\);\\?>', '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*include_once\\s*\\(\\s*"config\\.php"\\s*\\)\\s*;\\s*\\?>\\s*<!DOCTYPE\\s*html', '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^"]*"\\s*\\+\\s*"[^"]*"\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'<img[^)]+\\)\\s*;\\s*</script>\\s*</body>', '^\\s*<\\s*head\\s*>\\s*<\\s*meta\\s*name\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*>\\s*<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="\\d+\\s*;\\s*URL=https?://[^"]*"/\\s*>\\s*<\\s*/head\\s*>\\s*$', '<title>\\s*SexCrime\\s*-\\s*Shell', '\\$backdoor\\s*=\\s*base64_decode\\([\'"][^\'"]{400,600}[\'"]\\);\\s*\\$deface\\s*=\\s*base64_decode\\(', '<td>Hati\\s+Mantan\\s*[^\'"]{1,10}[\'"];\\s*[^\\$]{1,40}\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]', '=>\\s*[\'"]tools[\'"],\\s*\\/\\*\\s*available:(\\s*(ls|search|upload|cmd|eval|sql|mailer|encoders|tools|processes|sysinfo),?\\s*){9,11}\\s*\\*/', '@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[cmd\\]\\)', '\\A\\s*<\\?(?:php)?\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"]\\w{24,40}[\'"];)?\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.aceglpr_]{13,40}\\s*\\;\\s*\\1\\s*\\(\\s*[\'"](.).{0,40}\\2e\\w?[\'"]\\s*,[^\\)]{30000,50000}(?:\\s*\\)\\s*){1,5};[^;]{1,40};\\s*\\?>\\s*\\Z', '\\A\\s*<\\?php\\s+[^\\?]{1,400}@system\\([\'"][^\'"]{0,40}wget\\s+https?://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,40}\\s+-O\\s*(\\w{1,40});[^\\.]{1,40}\\./\\1\\s*>\\s*/dev/null[^;]{0,40}\\Z', '\\$_COOKIE\\s*=\\s*WSOstripslashes', 'if\\s*\\(\\s*\\$reqPwd\\s*!==\\s*vpsp_pwd\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=', 'foreach\\(\\$\\w{1,40}\\s+as\\s+\\$\\w{1,40}=>(\\$pat)\\)\\{\\s*if\\(\\1\\s*==\\s*[\'"][\'"]\\s*&&\\s*\\$\\w{1,40}\\s*==\\s*\\d+\\)\\{\\s*\\$\\w{1,40}\\s*=\\s*true;([^`]{2000,3500})<br\\s*/>[\'"];\\s*\\}\\s*\\}\\s*elseif\\s*\\(\\s*\\$_POST\\[[\'"]type[\'"]\\]\\s*==\\s*[\'"]file[\'"]\\s*\\)\\s*\\{\\s*if\\(unlink\\(\\$_POST\\[[\'"]path[\'"]\\]\\s*\\)\\s*\\)\\s*\\{', '\\]\\(NULL\\);\\s*@\\$GLOBALS\\[', 'myUpload->uploadFile\\(\\s*\\)', 'is_readable\\s*\\(\\s*[\'"]/etc/passwd[\'"]\\s*\\)\\s*\\?[^\\?]{100,600}php_uname\\(\\)', '\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\)\\s*;', 'Made by SexDog Pula', 'base.\\.\\(32\\*2\\)', '\\}\\s*else\\s*\\{\\s*\\$v\\s*=\\s*new\\s+verifier\\(\\);\\s*print_r\\(\\$v->checkemails', '>Gantengers Crew<', '\\+\\+\\$o\\]\\]\\)\\);}}eval\\(\\$d\\)', 'mt_rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$not_android_urls\\)-1\\)', '\\}\\);\\s*function\\s+refreshBotsOnline\\(\\)\\{\\s*\\$\\(\\\\[\'"]\\#nav\\\\[\'"]\\)\\.load\\(\\\\[\'"]inc/\\w{1,40}\\.php\\\\[\'"]\\);\\s*setTimeout\\(refreshBotsOnline,\\s*\\d+\\);\\s*\\}\\s*</script>', 'Mailer\\s+by\\s+Sphinx</title>', '\\$_POST\\[([\'"]botID[\'"])\\]\\)\\)\\s*\\$id\\s*=\\s*filterString\\(\\$_POST\\[\\1\\]\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]track[\'"]\\]', 'eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[', '\\$domain\\s*=\\s*\\$domains\\[\\s*array_rand\\(\\s*\\$domains\\s*,\\s*1\\)', 'POST\\s*=\\s*WSOstripslashes', '\\A\\s*<\\?php\\s*[^\\}]{1,600}\\s*\\}\\s*\\}\\s*define\\(\\s*[\'"]startTime[\'"]\\s*,\\s*getTime\\(\\)\\s*\\);\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]shellexec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s+shellexec\\s*\\(\\s*\\$cmd\\)\\s*\\{', '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(__FILE__,\\s*[\'"]\\w[\'"]\\);\\s*fseek\\(\\s*\\1,\\d+\\);\\s*(\\$c)\\s*=\\s*[\'"][\'"];\\s*while\\s*\\(\\s*!feof\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*fread\\(\\s*\\1,\\d+\\);\\s*\\}\\s*@?(?:system|exec|passthru|shell_exec|popen|eval)\\s*\\(\\s*bzdecompress\\(\\2\\)\\);\\s*__halt_compiler\\(\\);\\s*\\?>', '<%@page\\s[^\\!]{1,999}!\\s*(?:\\s*/\\*\\*.{1,200}\\*/\\s*)?(private\\s+static\\s+final\\s+String\\s+PW)\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*[^\\s]{0,40}\\s*\\1_SESSION_ATTRIBUTE\\s*=\\s*[\'"](?:JspSpy|supersuper)\\w{1,9}[\'"];', 'sent\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\+\\s*1\\s*;)?\\s*\\$\\w{1,10}spamm?ed\\s*=\\s*[\'"]spamm?ed[\'"]\\s*;', 'mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*(\\$message)\\s*\\);\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"]\\w{1,40}\\.?\\w{1,10}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*fputs\\(\\s*\\2,\\s*\\1\\);(?:\\s*fclose\\(\\s*\\2\\s*\\);)?\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', 'stripslashes\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["l1"\\]\\);\\$', 'eval\\s*\\(base64_decode\\s*\\(\\s*[\'"]ZXZhbChiYXNlNjRfZGVjb2RlKC[^\']{20,10000}[\'"]\\s*\\)\\s*\\)\\s*;(\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^;]{1,80};\\s*){0,3}(?://[^\\n]{1,40})?\\s*mail\\(', '\\A\\s*\\#!/usr/bin/perl\\s*[^\\(]{1,40}\\s*opendir\\(\\s*my\\s(\\$\\w{1,40})\\s*,\\s*[\'"](/var/www/vhosts/)[\'"]\\s*\\);\\s*foreach\\(\\s*sort\\s*readdir\\s*\\1\\s*\\)\\s*\\{\\s*my\\s\\$\\w{1,40}\\s*=\\s*\\d+;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*if\\s*-d\\s*(\\$_);\\s*(\\$\\w{1,40})\\s*=\\s*\\3;(?:\\s*symlink\\([\'"]\\2[\'"]\\.\\4[^\\)]+[\'"]\\)\\s*;)+\\s*\\}', 'eval\\("\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28\\\\x67\\\\x7A\\\\x69\\\\x6E[^\\)]{9999,}', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_SESSION\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,99}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*\\$_SERVER\\[[^\\]]{1,40}\\];[^/]{150,400}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*gethostbyname\\(\\s*\\$_SERVER\\[[^\\]]{1,40}\\]\\s*\\);\\s*@?mail\\s*\\(', '\\[[\'"]?(cmd)[\'"]?\\]\\s*\\)\\s*;\\s*@?system\\s*\\(\\s*\\$\\1\\s*\\)\\s*;\\s*echo\\s*\\(?\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)?\\s*;\\s*if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*[^\\w]{1,2}=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\?>\\s*</?pre>', '\\*\\s*\\*\\s*arkei\\s+stealer', '<title>\\s*[^\\w]{0,3}\\s*BYSCRA3ZY\\s*[^\\w]{0,3}\\s*</title>', '<title>\\s*jahat\\s*</title>[^\\)]{1,499}php_uname\\(\\)', '<title>\\s*[\\w\\^\\.\\|]{0,3}\\s+Private\\s+Shell\\s', '<title>\\s*Dr\\s+HeX\\s*</', '=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["user_l"\\]\\)', '<title>\\s*[\\w-]{0,9}\\s*(?:cpanel|whm)\\s+[^`]{0,9}\\s*(?:crac|brut)', '<title>\\s*Bienvenido\\s+a\\s+BancaNet\\s*[^\\.]{1,600}\\.banamex\\.com\\.mx/', '\\$headers\\s*=\\s*[\'"][^\'"]{0,40}DHL[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*if\\s*\\(\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!=\\s*false\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:', '\\$\\w{1,40}\\s*=\\s*["\']\\s*Hacked\\s+by\\s+Moroccanwolf\\s*["\']\\s*;', 'if\\(\\s*!\\$os_name\\s*=\\s*@?php_uname\\(\\)\\)\\s*\\{\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]posix_uname[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{600,1500}if\\(!empty\\(\\$_POST\\[([\'"]?php[\'"]?)\\]\\)\\)\\{\\s*ob_start\\(\\);\\s*@?eval\\(\\$_POST\\[\\1\\]\\);', '<title>\\s*[^/]{1,49}\\s+Edited\\s+By\\s+KingDefacer\\s*</title>', ']}=trim\\(\\s*array_pop\\(\\${\\${"', '\\$\\w{1,40}\\s*=\\s*fsockopen\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*30\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print(?:it|r)?\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\d?\\s*\\)\\s*;\\s*\\}\\s*//\\s*Spawn\\s+shell\\s+process', '(\\$\\w{1,40})\\s*=\\s*@stream_socket_client\\(\\s*[\'"]tcp://\\$\\w{1,40}:25[\'"],\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\d+\\);\\s*else\\s*(return)\\s*-?\\d;\\s*if\\s*\\(\\s*!\\s*\\$\\w{1,40}\\)\\s\\s*{\\s*\\2\\s*\\d;\\s*}\\s*else\\s*{\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\1\\);\\s*@fputs\\(\\s*\\1,\\s*[\'"]EHLO\\s*\\$\\w{1,40}\\s*\\\\r\\\\n[\'"]\\s*\\);', '\\A\\s*\\#!/usr/bin/perl\\s*[^;]{1,200}use\\s+strict;\\s*undef\\s+\\$modules::Module::var;\\s*my\\s+\\(\\$Password,[^\\)]{1,200}\\$WinNT,\\$NTCmdSep,\\$UnixCmdSep', '\\$p=strpos\\(\\s*\\$tx,\'{\\#\',\\$p2\\+2', '\\A\\s*<\\?php\\s*file_put_contents\\s*\\(\\s*[\'"]\\w+\\.php[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\\;]{1,200}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\$headers\\s*\\.?=\\s*\\$_POST\\[[\'"](?:username|passwd|password|pass|user)[\'"]\\]\\.[\'"]\\\\n[\'"];\\s*if\\s*\\(mail\\(\\$recipient,\\$subject,\\$message,\\$headers\\)\\)\\s*\\{\\s*header\\("Location:\\s*[^\\)]{1,40}\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\}\\s*\\?>', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$from\\s*=\\s*[\'"]From:\\s*\\w{0,39}\\s*<?hacker@', '\\$ip[\'"]?;\\s*\\$from\\s*=\\s*[\'"]From:\\s*Banco\\s+Azteka', '@?fclose\\s*\\(\\s*@?fwrite\\s*\\(\\s*@?fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](a|w)\\+?[\'"]\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;){0,3}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$headers\\s*\\)', '(\\$headers)\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"];\\s*mail\\([^\\)]{1,40}(\\$\\w{1,40})\\s*\\);\\s*if\\s*\\(\\s*mail\\(\\s*[^\\)]{1,40}\\s*\\2\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;', '\\A\\s*<\\?php\\s+error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*@?ini_set\\(\'memory_limit\',\\s*\'\\d+M\'\\);\\s*if\\s*\\([^\\)]{1,20}\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\]\\)\\s*,\\s*\'\\w+\'\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.1 301 Moved Permanently[\'"]\\);\\s*exit\\(?\\)?;\\s*\\}[^%]+\\}\\s*/\\*\\s+@hash:\\s+\\w{16,40}\\s+-\\s+\\w{1,9}\\s+\\*/\\s*\\Z', '\\A\\s*<\\?php\\s*\\$[0_O]{1,12}=[\'"][^\'"]*[\'"];\\s*\\$[0_O]{1,12}=[\'"]wp-admin[\'"];\\s*\\$[0_O]{1,12}=\\([^\\)]{20,60}[^`]{40000,45000}\\(\\);\\}unset\\(\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"](?:\\\\x\\w{2}){1,12}[\'"]\\}\\[[^\\]]{1,99}\\]\\(\\);\\s*(?:\\?>|\\Z)', '<title>\\s*unzip\\s*file\\s*by\\s*ahwak2000', 'refresh[\'"]\\s*content=[\'"]\\d+;\\s*url=(http://(?:bestselect2019|fastsmartassist|globalmedsreward|goodfastquality|herbal(?:drugsvalue|genericinc)|luckybestmart|newhealthprogram|online(?:firsttrade|hotprice|smartmall)|organicfirstdeal|pure(?:first|organice)shop|the(?:aidoutlet|pillsupply))\\.[senbrut]{1,3})/?[\'"]\\s*>\\s*<script\\s*type=[\'"]text/javascript[\'"]>\\s*window\\.location\\.href\\s*=\\s*[\'"]\\1[^\\?]{80,300}\\s*</body>\\s*</html>\\s*\\Z', '\\#!/usr/bin/(?:ba|z|t)?sh\\s*USEFUL\\s*=\\s*\\([^\\)]{1,99}\\)[^\\?]{999,2000}Cant\\s*Read\\s*\\[\\s*/etc/named\\.conf\\s*]\\\\c[\'"]\\s*fi\\s*echo\\s*-e\\s*[\'"][\'"]\\]\\}\\\\c[\'"]', '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.pass.\\]\\);\\s*exit\\(\\);', 'eval\\(\\s*base64_decode\\(\\s*\\$o\\s*\\)\\s*\\);\\s*\\?>', 'AddType\\s+application/x-httpd-cgi\\s+\\.alfa', '!\\s*isset\\s*\\(\\s*\\$_SESSION\\s*\\[\\s*([\'"]nst[\'"])\\s*\\]\\s*\\)\\s*\\w{2,3}\\s*\\$_SESSION\\s*\\[\\s*\\1\\s*\\]\\s*[^\\w]{2,3}\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*[\'"]\\s*<title>', '<\\?php\\s*@?include\\(\\s*[\'"]\\w{1,20}\\.php[\'"]\\s*\\);\\s*\\$ip\\w?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]CARD(?:TYPE|NUMBER|CVV2?)?\\w{1,10}[\'"]\\];){2}', 'if\\s*\\(\\$else_dot\\)\\s*\\{\\s*\\$new_v_f=fopen\\([\'"]\\$f_creat_name\\.\\$else_dot[\'"],[\'"](?:w|a)\\+?[\'"]\\);\\s*\\}', '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]iIugH9gTRC5pMitCT9HmWj9tXHNmuAuhvHzNANRz9[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*', 'html_footer\\s*\\(\\)\\s*\\{\\s*[^>]{1,99}<h\\d*>\\s*Coded\\s*by\\s*MizoZ', '\\{\\s*\\$\\w\\s*=\\s*Array\\s*\\((\\s*[\'"][^\'"]{1,40}[\'"],?\\s*){4}[\'"]aHR0cDovL2M4Ni50cnVlYmFia2EucnUv[\'"]', '<title>\\s*Facebook\\s*</title>\\s*<\\?php\\s*include(?:_once)?\\s*\\(?[\'"][^\\.]{1,99}\\.php[\'"]\\);', '\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*(WebShell|backdoor)\\(\\);\\s*(?:\\?>)?\\s*\\Z', '\\A\\s*<\\?php\\s+system\\([\'"]pwd[\'"]\\)[^\\(]{1,40}system\\([\'"]cat\\s+/etc/passwd[^\\?]{1,600}define\\([\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;', '\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\s*\\+\\s*1;\\s*\\$txtspamed\\s*=\\s*[\'"]\\w{1,40}[\'"];\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{', '\\A\\s*<\\?php(?:\\s*@\\w{7,15}\\([^\\)]{1,40}\\);){0,9}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_\\1\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\](?:\\s*\\)\\s*){1,6};\\s*\\}\\s*exit;\\s*(?:\\?>)?\\s*\\Z', '<title>\\s*HTTP\\s+404\\s+Not\\s+Found\\s*</title>[^`]{1,600}\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\s*[\'"](?:\\.\\./){5,9}?wp-config\\.php[\'"]', 'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,40}\\]\\s*==\\s*[\'"]stop[\'"]\\s*\\)\\s*\\{\\s*(?:@|\\#)?shell_exec\\s*\\(\\s*[\'"]killall\\s*bot\\.pl[\'"]\\);', '<title>\\s*[^\\w]{1,3}\\s*Trenggalek\\s+Mafia', '\\A\\s*<\\?php\\s*\\$\\w{1,9}\\s*=\\s*array\\([\'"][^@]+@(?:[\\w\\-\\.]+)\\.(?:[a-z]{2,5})[\'"]\\);\\s*(?:\\$\\w{1,9}=[\'"][^\']*[\'"];|\\$\\w{1,9}=array\\([^\\)]+\\);){1,5}for\\s*\\((\\$\\w)=0;\\1<\\d;\\1\\+\\+\\)\\s*\\{\\s*(\\$\\w{1,9})=\\$\\w{1,9}\\[\\1\\]\\s*;\\s*(\\$\\w{1,9})\\s*\\.=\\s*\\$\\w{1,9}\\[\\2\\]\\s*;\\s*\\}\\s*\\3\\([^\\)]{1,400}[\'"]\\);\\s*\\?>\\s*\\Z', 'for\\s*\\(\\s*(\\$\\w)\\s*=\\s*0;\\s*\\1\\s*<\\s*strlen\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*\\);\\s*\\1\\s*=\\s*\\1\\s*\\+\\s*\\d+\\s*\\)\\s*\\$search\\s*\\.?=\\s*[\'"]%[\'"]\\s*\\.\\s*substr\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*,\\s*\\1,\\s*\\d+\\s*\\);\\s*\\$wp_template\\s*=\\s*@?preg_replace\\s*\\(', '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '\\#!/usr/bin/(?:ba|z|t)?sh\\s*DIR=\\$1\\s*IFS=\\$[^\\&]{199,399}\\s*permnum=[\'"]0777[\'"]\\s*permhuman=[\'"]drwxrwxrw[\'"][^\\?]{500,}\\$permcolor\\\\[\'"]\\},\\s*done\\s*echo\\s*[\'"]\\{\\}\\][\'"]', '\\#!/usr/bin/perl\\s*[^\\?]{450,600};\\s*system\\(\\s*decode_base64\\s*\\(\\s*\\$\\w{1,40}\\s*\\{\\s*[\'"]cmd[\'"]\\s*\\}\\s*\\)\\s*\\)\\s*;\\s*print\\s*[\'"]</pre>[\'"]\\s*\\}\\s*\\}', '\\A\\s*<\\?php\\s*\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{0,40}[\'"];\\s*[^\\$]{0,99}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"];)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"]FilesMan[\'"];[^\\}]{1,200}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit', ';\\s*(passthru|exec|shell_exec|popen|system|eval)\\(\\s*[\'"]\\./findsock[^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\][^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_PORT[\'"]\\]\\s*\\)\\s*\\?>', '<(?:h\\d|title)>\\s*Moshkela\\s+Hacker', 'cover\\(\\s*[\'"]IndoXploit[\'"]\\s*\\);', 'exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*(\\$_POST)\\s*\\[\\s*(\'_evalText\')\\s*\\]\\s*\\)\\s*@?eval\\s*\\(\\s*\\1\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\1\\s*\\[\\s*\'_upl\'\\s*\\]\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@copy\\s*\\(\\s*(\\$_FILES)\\s*\\[\\s*[^\\)]+\\s*\\)\\s*\\)\\s*\\{[^\\}]+\\}\\s*else\\s*\\{[^\\}]+\\}\\s*\\}', 'printf\\("Usage: findsock ip port', '<title>\\s*PHP\\s*.\\s*Mailer\\s*by\\s*iskorpitx', 'IndoXploit\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}(?:aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3|aHR0cDovL3Bhc3RlYmluLmNvbS9yYXc)[^\'"]{0,40}[\'"]\\s*;', '(?:\\$(?:message|spam|bilsmg)\\s*\\.?=\\s*[\'"]\\s*(?:Password|Pass|PWD?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);)[^\\?]{1,600}\\$headers\\s*\\.=\\s*\\$_POST\\[[\'"]eMailAdd[\'"]\\]', '<title>\\s*Don\\s+Cordoba\\s+Mailer', 'if\\s*\\(\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{(?:\\s*\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,4}\\s*header\\(\\s*[\'"]Location:', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(\\$message)\\s*\\.?=\\s*[\'"]Email[^\\n]{1,40}\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Password', '\\A\\s*<\\?php\\s+/\\*\\*\\s*\\*\\s*Smtp\\s*Auto\\s*Change\\s*Password\\s*By\\s*VvebOs', '\\$subject\\s*=\\s*[\'"][^\\$]{1,40}[\'"]\\.\\$ip\\.[""]\\\\n[\'"];\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', '@gzinflate\\(\\s*@base64_decode\\(\\s*@str_replac', ';\\s*\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)(?:O|\\\\x4f)(?:B|\\\\x42)(?:A|\\\\x41)(?:L|\\\\x4c)(?:S|\\\\x53)[\'"]\\}\\[[\'"](?:z|r|_|\\\\x7a|\\\\x5f|\\\\x72){1,40}[\'"]\\]\\(\\$[zr_]{1,40},CURLOPT_USERAGENT,\\\\[\'"]WHR\\\\[\'"]\\);', 'echo\\s*[\'"]<pre>[\'"];\\s*system\\(\\$_REQUEST\\[\'c\'\\]\\);\\s*die;', '(\\$b374k)\\s*=\\s*@\\$\\w{1,40}\\([^\\)]{20,99}\\)\\)\\);[\'"]\\);\\s*@\\1\\([\'"]', '\\A\\s*<\\?php\\s*\\$\\w{1,9}pass\\s*=\\s*[\'"][^\'"]{1,40}[\'"];[^\\<]{1,600}function\\s+masuk\\(\\)\\s*\\{\\s*die\\([\'"]', '<html>\\s*<title>\\s*Symlink\\s*Bypass\\s*\\d+\\s*by\\s+hAxOr', '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}\\.html?[\'"]\\s*;\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\1\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*[^;]{0,39}\\s*;\\s*fwrite\\(\\s*\\2\\s*,\\s*(\\$MESSAGE)\\s*\\);\\s*fclose\\(\\2\\);\\s*@?mail\\(\\$TO,\\$SUBJECT,\\3,\\$HEADER\\);', ';\\s*print\\s+"Flooded:\\s*\\$ip\\s*on\\s*port\\s*\\$rand', '<title>\\s*Fastest\\s+Zone-H\\s*Mass\\s+Deface\\s+Poster', '\\)\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"]block-mail\\.txt[\'"],\\s*[\'"]r[\'"]\\);', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$datamasii\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*\\$(user|userid|login|email)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\1[\'"]\\s*\\]\\s*;\\s*\\$(pass|password|pwd)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\2[\'"]\\s*\\]\\s*;\\s*[^\\?]{1,600}\\s+@?mail\\s*\\(', '\\|\\s*md5\\s*\\(\\s*\\$_GET\\[[\'"]?[^\'"]{1,10}[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{24,40}[\'"]\\s*\\)\\s*die\\s*;\\s*function\\s+execute\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{100,300}\\s*(\\$\\w{1,40})\\s*=\\s*@?shell_exec\\(\\$\\w\\);\\s*return\\s*\\1;\\s*\\}\\s*elseif', '\\A\\s*<\\?php\\s*(?:\\s*die\\s*\\(\\s*)?@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)', '<title>\\s*Dark Shell\\s*</title>.*fsockopen', '\\$su\\s*=\\s*str_replace\\(\'\\$name\'\\s*,\\s*\\$n\\s*,\\s*stripslashes\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'z2\'\\s*\\]\\s*\\)\\s*\\)\\s*\\);', '\\$data = curl_get_from_webpage_one_time\\(\\$url', '\\$weff_client\\s*=\\s*new\\s+TWeffClient\\(\\);', '\\$Content_mb=getHTTPPage\\(\\$Remote_server\\."/index\\.(html|php)\\?host', 'str_replace\\(\'define\\("PRENAME","\\d+"\\);\'\\s*,\\s*\'define\\("PRENAME"', '<title>\\s*Dark Shell\\s*</title>.+clearstatcache', '<\\?php\\s*\\$arrId\\s*=\\s*array\\((\'\\d+-\\d+\'\\s*,\\s*)', '\\$array\\s*=\\s*base64_decode\\(\\$array\\);\\s*@assert\\(\\$array\\);', '\\$\\w{1,40}\\s*=\\s*"[^"]+";\\$\\w+\\s*=(\\s*\\$\\w{1,40}\\[\\d+\\]\\s*\\.?){5,};\\$\\w+\\s*=\\s*[^;]+;\\$\\w+\\s*=\\s*"[^"]+";\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*"', 'curl_setopt\\s*\\(\\s*(\\$cu)\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*\\d\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*\\}\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*\\Z', '\\{\\s*\\$\\w{1,4}\\s*=\\s*\\$\\w{1,4}\\[\\d+\\]\\s*;\\s*\\$\\w{1,4}\\s*=\\s*[\'"]moban[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\{', 'if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?]\\s*[^\\w]{1,2}=\\s*[\'"]eval[\'"]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"]?exec[\'"]?\\]\\);\\s*exit;\\s*\\}\\s*(?://[^\\n]{1,80})?\\s*if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?\\]\\s*==\\s*[\'"]GetArticleById[\'"]', 'if\\s*\\(\\$mode_work\\s*==\\s*[\'"]cngbot[\'"]\\s*\\)\\s*\\{', '\\(\\s*[\'"]{0,1}DZe1r', 'fopen\\(\\$s1\\.\'accesson\\.php', '\\./\\*-/\\*-\\*/"', 'code\\.google\\.com/p/b374k-shell', '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\(\\s*\\$_POST\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;[^`]+?iterator_apply\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+,\\s*array\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*;', '\\$MESSAGE\\s*=\\s*wordwrap\\(\\$MESSAGE,\\d+\\)\\s*;\\s*[\\#]{50,80}\\s*\\$SUBJECT\\s*=\\s*["\']\\(\\$\\w{1,40}\\)\\((?:BILLING|LOGIN)\\)\\(\\$IP\\)\\(\\$(?:nama_negara|country)\\)[\'"];', 'echo\\swelcome\\sto\\sr57\\sshell', '[\\#]{2}\\s*ReCoded\\s*By\\s*Syechrul\\s*Imam', '\\A\\s*<\\?php\\s*\\$GLOBALS\\[[^\\%]{60000,}%[^\\?]{999,3000}\\?\\s*[^\\&]{1000,1500}\\.\\./wp-config\\.php', '\\A\\s*<\\?php\\s+if\\(!function_exists\\("(\\w{1,40})"\\)\\){function\\s\\w+\\(\\$\\w+\\)\\{\\$\\w+=base64_decode\\(\\$\\w+\\);\\$\\w+=0;\\$\\w+=0;\\$\\w+=0;\\$\\w+=\\(ord\\(\\$\\w+\\[1\\]\\)<<8\\)\\+ord\\([^\\?]{1500,3000}\\?"\\.">"\\.\\$\\w+;return\\s\\$\\w+;\\}\\}\\}\\}eval\\(\\1\\("QAIAPD9waHAgABEkY29sb3Ig', '\\A\\s*<\\?php[ ]+system\\s*\\(\\s*[\'"]pwd[\'"]\\s*\\)\\s*(?:\\?>)?\\s*\\Z', 'phpversion\\s*\\(\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]find\\s[^;]{1,99}<head[\'"]{1,3};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]<script\\s+src\\s*=\\s*[\'"]https?://[^\\?]{1,40}\\.js\\?', '<title>\\s*To0?olz\\s+\\d+\\s*-\\s*Cyb3r-dz', '\\$emailusr\\s*\\.?=\\s*[\'"][^@]{1,40}@protonmail\\.com[\'"]\\s*;\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>', 'mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*[\'"]OK(?:\\s*By\\s*King)?<br>[\'"]\\s*;\\s*flush\\s*\\(\\s*\\)\\s*;', '<title>\\s*Mailer\\s+By\\s+ME', '\\$(email|user|username|login)\\s*=\\s*\\$_POST\\[[\'"](email|user|username|login)[\'"]\\];\\s*\\$((?:\\1)?(?:pass|password|passwd))\\s*=\\s\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$message\\s*=\\s*[\'"][^\\$]{0,250}facebook', '<title>\\s*[^\\w\\s]{0,3}\\s*T\\.C\\.T\\s*[^\\w\\s]{0,3}\\s*</', '\\#\\#\\s+\\w{1,40}\\s+(Priv8|Private)\\s+Webshell', '\\A\\s*<\\?php\\s*/\\*[^\\*]{0,99}Mini\\s+Shell\\.?\\s+(?:@\\s+c[o0]ded\\s+)?by\\s+:\\s+shutdown57', '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*[^\\}]{1,100}\\s*fwrite\\(\\s*\\$\\w{1,4}\\s*,\\s*\\1\\s*\\);', '\\#\\s*Jakarta-Blackhat\\s*Hacker(?:`|\'|")s', 'if\\s*\\(\\s*!\\s*empty\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*include(?:_once)?\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*strpos\\(\\s*\\1', '<\\?php\\s+\\$GLOBALS\\[[\'"]\\w{1,40}[\'"]\\]=Array\\([\'"][^\\)]{200,600}[\'"]\\);function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\((?:[\'"][^\'"]{1,40}[\'"]\\s*,){0,5}\\s*[\'"]https?://stoligowo\\.ru/', ';@\\$fun\\(\\s*str_rot13\\(', '\\}\\s*Wordpress\\s*\\$\\w{1,40}\\s*=\\s*fopen\\([\'"]4O4\\.php[\'"],[\'"](a|w)\\+?[\'"]\\);', 'if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_GET\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*DirFilesR\\s*\\(\\s*@?\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]]\\s*\\)\\s*;', '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZXJyb3JfcmVwb3J0aW5nKDApOw0KJHNoX2[^\'"]{60000,}[\'"]\\)\\);\\s*\\?>\\Z', '(\\$headers)\\s*\\.?=\\s*\\$_POST\\[[\'"]\\$ip[\'"]\\]\\.?[\'"]?\\\\n[\'"];\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>', '\\A\\s*<\\?php\\s*error_reporting\\(\\d\\);[^\\?]{300,600}</form>[\'"];\\s*if\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?]\\s*[^\\w]{1,2}=\\s*"home"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\$_FILES\\[[\'"]?[^\'"]{1,40}[\'"]?\\][^\\?]{40,200}\\s*else\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\}\\s*exit;\\s*\\}\\s*\\?>\\s*\\Z', '\\$\\w{1,40}\\(\\);\\s*\\}\\s*\\}\\s*\\?>\\s*<html>\\s*<head><title>404\\s+Not\\s+Found', 'implode\\(".r.n",array\\("%1html%3","%1head%3",head\\(\\),"%2head%3","%1body%3', '<\\?php\\s+\\$Class_WP_Index\\s*=\\s*"', '<title>\\s*Bypass\\s*Root\\s*Path\\s*by\\s*Mauritania\\s*Attacker', '\\A\\s*<\\?(?:php)?\\s+[^\\{]{1,400}\\s*class\\s+pBot\\s*\\{\\s*var\\s*\\$', '<br>\\s*(?:\\[info\\])?\\s*Gaza\\s+HaCKeR\\s+Team\\s*<', ',\\s*[\'"]index\\.html\\.bak\\.bak[^\\?]{1,600}\\$is_(?:wp|wordpress)\\s*=\\s*(?:false|0);\\s*\\$is_(?:jm|joomla)\\s*=\\s*(?:false|0);', 'DOCUMENT_ROOT[\'"]\\]\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\w{1,40}\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*[^\'"]{1,40}[\'"](a|w)\\+?[\'"]\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;', '<TITLE>\\s*cgi-shell\\.py', '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\!\\s*class_exists\\s*\\([^@]{250,600}const\\s*\\w{1,40}\\s*=\\s*[\'"][ ]{200,}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*[\'"]\\s*;', 'my\\s*%\\w{1,9}\\s*=\\s*\\(\\);\\s*my\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]/etc/passwd[\'"];\\s*open\\s*\\(\\s*PASSWD,\\s*[\'"]\\s*<\\s*\\1', '<title>\\s*Small\\s*Web\\s*Shell\\s*by', '\\)\\s*,\\s*array\\(\\s*\\$resf,\\s*\\$ltime,\\s*\\$delp\\s*\\),\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1000,5000}[\'"]\\s*\\)\\s*\\);\\s*file_put_contents\\s*\\(', '<title>\\s*Ani\\s*-\\s*Shell', ';\\s*[\\#]{5,200}\\s*\\$SUBJECT\\s*=\\s*[\'"]\\s*\\((AMAZON|ADOBE|AZURE)\\)\\s*\\((BILLING|LOGIN)\\)\\s*\\(\\s*\\$IP\\s*\\)\\s*\\(\\s*\\$COUNTRYNAME\\s*\\)\\s*[\'"]\\s*;', '<title>\\s*Katrina\\s+v\\d+\\.\\d+\\s*-\\s*Welcome\\s*Master', 'if\\s*\\(\\s*\\$params\\s*[^\\w]{1,2}=\\s*false\\s*\\|\\|\\s*substr\\(\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\],\\s*\\d+,\\s*\\d+\\)\\s*[^\\w]{1,2}=\\s*[\'"]Spark[\'"]\\)\\s*\\{\\s*header\\([\'"]Status:\\s*404\\s*Not\\s*Found[\'"]\\);[^`]{2000,2500}botid\\s*=', '<title>\\s*Handanovix\\s*X_Shell\\s*GTA', '<title>\\s*C99\\s*(?:mad)?\\s*shell', '<title>\\s*Security007\\s+webshell', '\\}\\s*function\\s*comshelL\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2->exec\\s*\\(\\s*"cmd\\.exe\\s+/?\\w?\\s*\\1"\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3->StdOut\\(\\);\\s*return\\s*\\4->ReadAll\\(\\);\\s*\\}\\s*function', '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\$?_SERVER[\'"]?;[^\\}]{1,200}\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]curl_init[\'"]\\s*;\\s*[^{]+if\\s*\\(\\s*is_callable\\(\\1\\)\\s*\\)', '<title>\\s*AnonymousFox', '\\}\\s*else\\s*\\{\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*add_filter\\(\\s*[\'"]init[\'"],\\s*[\'"]wp_is_plugin_load[\'"]\\);\\s*\\}\\s*add_action\\(\\s*[\'"]init[\'"],\\s*array\\(\\s*[\'"]Akismet[\'"],', '<title>\\s*EgY_SpIdEr\\s+ShElL', '\\A\\s*<\\?php\\s+if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^;]{20,60};\\s*(\\$\\w{1,40})\\s*=\\s*(\\$_SERVER)\\[[\'"]HTTP_HOST[\'"]\\];\\s*(\\$inj)\\s*=\\s*\\2\\[[\'"]REQUEST_URI[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*rawurldecode\\(\\1\\.\\3\\);\\s*\\$\\w{1,40}\\s*=\\s*@?mail\\s*\\(', '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"].{100,200};\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*\\1.{6000,8000}\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\?>', '<title>\\s*Sim\\s*Shell\\s*-?\\s*Simorgh', '\\$\\w{1,40}\\[\\w{1,40}\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];(\\s*(system|shell_exec|exec|popen|passthru)\\s*\\(\\)\\s*;){3,5}', '\\};@?eval\\(\\$[O0]{4,24}\\([\'"]QHNldF90aW1lX2xpbWl0KDM2MDApOw0KQGlnbm9yZV91c2VyX2Fib3', '(\\$message)\\s*=\\s*[\'"][^\'"]{0,40}OFFICE\\s+365\\s+[^\'"]{0,40}[\'"];\\s*[^\\?]{1,400}\\s*\\1\\s*\\.?=\\s*[\'"](Password|pwd|pass)', '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)\\s*\\$\\w{0,9}title\\s*=\\s*[\'"]\\s*b374k', '\\]\\(""\\s*,\\s*@\\$_COOKIE\\[', '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/', '(,\\s*[\'"]\\^[^\'"]+[\'"]\\s*,\\s*){1,}["\']\\^[^\'"]+["\']\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{', '\\$g___g_\\s*=\\s*\\$', '\\)\\s*eval\\(gzuncompress\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[', '<title>\\s*\\[?Mister\\]?\\s*\\[?Spy\\]?\\s*Masse\\s*-\\s*S3ND3R', '(\\$message)\\s*\\.=\\s*[\'"][^\'"]{1,40}Office365[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Email\\s*:\\s*[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](Password|Pass|Pwd)\\s*:[^;]{1,40}[\'"];\\s*[^`]{1,600}\\$send', '<title>\\s*[^\\<]{0,19}\\s*r57c99\\.com', 'if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]phoneNumber[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\|\\|\\s*\\$_POST\\s*\\[\\s*[\'"]recEmail[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*[^\\)]{1,40}\\s*\\$message\\s*,\\s*\\$headers\\s*\\)\\s*;', '(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$ip\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;', '\\?>\\s*<\\?(?:php)?\\s*eval\\(base64_decode\\([\'"][^\'"]{1000,3000}[\'"]\\)\\);\\s*\\?>\\s*</title>', '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$(?:message|spam|bilsmg))\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"]\\s*(?!(Subscr|news))[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;', 'else\\{print "preg_fail";\\}\\}else\\{print "preg_empty"', '(\\$\\w+)=\'base64_decode\';(\\$\\w+)=\'create_function\';if\\(!empty\\(\\$_REQUEST\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=strrev\\(\\$_REQUEST\\[\'\\3\'\\]\\);(\\$\\w+)=\\2\\(\'\',\\1\\(\\4\\)\\);\\5\\(\\);}', '\\$_\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*trim\\s*\\(\\s*preg_replace\\s*\\(\\s*rawurldecode\\s*\\(\\s*"[^"]{1,200}"\\s*\\)\\s*,\\s*\'\'\\s*,\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;', 'base64_decode\\(\'ZXJyb3JfcmVwb3J0aW5n\'\\),base64_decode\\(\'Y3Vyb', '(\\$\\w+)=scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);for\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\){if\\(stristr\\(\\1\\[\\2\\],\'php\'\\)\\){(\\$\\w+)=filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);break;}}touch\\(dirname\\(__FILE__\\),\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\3\\);.*?(\\$\\w+)=new ZipArchive\\(\\).*?\\4->extractTo\\(\\$\\w+\\);.*?<form enctype="multipart/form-data" method="post" action=""><label><input class="\\w+" type="file" name="\\w+" /></label><br /><input type="submit" name="submit" class="\\w+" value="\\w+" /></form></body></html>', '(\\$\\w+)=\'preg_replace\';(\\$\\w+)=\'eval\\(base64_decode\\("[^"]+"\\)\\);.*?;(\\$\\w+)="/(\\w+)/e";\\1\\(\\3,\\2,\'\\4\'\\);', '\\);\\$\\w+=\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\("\\w+","",\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\$\\w+\\(\\);', '(\\$\\w+)="assert";\\1\\([\'|"]eval\\(gzuncompress\\(base64_decode\\([\'|"][^\'|^"]+\'\\)\\)\\);[\'|"]\\);exit;', '<\\?php\\s*goto\\s*\\w{1,40};\\w{1,40}.{24000,28000}goto\\s*\\w{1,40};\\w{1,40}:\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\?>', '\\]\\[\\d+\\]\\(\\$_\\d+\\);include\\("\\{\\$_\\d+\\}\\w{1,40}\\.php"\\);\\$GLOBALS\\[\'_', '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>', 'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*["\'][^\'"]*["\']\\s*\\}\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\s*\\{\\s*["\'][^"\']*["\']\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*[\'"][^\']*[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}', 'if\\(isset\\((\\$_(?:GET|POST|REQUEST|COOKIE)\\[\'\\w{1,40}\'\\])\\)\\)\\{eval\\(\\1\\);exit;\\}', 'extract\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\)&&\\$shall\\(stripslashes\\(\\$\\w{1,40}\\)\\s*\\)&&exit;', '<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(_[^\']*)\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*.+?\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\}', '(\\$\\w{1,20}(\\[[\'"].[\'"]\\])?\\s*\\.\\s*){10,20}', '\\$\\s*(?:\\{[^{}]+\\}\\s*)+\\([^()]*\\$\\s*\\{', 'array_filter\\(\\s*(/\\*.+?\\*/)?\\s*@{0,}array\\(\\s*(/\\*.+?\\*/)?@{0,}\\${"_(GET|POST|COOKIE|REQUEST|SERVER)', '\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\'\'\\s*\\);', '(\\$\\w+\\s*=\\s*([\'"]\\w*[\'"]|\\d+);\\s*){2,}\\$\\w+\\s*=\\s*array\\s*\\((["\'][a-zA-Z0-9/+=_]{2,}["\']\\s*(,\\s*)?){10,}?', '\\${\\s*\\w+\\s*\\(\\s*["\':][^\':"]+["\']\\)\\s*}\\s*\\(\\w+\\s*\\(', 'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*\'OK\';', '<iframe src="https?://[^"]+"\\s*frameborder="0%?"\\s*width="0%?"\\s*height="0%?"', '(\\$\\w{1,20}\\s*=\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+(\\^|\\&|\\|)\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+;\\s*){5,}', '\\b((pics|hot|online)|(cumshot|blowjob|uncensored|viagra|cialis|levitra|tramadol|nude|celebrity|porno?|gay|teens?|squirt|sexiest|sex|fuck|tits?|lesbian)\\b[\\s\\-]+){2,}', 'new\\s*CoinHive\\.Anonymous', '<title>\\s*Navicat\\s*HTTP\\s*Tunnel\\s*Tester\\s*</title>', 'default_action\\s*=\\s*\\\\[\'"]FilesMan', 'default_action\\s*=\\s*[\'"]FilesMan', 'IO::Socket::INET->new\\(Proto\\s*=>\\s*"tcp"\\s*,\\s*LocalPort\\s*=>\\s*36000\\s*,\\s*Listen\\s*=>\\s*SOMAXCONN', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]{0,1}p2[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}chmod[\'"]{0,1}', 'Captain\\s+Crunch\\s+Team', 'by\\s+Grinay', 'hacked\\s+by\\s+Hmei7', 'system\\s+file\\s+do\\s+not\\s+delete', '\\$info \\.= \\(\\(\\$perms\\s*&\\s*0x0040\\)\\s*\\?\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\\\\[\'"]s\\\\[\'"]\\s*:\\s*\\\\[\'"]x\\\\[\'"]\\s*\\)\\s*:\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\'S\'\\s*:\\s*\'-\'\\s*\\)', 'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*\\\\[\'"]HTTP_HOST\\\\[\'"]\\s*\\]\\s*\\)', 'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*[\'"]HTTP_HOST[\'"]\\s*\\]\\s*\\)', 'wsoEx\\s*\\(\\s*\\\\[\'"]\\s*tar\\s*cfzv\\s*\\\\[\'"]\\s*\\.\\s*escapeshellarg\\s*\\(\\s*\\$_POST\\[\\s*\\\\[\'"]p2\\\\[\'"]\\s*\\]\\s*\\)', 'eval\\s*\\(?\\s*base64_decode\\s*\\(?\\s*@?\\$_', 'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*\\\\[\'"]filepath\\\\[\'"]\\s*\\]\\s*\\)', 'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]filepath[\'"]\\s*\\]\\s*\\)', 'rename\\s*\\(\\s*\\s*[\'"]{0,1}wso\\.php[\'"]{0,1}\\s*,', '\\$MessageSubject\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}msgsubject[\'"]{0,1}\\s*\\]\\s*\\)', 'SELECT\\s+1\\s+FROM\\s+mysql\\.user\\s+WHERE\\s+concat\\(\\s*`user`\\s*,\\s*\'@\'\\s*,\\s*`host`\\s*\\)', 'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*[\'"]HTTP_ACCEPT_LANGUAGE', 'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*\\\\[\'"]HTTP_ACCEPT_LANGUAGE', '{\\s*\\$\\s*{\\s*passthru\\s*\\(?\\s*\\$cmd\\s*\\)\\s*}\\s*}\\s*<br>', 'runcommand\\s*\\(\\s*[\'"]shellhelp[\'"]\\s*,\\s*[\'"](GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]', 'ncftpput\\s*-u\\s*\\$ftp_user_name', '\\$login\\s*=\\s*@?posix_getuid\\(?\\s*\\)?', '!@?\\$_REQUEST\\s*\\[\\s*[\'"]c99sh_surl[\'"]\\s*\\]\\s*\\)', 'setcookie\\(?\\s*[\'"]mysql_web_admin_username[\'"]\\s*\\)?', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]\\$cmd\\s+1>\\s*/tmp/cmdtemp\\s+2>&1;\\s*cat\\s+/tmp/cmdtemp;\\s*rm\\s+/tmp/cmdtemp[\'"]\\);', '\\$fe\\([\'"]\\$cmd\\s+2>&1[\'"]\\)', '\\$function\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}cmd[\'"]{0,1}\\s*\\]\\s*\\)?', '\\$cmd\\s*=\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*\\)', 'eva1[a-zA-Z0-9_]+Sir', '\\$ini\\s*\\[\\s*[\'"]{0,1}users[\'"]{0,1}\\s*\\]\\s*=\\s*array\\s*\\(\\s*[\'"]{0,1}root[\'"]{0,1}\\s*=>', 'proc_open\\s*\\(\\s*[\'"]{0,1}IHSteam', '[\'"]{0,1}httpd\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}vhosts\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}cfg\\.php[\'"]{0,1}\\s*,\\s*[\'"]{0,1}config\\.php[\'"]{0,1}', '\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}root[\'"]{0,1}\\s*\\]\\s*}', 'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*/e[\'"]{0,1}', 'eval\\s*\\(?\\s*file_get_contents\\s*\\(?', '@?setcookie\\s*\\(?\\s*[\'"]{0,1}hit[\'"]{0,1},\\s*1\\s*,\\s*time\\s*\\(?\\s*\\)?\\s*\\+', 'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*@?\\$_', 'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*array_pop\\s*\\(?\\s*@?\\$_', 'fopen\\s*\\(?\\s*[\'"]{0,1}/etc/passwd[\'"]{0,1}', '\\$GLOBALS\\[[\'"]{0,1}____', 'is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\)?\\s+and\\s+!in_array\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*,\\s*\\$disablefuncs', 'file_get_contents\\s*\\(?\\s*trim\\s*\\(\\s*\\$.+?\\[\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}.+?[\'"]{0,1}\\]\\]\\)\\);', 'wp_posts\\s+WHERE\\s+post_type\\s*=\\s*[\'"]{0,1}post[\'"]{0,1}\\s+AND\\s+post_status\\s*=\\s*[\'"]{0,1}publish[\'"]{0,1}\\s+ORDER\\s+BY\\s+`ID`\\s+DESC', 'exec\\s*\\(\\s*[\'"]ipfw', 'strrev\\(?\\s*[\'"]{0,1}tressa[\'"]{0,1}\\s*\\)?', 'strrev\\(?\\s*[\'"]{0,1}edoced_46esab[\'"]{0,1}\\s*\\)?', 'function\\s+urlGetContents\\s*\\(?\\s*\\$url\\s*,\\s*\\$timeout\\s*=\\s*\\d+\\s*\\)', 'fwrite\\s*\\(?\\s*\\$fpsetv\\s*,\\s*getenv\\s*\\(\\s*[\'"]HTTP_COOKIE[\'"]\\s*\\)\\s*', 'isset\\s*\\(?\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}execgate[\'"]{0,1}\\s*\\]\\s*\\)?', 'UNION\\s+SELECT\\s+[\'"]{0,1}0[\'"]{0,1}\\s*,\\s*[\'"]{0,1}<\\? system\\(\\\\\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[cpc\\]\\);exit;\\s*\\?>[\'"]{0,1}\\s*,\\s*0\\s*,0\\s*,\\s*0\\s*,\\s*0\\s+INTO\\s+OUTFILE\\s+[\'"]{0,1}\\$[\'"]{0,1}', '\\$GLOBALS\\[[\'"]{0,1}.+?[\'"]{0,1}\\]=Array\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)', 'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*\\[.+?\\]\\?/e[\'"]{0,1}\\s*,\\s*str_replace', '\\$GLOBALS\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\d+\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*\\)', '\\$beecode\\s*=@?file_get_contents\\s*\\(?[\'"]{0,1}\\s*\\$urlpurs\\s*[\'"]{0,1}\\)?\\s*;\\s*echo\\s+[\'"]{0,1}\\$beecode[\'"]{0,1}', '\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"]', '<\\?php\\s+\\$_F\\s*=\\s*__FILE__\\s*;\\s*\\$_X\\s*=', 'if\\s+\\(?\\s*mail\\s*\\(\\s*\\$recp\\s*,\\s*\\$subj\\s*,\\s*\\$stunt\\s*,\\s*\\$frm', 'if\\s+\\(\\s*strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/mootools\\.js[\'"]\\s*\\)\\s*===\\s*false\\s+&&\\s+strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/caption\\.js[\'"]{0,1}', 'eval\\s*\\(?\\s*stripslashes\\s*\\(?\\s*array_pop\\(?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'if\\s*\\(?\\s*isset\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\]\\s*\\)?\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\];\\s*eval\\s*\\(?\\s*\\$\\w+\\s*\\)?', 'preg_replace\\s*\\(\\s*[\'"]/\\^\\(www\\|ftp\\)\\\\\\./i[\'"]\\s*,\\s*[\'"][\'"],\\s*@\\$_SERVER\\s*\\[\\s*[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\s*\\]\\s*\\)', 'if\\s*\\(!function_exists\\s*\\(\\s*[\'"]posix_getpwuid[\'"]\\s*\\)\\s*&&\\s*!in_array\\s*\\(\\s*[\'"]posix_getpwuid', '=\\s*preg_split\\s*\\(\\s*[\'"]/\\\\,\\(\\\\ \\+\\)\\?/[\'"],\\s*@?ini_get\\s*\\(\\s*[\'"]disable_functions', '\\$b\\s*\\.\\s*\\$p\\s*\\.\\s*\\$h\\s*\\.\\s*\\$k\\s*\\.\\s*\\$v', '\\(\\s*[\'"]INSHELL[\'"]\\s*', '(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]___[\'"]\\s*', 'array_pop\\s*\\(?\\s*\\$workReplace\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*,\\s*\\$countKeysNew', 'if\\s*\\(?\\s*@?preg_match\\s*\\(?\\s*str', '@\\$_COOKIE\\[[\'"]{0,1}statCounter[\'"]{0,1}\\]', 'fopen\\s*\\(?\\s*[\'"]http://[\'"]\\s*\\.\\s*\\$check_domain\\s*\\.\\s*[\'"]:80[\'"]\\s*\\.\\s*\\$check_doc\\s*,\\s*[\'"]r[\'"]', '@?gzinflate\\s*\\(\\s*@?base64_decode\\s*\\(\\s*@?str_replace', 'file_put_contentz\\s*\\(?\\s*\\$', '&&\\s*function_exists\\s*\\(?\\s*[\'"]{0,1}getmxrr[\'"]{0,1}\\)\\s*\\)\\s*{\\s*@getmxrr\\s*\\(?\\s*\\$', '\\$postResult\\s*=\\s*curl_exec\\s*\\(?\\s*\\$ch', 'function\\s+sql2_safe\\s*\\(', 'exit\\s*\\(\\s*[\'"]{0,1}<script>\\s*setTimeout\\s*\\(\\s*\\\\[\'"]{0,1}document\\.location\\.href', 'eval\\(\\s*stripslashes\\(\\s*\\\\\\$_REQUEST', '!touch\\([\'"]{0,1}\\.\\./\\.\\./language/', 'Dc0RHa[\'"]', 'header\\s*\\([\'"]Location:\\s*[\'"]\\s*\\.\\s*\\$to\\s*\\.\\s*urldecode', 'if\\s*\\(\\s*stripos\\s*\\(\\s*\\$_SERVER\\[[\'"]{0,1}HTTP_USER_AGENT[\'"]{0,1}\\]\\s*,\\s*[\'"]{0,1}Android[\'"]{0,1}\\)\\s*!==false\\s*&&\\s*!\\$_COOKIE\\[[\'"]{0,1}dle_user_id', 'echo\\s+@file_get_contents\\s*\\(\\s*\\$get', 'default_action\\s*=\\s*[\'"]{0,1}FilesMan[\'"]{0,1}', 'Mysterious\\s+Wire', 'preg_replace\\s*\\(?\\s*[\'"]/\\.\\+/esi', 'define\\s*\\(?\\s*[\'"]SBCID_REQUEST_FILE[\'"]\\s*,', '\\$tld\\s*=\\s*array\\s*\\(\\s*[\'"]com[\'"],[\'"]org[\'"],[\'"]net[\'"]', 'Brazil\\s+HackTeam', 'if\\(!empty\\(\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)\\s+AND\\s+\\(md5\\(\\$_POST\\[[\'"]{0,1}nick[\'"]{0,1}\\]\\)\\s*==\\s*[\'"]{0,1}', 'time\\(\\)\\s*\\+\\s*10000\\s*,\\s*[\'"]/[\'"]\\);\\s*echo\\s+\\$m_zz;\\s*eval\\s*\\(\\$m_zz', 'return\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'echo\'\\s*\\)\\s*==\\s*false\\s*\\?\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'print\'', 'set_time_limit\\s*\\(\\s*0\\s*\\);\\s*if\\s*\\(!SecretPageHandler::checkKey', '@header\\([\'"]Location:\\s*[\'"]\\.[\'"]h[\'"]\\.[\'"]t[\'"]\\.[\'"]t[\'"]\\.[\'"]p[\'"]', 'IrSecTeam', '\\$rBuffLen\\s*=\\s*ord\\s*\\(\\s*VC_Decrypt\\s*\\(\\s*fread\\s*\\(\\s*\\$input,\\s*1\\s*\\)\\s*\\)\\s*\\)\\s*\\*\\s*256', 'clearstatcache\\(\\s*\\);\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$fld\\s*\\)\\s*\\)\\s*return', 'content=[\'"]{0,1}no-cache[\'"]{0,1};\\s*\\$config\\[[\'"]{0,1}description[\'"]{0,1}\\]\\s*\\.=\\s*[\'"]{0,1}', 'tmhapbzcerff', 'file_get_contents\\s*\\(?\\s*ADMIN_REDIR_URL\\s*,\\s*false\\s*,\\s*\\$ctx\\s*\\)', 'if\\s*\\(\\s*\\$i\\s*<\\s*\\(\\s*count\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}q[\'"]{0,1}\\s*\\]\\s*\\)\\s*-\\s*1', 'isset\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]', '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\s*\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\s*\\)\\s*\\]', '@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}message[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*,\\s*\\$security_code\\s*\\.\\s*"/"\\s*\\.\\s*\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)', 'eval\\s*\\(?\\s*strrev\\s*\\(?\\s*str_replace', '\\$res=mysql_query\\([\'"]{0,1}SELECT\\s+\\*\\s+FROM\\s+`watchdog_old_05`\\s+WHERE\\s+page', '\\^downloads/\\(\\[0-9\\]\\*\\)/\\(\\[0-9\\]\\*\\)/\\$\\s+downloads\\.php\\?c=\\$1&p=\\$2', 'preg_replace\\s*\\(\\s*\\$exif\\[\\s*\\\\[\'"]Make\\\\[\'"]\\s*\\]\\s*,\\s*\\$exif\\[\\s*\\\\[\'"]Model\\\\[\'"]\\s*\\]', 'fclose\\(\\$f\\);\\s*echo\\s*[\'"]o\\.k\\.[\'"]', 'function\\s+inject\\(\\$file,\\s*\\$injection=', 'execl\\([\'"]/bin/sh[\'"]\\s*,\\s*[\'"]/bin/sh[\'"]\\s*,\\s*[\'"]-i[\'"]\\s*,\\s*0\\)', 'find\\s+/\\s+-type\\s+f\\s+-perm\\s+-04000\\s+-ls', 'if\\s*\\(\\s*function_exists\\s*\\(\\s*\'pcntl_fork', 'urlencode\\(print_r\\(array\\(\\),1\\)\\),5,1\\)\\.c\\),\\$c\\);}eval\\(\\$d\\)', 'array_key_exists\\s*\\(\\s*\\$fileRas\\s*,\\s*\\$fileType\\)\\s*\\?\\s*\\$fileType\\[\\s*\\$fileRas\\s*\\]', 'if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$handle\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'if\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}path[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}[\'"]{0,1}\\s*\\)\\s*{\\s*\\$uploadfile\\s*=\\s*\\$_FILES\\[\\s*[\'"]{0,1}file[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}name[\'"]{0,1}\\s*\\]', 'if\\s*\\(\\s*\\$dataSize\\s*<\\s*BOTCRYPT_MAX_SIZE\\s*\\)\\s*rc4\\s*\\(\\s*\\$data,\\s*\\$cryptkey', ',\\s*array\\s*\\(\'\\.\',\'\\.\\.\',\'Thumbs\\.db\'\\)\\s*\\)\\s*\\)\\s*{\\s*continue;\\s*}\\s*if\\s*\\(\\s*is_file', '\\)\\s*\\.\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*strrev\\s*\\(\\s*\\$', 'assert\\s*\\(\\s*@?stripslashes', '[\'"]e/\\*\\./[\'"]', 'echo[\'"]{0,1}<center><b>Done\\s*==>\\s*\\$userfile_name', 'if\\s*\\(\\$key\\s*!=\\s*[\'"]{0,1}mail_to[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_server[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_port', 'strpos\\(\\$ua,\\s*[\'"]{0,1}yandexbot[\'"]{0,1}\\)\\s*!==\\s*false', 'if\\(CheckIPOperator\\(\\)\\s*&&\\s*!isModem\\(\\)\\)', 'url=<\\?php\\s*echo\\s*\\$rand_url;\\?>', 'echo\\s*[\'"]answer=error[\'"]', '\\$post\\s*=\\s*[\'"]\\\\x77\\\\x67\\\\x65', 'if\\s*\\(detect_mobile_device\\(\\)\\)\\s*{\\s*header', 'IrIsT\\.Ir', '\\$letter\\s*=\\s*str_replace\\s*\\(\\s*\\$ARRAY\\[0\\]\\[\\$j\\]\\s*,\\s*\\$arr\\[\\$ind\\]\\s*,\\s*\\$letter', 'create_function\\s*\\(\\s*[\'"]\\$m[\'"]\\s*,\\s*[\'"]if\\s*\\(\\s*\\$m\\s*\\[\\s*0x01\\s*\\]\\s*==\\s*[\'"]L[\'"]', '\\$p\\s*=\\s*strpos\\(\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)', '\\$user_agent\\s*=\\s*preg_replace\\s*\\(\\s*[\'"]\\|User\\\\\\.Agent\\\\:\\[\\\\s \\]\\?\\|i[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$user_agent', 'print\\("\\#\\s+info\\s+OK\\\\n\\\\n"\\)', '\\]\\s*}\\s*=\\s*trim\\s*\\(\\s*array_pop\\s*\\(\\s*\\${\\s*\\${', '\\]=[\'"]{0,1}ip[\'"]{0,1}\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_SERVER\\[', 'print\\s*\\$sock "PRIVMSG "\\.\\$owner', 'if\\(/\\^\\\\:\\$owner!\\.\\*\\\\@\\.\\*PRIVMSG\\.\\*:\\.msgflood\\(\\.\\*\\)/\\){', '\\[-\\]\\s+Connection\\s+faild', '<!--\\#exec\\s+cmd=[\'"]{0,1}\\$HTTP_ACCEPT[\'"]{0,1}\\s*-->', '[\'"]{0,1}From:\\s*[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}realname[\'"]{0,1}\\]\\.[\'"]{0,1} [\'"]{0,1}\\.[\'"]{0,1} <[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}from[\'"]{0,1}\\]\\.[\'"]{0,1}>\\\\n[\'"]{0,1}', 'if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$FullPath\\s*\\)\\s*\\)\\s*AllDir\\s*\\(\\s*\\$FullPath\\s*,\\s*\\$Files\\s*\\);\\s*}\\s*}', '\\$p\\s*=\\s*strpos\\s*\\(\\s*\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)', 'preg_match_all\\([\'"]{0,1}/<a href="\\\\/url\\\\\\?q=\\(\\.\\+\\?\\)\\[&\\|"\\]\\+/is[\'"]{0,1}, \\$page\\[[\'"]{0,1}exe[\'"]{0,1}\\], \\$links\\)', '\\$url\\s*=\\s*\\$url\\s*\\.\\s*[\'"]{0,1}\\?[\'"]{0,1}\\s*\\.\\s*http_build_query\\(\\$query\\)', 'print\\s+\\$sock\\s+[\'"]{0,1}NICK [\'"]{0,1}\\s+\\.\\s+\\$nick\\s+\\.\\s+[\'"]{0,1}\\\\n[\'"]{0,1}', 'PRIVMSG\\.\\*:\\.owner\\\\s\\+\\(\\.\\*\\)', '\\$resultFUL\\s*=\\s*stripcslashes\\s*\\(\\s*\\$_POST\\[[\'"]{0,1}resultFUL[\'"]{0,1}', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\s*\\)', 'if\\s*\\(\\s*@?md5\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'echo\\s+file_get_contents\\s*\\(\\s*base64_url_decode\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'fwrite\\s*\\(\\s*\\$fh\\s*,\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'if\\s*\\(\\s*mail\\s*\\(\\s*\\$mails\\[\\$i\\]\\s*,\\s*\\$tema\\s*,\\s*base64_encode\\s*\\(\\s*\\$text', '\\$gzip\\s*=\\s*@?gzinflate\\s*\\(\\s*@?substr\\s*\\(\\s*\\$gzencode_arg', 'move_uploaded_file\\(\\$_FILES\\[[\'"]{0,1}elif[\'"]{0,1}\\]\\[[\'"]{0,1}tmp_name', 'header\\([\'"]{0,1}s:\\s*[\'"]{0,1}\\s*\\.\\s*php_uname\\s*\\(\\s*[\'"]{0,1}n[\'"]{0,1}\\s*\\)', 'By\\s+WebRooT', '\\$OOO0O0O00=__FILE__;\\s*\\$OO00O0000\\s*=\\s*0x1b540;\\s*eval', '\\$mailer\\s*=\\s*\\$_POST\\[[\'"]{0,1}x_mailer[\'"]{0,1}\\]', 'preg_match\\([\'"]/\\(yandex\\|google\\|bot\\)/i[\'"],\\s*getenv\\([\'"]HTTP_USER_AGENT', 'echo\\s+\\$ifupload=[\'"]{0,1}\\s*ItsOk\\s*[\'"]{0,1}', 'fsockopen\\s*\\(\\s*\\$ConnectAddress\\s*,\\s*25', '\\$_SESSION\\[[\'"]{0,1}session_pin[\'"]{0,1}\\]\\s*=\\s*[\'"]{0,1}\\$PIN', '\\$url[\'"]{0,1}\\s*\\.\\s*\\$session_id\\s*\\.\\s*[\'"]{0,1}/login\\.html', 'f\\s*=\\s*\\$q\\s*\\.\\s*\\$a\\s*\\.\\s*\\$b\\s*\\.\\s*\\$x', 'if\\s*\\(md5\\(trim\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'die\\s*\\(\\s*PHP_OS\\s*\\.\\s*chr\\s*\\(', 'create_function\\s*\\([\'"][\'"]\\s*,\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)', '\\$headers\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}headers[\'"]{0,1}\\]', 'file_put_contents\\s*\\([\'"]{0,1}1\\.txt[\'"]{0,1}\\s*,\\s*print_r\\s*\\(\\s*\\$_POST\\s*,\\s*true', 'fwrite\\s*\\(\\s*\\$flw\\s*,\\s*\\$fl\\s*\\)', '\\$sys_params\\s*=\\s*@?file_get_contents', '\\$allemails\\s*=\\s*@split\\("\\\\n"\\s*,\\s*\\$emaillist\\)', 'file_put_contents\\(SVC_SELF\\s*\\.\\s*[\'"]/\\.htaccess', 'create_function\\([\'"][\'"],\\s*\\$opt\\[1\\]\\s*\\.\\s*\\$opt\\[4\\]', '<script\\s+type=[\'"]{0,1}text/javascript[\'"]{0,1}\\s+src=[\'"]{0,1}jquery-u\\.js[\'"]{0,1}></script>', 'URL=<\\?echo\\s+\\$index;\\s+\\?>', '\\#\\s*securityspace\\.com', '\\#\\s*stealth\\s*bot', 'Apple\\s+SpAm\\s+ReZulT', 'is_writable\\(\\$dir\\.[\'"]wp-includes/version\\.php[\'"]', 'if\\(empty\\(\\$_COOKIE\\[[\'"]x[\'"]\\]\\)\\){echo', '\\)\\];}if\\(isset\\(\\$_SERVER\\[_', 'if\\(@\\$vars\\(get_magic_quotes_gpc\\(\\)\\s*\\?\\s*stripslashes\\(\\$uri\\)', 'base[\'"]{0,1}\\.\\(\\d+\\s*\\*\\s*\\d+\\)', '\\$param\\s*=\\s*\\$param\\s*x\\s*\\$n\\.substr\\s*\\(\\$param\\s*,\\s*length\\(\\$param\\)', 'register_shutdown_function\\(\\s*[\'"]{0,1}read_ans_code', 'base64_decode\\(\\$_POST\\[[\'"]{0,1}_-', 'if\\(isset\\(\\$_POST\\[[\'"]{0,1}msgsubject[\'"]{0,1}\\]\\)\\)', 'mail\\(\\$arr\\[[\'"]{0,1}to[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}subj[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}msg[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}head[\'"]{0,1}\\]\\);', 'file_get_contents\\(trim\\(\\$f\\[\\$_GET\\[', 'ini_get\\([\'"]{0,1}filter\\.default_flags[\'"]{0,1}\\)\\){foreach', 'chunk_split\\(base64_encode\\(fread\\(\\${\\${[\'"]{0,1}', '\\$str=[\'"]{0,1}<h1>403\\s+Forbidden</h1><!--\\s*token:', '<\\?php\\s+rename\\([\'"]wso\\.php[\'"]', '\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/\\s*\\.\\s*\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/', '@?mail\\(\\$mosConfig_mailfrom, \\$mosConfig_live_site', '\\$t=\\$s;\\s*\\$o\\s*=\\s*[\'"][\'"];\\s*for\\(\\$i=0;\\$i<strlen\\(\\$t\\);\\$i\\+\\+\\){\\s*\\$o\\s*\\.=\\s*\\$t{\\$i}', 'mmcrypt\\(\\$data, \\$key, \\$iv, \\$decrypt = FALSE', 'tnega_resu_ptth', 'tsoh_ptth', 'REREFER_PTTH', 'webi\\.ru/webi_files/php_libmail', 'substr_count\\(getenv\\(\\\\[\'"]HTTP_REFERER', 'function reload\\(\\){header\\("Location', 'img src=[\'"]opera000\\.png', 'echo\\s*md5\\(\\$_POST\\[[\'"]{0,1}check[\'"]{0,1}\\]', 'eVaL\\(\\s*trim\\(\\s*baSe64_deCoDe\\(', 'fsockopen\\(\\$m\\[0\\],\\$m\\[10\\],\\$_,\\$__,\\$m', '[\'"]=>\\${\\${[\'"]\\\\x', 'preg_replace\\([\'"].UTF\\\\-8:\\(.\\*\\).Use', '::[\'"]\\.phpversion\\(\\)\\.[\'"]::', '@stream_socket_client\\([\'"]{0,1}tcp://\\$', '==0\\){jsonQuit\\(\\$', 'loc\\s*=\\s*[\'"]{0,1}<\\?echo\\s+\\$redirect;\\s*\\?>', 'array\\(\\$en,\\$es,\\$ef,\\$el\\)', '[\'"]{0,1}.c.[\'"]{0,1}\\.substr\\(\\$vbg,', 'fuck\\s+your\\s+mama', 'call_user_func\\(\\s*[\'"]action[\'"]\\s*\\.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'str_replace\\(\\$find\\s*,\\s*\\$find\\s*\\.\\s*\\$html\\s*,\\s*\\$text', 'file_exists\\s*\\(?\\s*[\'"]/var/tmp/', '&&\\s*!empty\\(\\s*\\$_COOKIE\\[[\'"]fill[\'"]\\]', 'function\\s+inDiapason', 'make_dir_and_file\\(\\s*\\$path_joomla', 'listing_page\\(\\s*notice\\(\\s*[\'"]symlinked', 'list\\s*\\(\\s*\\$host\\s*,\\s*\\$port\\s*,\\s*\\$size\\s*,\\s*\\$exec_time', 'filemtime\\(\\$basepath\\s*\\.\\s*[\'"]/configuration\\.php', 'function\\s+read_pic\\(\\s*\\$A\\s*\\)\\s*{\\s*\\$a\\s*=\\s*\\$_SERVER', 'chr\\(\\s*\\$table\\[\\s*\\$string\\[\\s*\\$i\\s*\\]\\s*\\*\\s*pow\\(64\\s*,\\s*1', '\\]\\s*\\){eval\\(\\s*\\$[a-zA-Z0-9_]+\\[\\s*\\$', 'Location::isFileWritable\\(\\s*EncodeExplorer::getConfig', 'by\\s+Shunceng', '{eval\\(\\${\\$s2', 'eval\\(\\$s21\\(\\${\\$', 'RamZkiE\\s+-\\s+exploit', '[\'"]remove_scripts[\'"]\\s*=>\\s*array\\([\'"]Remove', '\\$back_connect_pl\\s*=\\s*[\'"]', '\\$site_root\\.\\$fileunp_dir\\.\\$fileunp_fn', '@preg_replace\\([\'"]/ad/e', '<b>\\$uid\\s*\\(\\$uname\\)</b>', 'Fx29Googler', 'envir0nn', 'array\\([\'"]\\*/[\'"],[\'"]/\\*[\'"]\\),base64_decode', '<\\?=\\s*@php_uname\\(\\);\\s*\\?>', 'sUxCrew\\s+V', 'WarBot\\s+sUxCrew', 'exec\\([\'"]cd\\s+/tmp;curl\\s+-O\\s+[\'"]\\.\\$url', 'Batavi4\\s+Shell', '@extract\\(\\$_REQUEST\\[[\'"]fx29shcook', 'TuX_Shadow', '=@fopen\\s*\\([\'"]php\\.ini[\'"]\\s*,\\s*[\'"]w', 'LebayCrew', '\\$headers\\s*\\.=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]eMailAdd[\'"]\\s*\\]', 'bogel\\s*-\\s*exploit', '\\[uname\\][\'"]\\s*\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"]\\[/uname\\]', '\\]\\(\\$_1,\\$_1\\)\\);else{\\$GLOBALS', 'file:file:////', 'function\\s+MCLogin\\(\\)\\s*{\\s*die', '{echo [\'"]yes[\'"]; exit;}else{echo [\'"]no[\'"]; exit;}}}', ';\\?><\\?=\\${[\'"]_[\'"]\\.\\$_}\\[[\'"]_[\'"]\\]', '\\$a\\[1\\]==[\'"]bypassip[\'"]\\);\\$c=self::c1', '\\$dir\\.[\'"]/[\'"]\\.\\$f\\.[\'"]/wp-config\\.php', 'eval\\([\'"]return\\s+eval', 'fwrite\\(\\$[a-zA-Z0-9_]+,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\([\'"]gbk[\'"],[\'"]utf-8//IGNORE[\'"],\\$body', 'echo\\s+[\'"]__success__[\'"]\\s*\\.\\s*\\$NowSubFolders\\s*\\.\\s*[\'"]__success__', 'ob_start\\(\\);\\s*var_dump\\(\\$_POST\\s*,\\s*\\$_GET\\s*,\\s*\\$_COOKIE\\s*,\\s*\\$_FILES', 'getenv\\("HTTP_HOST"\\)\\.\' ~ Shell I', 'eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode', 'assert\\(\\$[a-zA-Z0-9_]+\\(', '\\$defacer=\'ReZK2LL', '<%\\s*eval\\s+request', 'new_time\\(\\$path2file,\\$GLOBALS', '\\$str=str_replace\\("\\[t\\d+\\]"\\s*,\\s*"<\\?",\\s*\\$res\\);', '\\$__a="[a-zA-Z0-9_]+";\\s*\\$__a\\s*=\\s*str_replace\\("[a-zA-Z0-9_]+",\\s*"[a-zA-Z0-9_]+",\\s*\\$__a\\);', '<!--\\w{32}--><\\?php\\s*@ob_start\\(\\);@ini_set', 'if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{\\$function', '\\$s\\("~\\[discuz\\]~e",\\$_POST', 'PlgSystemXcalendarHelper::getInstance\\(\\)', 'is_dir_empty\\(\\$_POST\\[[\'"]directory[\'"]\\]\\)\\)\\s*{\\s*echo\\s+1;', 'if\\(isset\\(\\$_POST\\[[\'"]__bscode', 'base64_encode\\(clean_url\\(\\$_SERVER', '\\$_GET\\[[\'"]mod[\'"]\\]==[\'"]0XX', '\\$folder\\.[\'"]/please_rename_UNZIPFIRST\\.zip', '@\\$strings\\(str_rot13\\(\'riny\\(onfr64_qrpbqr', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\)', '\\$this->server\\s*=\\s*[\'"]http://[\'"]\\.\\$this->server\\.[\'"]/img/\\?q=', 'echo\\s*"<center><b>Done\\s*==>\\s*\\$userfile_name', 'file_get_contents\\(\\$[a-zA-Z0-9_]+\\);\\s*[a-zA-Z0-9_]+\\([\'"]https://dl\\.dropboxusercontent\\.com', 'if\\(file_exists\\(\\$newPath\\)\\)\\s*{\\s*echo\\s*"publish success', 'function\\s+KillMe\\(\\)\\s*{\\s*unlink\\(\\s*MyFileName\\(\\)', '<\\?php\\s*error_reporting\\(E_ERROR\\);\\s*\\$remote_path="http://', 'echo\\s+php_uname\\(\\);\\s*@unlink\\(__FILE__\\);', '<title><\\?php\\s+echo\\s+\\$shell_title;\\s+\\?></title>', 'chr\\(ord\\(\\$str\\[\\$i\\]\\)\\s*\\^\\s*\\$key\\);\\s*eval\\(\\$ev\\);', '\\$wp__wp=\\$wp__wp\\(str_replace', '<\\?php\\s*\\$wp__wp=', '<\\?php\\s*eval\\([\'"]\\\\x65', '@preg_replace\\([\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '<title>W3Lcome</title>', 'if\\(stristr\\(\\$files\\[\\$i\\],\\s*[\'"]php[\'"]\\)\\)\\s*{\\s*\\$time\\s*=\\s*filemtime', '\\)\\){\\s*include\\(getcwd\\(\\)\\.[\'"]/[a-zA-Z0-9_]+\\.php[\'"]\\);\\s*exit;}\\s*\\?>', '<title>[\'"]\\.ucfirst\\(\\$key\\)', '<\\?php\\s*/\\*\\s*WSO', 'function_exists\\("c99_sess_put', '3xp1r3\\s*Cyber\\s*Army', 'file_get_contents\\(~\\s*base64_decode\\(', 'hexdec\\(substr\\(md5\\(\\$_SERVER\\[[\'"]REQUEST_URI', 'root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once', '\\$_SERVER\\["REMOTE_ADDR"\\];if\\(\\(preg_match\\("/69\\.42\\.', '<\\?php\\s*if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{', '\\)\\){if\\(isset\\(\\$_FILES\\[[\'"]im[\'"]\\]\\)\\){\\$dim=getcwd\\(\\)', 'class\\s+JSYSOPERATION_SetPassword', '\\);array_filter\\(\\$mcdata\\s*,\\s*base64_decode\\(', '<\\?php if\\(\\$message\\) echo "<p>\\$message</p>"; \\?>\\s*<form', 'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);touch\\(\\$_SERVER\\[[\'"]SCRIPT_FILENAME[\'"]\\],', '<title>FakeSender', '\\$Conf\\s*=\\s*@?file_get_contents\\(\\$pg\\.[\'"]/\\?d=[\'"]\\s*\\.\\s*\\$_SERVER\\[[\'"]HTTP_HOST[\'"]\\]\\);', '<\\?\\s*include\\([\'"][\'"]\\.\\$droot\\.[\'"]/bitrix/images/iblock/', '\\$file\\[\\$key\\]\\s*=\\s*\\$ex\\[0\\]\\.\\$link\\.[\'"]</body>[\'"]\\.\\$ex\\[1\\];', '\\$\\w{1,45}\\[\\$\\w{1,45}\\]=chr\\(ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}\\]\\)\\^ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}%\\$\\w{1,45}\\]\\)\\);return\\s*\\$\\w{1,45};}private static function', 'if\\s*\\(\\s*move_uploaded_file\\(\\s*\\$nazwa_plik\\s*,\\s*\\$uploadfile\\)', 'if\\(strstr\\(\\$tempStr,[\'"]//file end', 'trim\\(\\s*removeBOM\\(\\s*_file_get_contents\\(\\s*API_URL\\s*\\)\\s*\\)\\s*\\)', '\\$\\w{1,45}\\s*=\\s*str_replace\\(\\s*[\'"]\\[t1\\][\'"]\\s*,\\s*[\'"]<.php[\'"]\\s*,\\s*\\$', '\\*/\\$\\w{1,45}\\s*=\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*\\w{1,45}\\s*\\];', 'foreach\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\)\\s*{\\s*\\$Keys\\s*\\.=\\s*chr', 'touch\\(\\$extract_path\\s*\\.\\s*\\$stat\\[[\'"]name[\'"]\\]\\s*,\\s*filemtime\\(\\s*\\$archive_path', '\\$Conf\\s*=\\s*@file_get_contents\\(\\s*[\'"]http://', '\\$zip_status\\s*=\\s*\\$zip->open\\(\\s*[\'"][a-zA-Z0-9_]+\\.zip[\'"]\\s*\\);\\s*if\\s*\\(\\s*\\$zip_status\\s*===\\s*true\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$zip->setPassword', '>config\\s*root\\s*man<', '=\\s*create_function\\([\'"][\'"]\\s*,\\s*\\$JSubMenu\\s*\\)', '\\$arrayRows\\[count\\(\\$arrayRows\\)\\]\\s*=\\s*\\$email\\.[\'"]::1[\'"];', 'Post\\.new\\(URI\\.encode\\("/\\?q=user/password&name\\[\\#post_render', 'unserialize\\(\\s*\\$this->getImageDecodedText\\(\\s*file_get_contents', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_POST\\s*\\[\\s*[\'"].+?[\'"]\\s*\\]\\s*\\.\\s*"\\s*2\\s*>\\s*&1\\s*[\'"]', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]uname\\s+-a[\'"]\\s*\\)?', '@?assert\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*', 'php\\s+[\'"]\\s*\\.\\s*\\$wso_path', 'find\\s+/\\s+-name\\s+\\.ssh\\s+>\\s+\\$dir/sshkeys/sshkeys', 'system\\s*\\(?\\s*[\'"]{0,1}whoami[\'"]{0,1}\\s*\\)?', 'curl_setopt\\s*\\(\\s*\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*[\'"]{0,1}http://\\$host:\\d+[\'"]{0,1}\\s*\\)', '\\beval\\(\\s*\\$\\s*{\\s*\\$[a-zA-Z0-9_]+', 'if\\(\\s*in_array\\(\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\]\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\)\\s*\\$[a-zA-Z0-9_]+=\\$[a-zA-Z0-9_]+\\[rand\\(0,count\\(\\$[a-zA-Z0-9_]+\\)-1\\)\\];', 'arr2html\\(\\$_REQUEST', '\\$mdetails\\s*\\.=\\s*[\'"]<!--Deregister\\(\\)\\s*Default\\s*Widgets:', 'wp_remote_retrieve_body\\(\\s*wp_remote_get\\(\\s*\\$jquery', '@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*\\);\\s*[\'"]\\s*\\);\\s*\\$\\w{1,45}\\(\\s*\\)', 'js_infection\\s*=\\s*array_reverse\\(\\s*str_split', '\\$host\\.[\'"]ui[\'"]\\.[\'"]jquery\\.org/jquery', 'handle_bot_cmd_shell', '{echo\\s*[\'"]200[\'"]\\s*;\\s*exit\\s*;\\s*}', 'eval\\(\\s*KeyRegistration\\(\\s*KeyGeneration', '\\$to\\s*=\\s*base64_decode\\(\\$par\\[1\\]\\);\\s*redirect\\(\\$to\\);', '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\);\\s*\\$pager->render_pagelinks\\(\\);', 'eval\\(\\${\\$', 'password\\s*=\\s*str_replace\\([\'"]%%DOMAIN%%[\'"]\\s*,\\s*\\$first_lvl_domain', '\\$_POST\\[gogogo\\]', 'if\\(file_exists\\(\\$redate_file\\)\\){', '\\$this->quit\\(file_put_contents', '\\$data\\s*=\\s*\\$db->{\\s*\\$cmd\\[[\'"]m[\'"]\\]\\s*}\\s*\\(\\s*\\);', '\\$ncontent=gethttpcnt\\(', '\\$testcloack\\s*=\\s*cloack\\(\\$ip\\);', '\\$2\\.php\\?rewrite_params=\\$1&page_url=', '\\$\\w{1,45}\\s*=\\s*\\(\\s*-\\s*\\(\\s*-\\d+\\)\\s*\\+\\s*\\d+', 'return\\s*\\$\\w{1,45}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,45}\\s*,\\s*ceil\\s*\\(\\s*strlen', '=[\'"]base64_decode[\'"]\\s*;\\s*return\\s*\\$\\w{1,45}\\s*\\(\\s*\\$\\w{1,45}\\s*\\)', 'class\\s*WapClick', '\\b(include|include_once|require|require_once)\\s*[\'"]{0,1}zip:', '\\b(include|include_once|require|require_once)\\s*\\(\\s*[\'"]{0,1}zip:', 'file_get_contents\\(SRV_NAME\\s*\\.\\s*[\'"]\\?action=get_sites&noda_name=', 'Location:\\s*[a-zA-Z0-9_]+\\.document\\.exe', 'if\\(!preg_match\\([\'"]/Hacked by/i[\'"],\\$', 'By\\s+Am!r', 'Content-Type:\\s*\\$_', 'eval\\s*\\(?\\s*gzinflate\\s*\\(?\\s*str_rot13', 'if\\s*\\(\\s*is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*\\)?', 'eval\\s*\\(?\\s*get_option\\s*\\(?', 'add_filter\\s*\\(?\\s*[\'"]{0,1}the_content[\'"]{0,1}\\s*,\\s*[\'"]{0,1}_bloginfo[\'"]{0,1}\\s*,\\s*.+?\\)?', 'is_writable\\s*\\(?\\s*[\'"]/var/tmp', 'symlink\\s*\\(?\\s*[\'"]/home/', 'isset\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\s*or\\s*die\\(?.+?\\)?', 'gzuncompress\\s*\\(?\\s*substr\\s*\\(?\\s*base64_decode', '\\$___\\s*=', 'if\\s*\\(\\s*preg_match\\s*\\(\\s*[\'"]\\#yandex', '@setcookie\\([\'"]m[\'"],\\s*[\'"][a-zA-Z0-9_]+[\'"],\\s*time\\(\\)\\s*\\+\\s*86400', 'echo\\s+[\'"]o\\.k\\.[\'"];\\s*\\?>', 'symbian\\|midp\\|wap\\|phone\\|pocket', 'function\\s*chmod_R\\s*\\(\\s*\\$path\\s*,\\s*\\$perm\\s*', 'eval\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13', 'eval\\s*\\(\\s*str_rot13', 'preg_replace\\s*\\(\\s*[\'"]/\\.\\*/', '\\$mailer\\s*=\\s*\\$_POST\\[\\s*[\'"]{0,1}x_mailer[\'"]{0,1}\\s*\\]', 'preg_replace\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'echo\\s+[\'"]{0,1}install_ok[\'"]{0,1}', 'Spam\\s+completed', 'array\\(\\s*[\'"]Google[\'"]\\s*,\\s*[\'"]Slurp[\'"]', '<h1>403 Forbidden</h1><!-- token', '/e[\'"]\\s*,\\s*[\'"]\\\\x', 'php_[\'"]\\.\\$ext\\.[\'"]\\.dll[\'"]{0,1}', 'mx2\\.hotmail\\.com', 'preg_replace\\(\\s*[\'"]e[\'"],[\'"]{0,1}', 'fopen\\([\'"]{0,1}\\.\\./\\.\\./\\.\\./[\'"]{0,1}\\.\\$filepaths', '\\$data\\s*=\\s*array\\([\'"]{0,1}terminal[\'"]{0,1}\\s*=>', '\\$b\\s*=\\s*md5_file\\(\\$fileb\\)', 'portlets/framework/security/login', '\\$fileb\\s*=\\s*file_get_contents', 'site_from=[\'"]{0,1}\\.\\$_SERVER\\[[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\]\\.[\'"]{0,1}&site_folder=[\'"]{0,1}\\.\\$f\\[1\\]', 'while\\(count\\(\\$lines\\)>\\$col_zap\\) array_pop\\(\\$lines\\)', '\\$string\\s*=\\s*\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[[\'"]{0,1}nutzername[\'"]{0,1}\\]', 'if \\(!strpos\\(\\$strs\\[0\\],[\'"]{0,1}<\\?php', '\\$isevalfunctionavailable', 'David\\s+Blaine', 'if \\(date\\([\'"]{0,1}j[\'"]{0,1}\\)\\s*-\\s*\\$newsid', '<!--\\s+js-tools', 'if\\(@preg_match\\(strtr\\([\'"]{0,1}/', '_[\'"]{0,1}\\]\\[2\\]\\([\'"]{0,1}Location:', '\\$_POST\\[[\'"]{0,1}smtp_login', 'if\\s*\\(@is_writable\\(\\$index', '@ini_set\\s*\\([\'"]{0,1}include_path[\'"]{0,1},[\'"]{0,1}ini_get\\s*\\([\'"]{0,1}include_path', 'Zend\\s+Optimization\\s+ver\\s+1\\.0\\.0\\.1', '\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[\\$name\\]\\s*=\\s*\\$value', 'if\\s*\\(function_exists\\([\'"]scan_directory', 'array\\(\\s*[\'"]h[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]p[\'"]', '\\$counterUrl\\s*=\\s*[\'"]{0,1}http://', 'for\\(\\$[a-zA-Z0-9_]+=\\d+;\\$[a-zA-Z0-9_]+<\\d+;\\$[a-zA-Z0-9_]+-=\\d+\\){if\\(\\$[a-zA-Z0-9_]+!=\\d+\\)\\s*break;}', 'if\\(@function_exists\\([\'"]{0,1}fread', '\\$opt\\s*=\\s*\\$file\\(@?\\$_COOKIE\\[', 'preg_replace\\(\\){return\\s+__FUNCTION__', 'if\\s*\\(check_acc\\(\\$login,\\$pass,\\$serv', 'print\\s+[\'"]{0,1}dle_nulled[\'"]{0,1}', 'if\\(mail\\(\\$email\\[\\$i\\],\\s*\\$subject,\\s*\\$message,\\s*\\$headers', 'TeaM\\s+MosTa', '[\'"]{0,1}DZe1r', 'pack\\s+"SnA4x8"', '\\$_Post\\[[\'"]{0,1}SSN[\'"]{0,1}\\]', 'Ethnic\\s+Albanian\\s+Hackers', 'By\\s+DZ27', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}cmd\\.exe', 'Auto\\s*Xploiter', 'by\\s+g00n', 'if\\(\\$o<16\\){\\$h\\[\\$e\\[\\$o\\]', 'if\\(is_dir\\(\\$path\\.[\'"]{0,1}/wp-content[\'"]{0,1}\\)\\s+AND\\s+is_dir\\(\\$path\\.[\'"]{0,1}/wp-admin', 'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*\\$index_path\\s*,\\s*\\$code', '@array\\(\\s*\\(string\\)\\s*stripslashes\\(\\s*\\$_REQUEST', 'str_replace\\s*\\(\\s*[\'"]{0,1}/public_html', 'if\\(\\s*isset\\(\\s*\\$_REQUEST\\[[\'"]{0,1}cid', 'catatan\\s+situs', '/index\\.php\\?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=\\d+', 'setcookie\\(\\s*\\$z\\[0\\]\\s*,\\s*\\$z\\[1\\]', '\\$S\\[\\$i\\+\\+\\]\\(\\$S\\[\\$i\\+\\+\\]\\(', '\\[\\$o\\]\\);\\$o\\+\\+\\){if\\(\\$o<16\\)', 'typeof\\s*\\(dle_admin\\)\\s*==\\s*[\'"]{0,1}undefined[\'"]{0,1}\\s*\\|\\|\\s*dle_admin\\s*==', 'create_function\\(substr\\(2,1\\),\\$s\\)', 'plugins/search/query\\.php\\?____pgfa=http%3A%2F%2Fwww\\.google', 'return\\s+base64_decode\\(\\$a\\[\\$i\\]\\)', '\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'curl_init\\(\\s*base64_decode', 'eval\\([\'"]\\?>[\'"]\\.base64_decode', '[\'"][\'"]\\s*\\.\\s*BAse64_deCoDe', '[\'"][\'"]\\s*\\.\\s*gzUncoMpreSs', 'grep\\s+-v\\s+crontab', 'crc32\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}cmd', '\\$bkeyword_bez=[\'"]', 'file_get_contents\\(basename\\(\\$_SERVER\\[[\'"]{0,1}SCRIPT_NAME', '\\s*[\'"]{0,1}rookee[\'"]{0,1}\\s*,\\s*[\'"]{0,1}webeffector', '\\s*[\'"]{0,1}slurp[\'"]{0,1}\\s*,\\s*[\'"]{0,1}msnbot', 'eval\\s*\\(\\s*TPL_FILE', '@?array_diff_ukey\\(\\s*@?array\\(\\s*\\(string\\)\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '\\$path\\s*=\\s*\\$_SERVER\\[\\s*[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\s*\\]\\s*\\.\\s*[\'"]{0,1}/images/stories/[\'"]{0,1}', '\\$sape_option\\[\\s*[\'"]{0,1}fetch_remote_type[\'"]{0,1}\\s*\\]\\s*=\\s*[\'"]{0,1}socket[\'"]{0,1}', 'file_put_contents\\(\\s*\\$name\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'ereg_replace\\([\'"]{0,1}%5C%22[\'"]{0,1}\\s*,\\s*[\'"]{0,1}%22[\'"]{0,1}\\s*,\\s*\\$message', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}ur[\'"]{0,1}\\]\\)\\)\\s*\\$mode\\s*\\|=\\s*0400', '/plugins/search/query\\.php\\?____pgfa=http', '@?file_put_contents\\(\\s*\\$this->file\\s*,\\s*strrev', 'preg_match_all\\(\\s*[\'"]\\|\\(\\.\\*\\)<\\\\!-- js-tools', 'header\\([\'"]{0,1}r:\\s*no\\s+com', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]ls\\s+/var/mail', '\\$dor_content=preg_replace', '__url_get_contents\\(\\$l', '\\$GLOBALS\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*NULL', 'uname\\][\'"]{0,1}\\s*\\.\\s*php_uname\\(\\)\\s*\\.\\s*[\'"]{0,1}\\[/uname', '@\\$func\\(\\$cfile, \\$cdir\\.\\$cname', '\\beval\\(\\s*\\$[a-zA-Z0-9_]+\\(\\s*\\$<amc', '\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+\\s*\\]\\(\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+', 'eregi\\(\\s*sql_regcase\\(\\s*\\$_', '\\#Use[\'"]{0,1}\\s*,\\s*file_get_contents\\(', 'mkdir\\(\\s*[\'"]/home/', 'fopen\\(\\s*[\'"]/home/', '\\$user_agent_to_filter\\s*=\\s*array\\(', 'file_put_contents\\([\'"]{0,1}\\./libworker\\.so', '\\#!/bin/shncd\\s+[\'"]{0,1}[\'"]{0,1}\\.\\$SCP\\.[\'"]{0,1}[\'"]{0,1}nif', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]{0,1}at\\s+now\\s+-f', 'crontab\\s+-l\\|grep\\s+-v\\s+crontab', 'David\\s*Blaine', 'exploit-db\\.com/search/', 'file_put_contents\\(\\s*[\'"]{0,1}/home', 'mail\\(\\s*\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody', '\\$content\\s*=\\s*http_request\\([\'"]{0,1}http://[\'"]{0,1}\\s*\\.\\s*\\$_SERVER\\[[\'"]{0,1}SERVER_NAME[\'"]{0,1}\\]\\.[\'"]{0,1}/', '!file_put_contents\\(\\s*\\$dbname\\s*,\\s*\\$this->getImageEncodedText\\(\\s*\\$dbname', 'scripts\\[\\s*gzuncompress\\(\\s*base64_decode\\(', 'send_smtp\\(\\s*\\$email\\[[\'"]{0,1}adr[\'"]{0,1}\\]\\s*,\\s*\\$subj\\s*,\\s*\\$text', '=\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'touch\\(\\s*[\'"]{0,1}\\$basepath/components/com_content', '\\([\'"]\\$tmpdir/sess_fc\\.log', 'file_exists\\(\\s*[\'"]/tmp/tmp-server', 'mail\\(\\s*\\$retorno\\s*,\\s*\\$asunto\\s*,\\s*\\$mensaje', '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\)\\s*\\]\\.rand', '__file_get_url_contents\\(\\s*\\$remote_url', '=by\\s+DRAGON=', 'substr\\(\\s*\\$string2\\s*,\\s*strlen\\(\\s*\\$string2\\s*\\)\\s*-\\s*9\\s*,\\s*9\\)\\s*==\\s*[\'"]{0,1}\\[l,r=302\\]', '\\[\\]\\s*=\\s*[\'"]RewriteEngine\\s+on', 'fwrite\\(\\s*\\$f\\s*,\\s*get_download\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'tar\\s+-czf\\s+"\\s*\\.\\s*\\$FORM{tar}\\s*\\.\\s*"\\.tar', 'scopbin[\'"]', '<div\\s+id=[\'"]link1[\'"]><button onclick=[\'"]processTimer\\(\\);[\'"]>', '<guid><\\?php\\s+echo\\s+\\$current_url', 'int32\\(\\(\\(\\$z\\s*>>\\s*5\\s*&\\s*0x07ffffff\\)\\s*\\^\\s*\\$y\\s*<<\\s*2', 'fopen\\(\\s*\\$root_dir\\s*\\.\\s*[\'"]/\\.htaccess', '\\$in_Perms\\s+&\\s+0x4000', 'file_get_contents\\(\\s*[\'"]/var/tmp', '/pmt/rav/', 'fwrite\\(\\$fp\\s*,\\s*strrev\\(\\s*\\$context\\s*\\)\\s*\\)', 'Masri\\s+Cyber\\s+Team', 'Us3\\s+Y0ur\\s+br41n', 'Masr1\\s+Cyb3r\\s+Te4m', 'tHANKs\\s+tO\\s+Snoppy', ',\\s*[\'"]/index\\\\\\.\\(php\\|html\\)/i[\'"]\\s*,\\s*RecursiveRegexIterator', 'file_put_contents\\(\\s*\\$index_path\\s*,\\s*\\$code', 'getprotobyname\\(\\s*[\'"]tcp[\'"]\\s*\\)\\s+\\|\\|\\s+die\\s+shit', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]cd\\s+/tmp;wget', '<a\\s+href=[\'"]oshibka-', 'if\\(\\s*\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]!=\\s*[\'"][\'"]\\s*\\)\\s*\\$id=\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]', 'if\\([\'"]substr_count\\([\'"]\\$_SERVER\\[[\'"]REQUEST_URI[\'"]\\]\\s*,\\s*[\'"]query\\.php[\'"]', '\\$fill = \\$_COOKIE\\[\\\\[\'"]fill\\\\[\'"]\\]', '\\$result=smartCopy\\(\\s*\\$source\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\s*\\$file', '\\$bannedIP\\s*=\\s*array\\(\\s*[\'"]\\^66\\.102', '<loc><\\?php\\s+echo\\s+\\$current_url;', '\\$setcook\\);setcookie\\(\\$set', '\\);function\\s+string_cpt\\(\\$', '[\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"]', 'if\\(preg_match\\([\'"]\\#wordpress_logged_in\\|admin\\|pwd', 'g_delete_on_exit\\s*=\\s*new\\s+DeleteOnExit', 'SELECT\\s+\\*\\s+FROM\\s+dor_pages', 'Academico\\s+Result', 'value=[\'"]<\\?\\s+\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]', '\\d+&@preg_match\\(\\s*strtr\\(', 'chr\\(\\s*hexdec\\(\\s*substr\\(\\s*\\$makeup', 'read_file_new_2\\(\\$result_path', '\\$index_path\\s*,\\s*0404', '\\$file_for_touch\\s*=\\s*\\$_SERVER\\[[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\]', '\\$_SERVER\\[[\'"]{0,1}REMOTE_ADDR[\'"]{0,1}\\];if\\(\\(preg_match\\(', '==\\s*[\'"]cshell[\'"]', 'file_exists\\(\\s*\\$FileBazaTXT', 'resultsign_warning', 'function\\s+getfirstshtag', 'file_get_contents\\(ROOT_DIR\\.[\'"]/templates/[\'"]\\.\\$config\\[[\'"]skin[\'"]\\]\\.[\'"]/main\\.tpl', 'new\\s+conectBase\\([\'"]aHR', '\\$id\\s*\\.\\s*[\'"]\\?d=[\'"]\\s*\\.\\s*base64_encode\\(\\s*\\$_SERVER\\[\\s*[\'"]HTTP_USER_AGENT', 'do_work\\(\\s*\\$index_file\\s*\\)', 'header\\s*\\(\\s*_\\d+\\(', 'By\\s+WebRooT', 'Coded\\s+by\\s+EXE', 'trim\\(\\s*\\$headers\\s*\\)\\s*\\)\\s*as\\s*\\$header\\s*\\)\\s*header\\(\\s*\\$header', '@\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]>[\'"]\\s*\\.\\s*[\'"]\\\\r\\\\n[\'"]', 'file_get_contents\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine', 'touch\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine', 'PHPSHELL_VERSION', '<\\?\\s*=@`\\$[a-zA-Z0-9_]+`', '&_SESSION\\[payload\\]=', 'gzuncompress\\(\\s*file_get_contents\\(\\s*[\'"]http', 'if\\(\\s*!empty\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}tp2[\'"]{0,1}\\s*\\]\\)\\s*and\\s*isset\\(\\s*\\$_POST', 'if\\(\\s*true\\s*&\\s*@preg_match\\(\\s*strtr\\(\\s*[\'"]/', '==\\s*0\\)\\s*{\\s*echo\\s*PHP_OS\\s*\\.\\s*\\$', 'isset\\(\\s*\\$_SERVER\\[\\s*_\\d+\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*\\?\\s*\\$_SERVER\\[\\s*_\\d+\\(\\d+\\)\\s*\\]\\s*:\\s*_\\d+\\(\\d+\\)', '\\$index\\s*=\\s*str_replace\\(\\s*[\'"]<\\?php\\s*ob_end_flush\\(\\);\\s*\\?>[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$index', '\\$status_loc_sh\\s*=\\s*file_exists', '\\$POST_STR\\s*=\\s*file_get_contents\\("php://input', 'ge\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]mes', '\\$table\\[\\$string\\[\\$i\\]\\]\\s*\\*\\s*pow\\(64\\s*,\\s*2\\)\\s*\\+\\s*\\$table', 'if\\(\\s*stripos\\(\\s*[\'"]\\*\\*\\*\\$ua', 'flush_end_file\\(\\s*\\$filename\\s*,\\s*\\$filecontent', 'preg_match\\(\\s*[\'"]{0,1}~Location:\\(\\.\\*\\?\\)\\(\\?:\\\\n\\|\\$', 'touch\\(\\s*\\$this->conf->root', '\\beval\\(\\s*\\${\\s*\\$[a-zA-Z0-9_]+\\s*}\\[', 'if\\s*\\(\\s*@filetype\\(\\$leadon\\s*\\.\\s*\\$file', 'file_put_contents\\(\\s*\\$dir\\s*\\.\\s*\\$file\\s*\\.\\s*[\'"]/index', 'filesize\\(\\s*\\$put_k_failu', 'age\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]{0,1}mes[\'"]\\]', 'function\\s+findHeaderLine\\s*\\(\\s*\\$template', '\\$status_create_glob_file\\s*=\\s*create_file', 'echo\\s+show_query_form\\(\\s*\\$sqlstring', '==\\s*FALSE\\s*\\?\\s*\\d+\\s*:\\s*ip2long', 'function\\s+mailer_spam', 'EditHtaccess\\(\\s*[\'"]RewriteEngine', '\\$pathToDor', '\\$cur_cat_id\\s*=\\s*\\(\\s*isset\\(\\s*\\$_GET', '@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\(\\s*@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\s*\\)\\s*\\)', 'header\\([\'"]Location:\\s*http://\\$pp\\.org', 'return\\s+[\'"]/home/[a-zA-Z0-9_]+/[a-zA-Z0-9_]+/', '[\'"]wp-[\'"]\\s*\\.\\s*generateRandomString', '\\$[a-zA-Z0-9_]+==[\'"]featured[\'"]\\s*\\)\\s*\\){\\s*echo\\s+base64_decode', '\\$[a-zA-Z0-9_]+\\s*=\\s*\\$jq\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]', 'exploit\\s*::\\.</title>', '\\$[a-zA-Z0-9_]+=str_replace\\([\'"]\\*a\\$\\*', 'chr\\(\\s*\\$[a-zA-Z0-9_]+\\s*\\);\\s*}\\s*eval\\(\\s*\\$[a-zA-Z0-9_]+', 'if\\(\\s*isInString1?\\(\\$[a-zA-Z0-9_]+,[\'"]google', '\\$pp\\s*=\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]', 'file_put_contents\\(DIR\\.[\'"]/[\'"]\\.[\'"]index\\.php', '@get_headers\\(\\s*\\$fullpath\\)', '@\\$_GET\\[[\'"]pw[\'"]\\]', 'json_encode\\(alexusMailer', '=[\'"]\\)\\);[\'"]\\)\\);', '=\\s*\\$[a-zA-Z0-9_]+\\(\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(', '\\]\\s*}\\s*\\(\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', 'request\\.servervariables\\(\\s*[\'"]HTTP_USER_AGENT[\'"]\\s*\\)\\s*,\\s*[\'"]Googlebot', 'eval\\([\'"]\\?>[\'"]\\s*\\.\\s*join\\([\'"][\'"],file\\(\\$', 'setopt\\(\\$ch\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*http_build_query\\(\\$data', 'mysql_connect\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'request\\.servervariables\\([\'"]HTTP_USER_AGENT[\'"]\\),[\'"]aidu[\'"]', '\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\${\\$', 'by\\s+Error\\s+7rB', '@ircservers\\[rand\\s+@ircservers\\]', 'set_time_limit\\(intval\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'nick\\s+[\'"]chanserv[\'"];', 'Magic\\s+Include\\s+Shell', '\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+=create_function\\([\'"][\'"],\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+\\(\\)', 'curlOpen\\(\\$remote_path\\.\\$param_value', 'fwrite\\(\\$fp,[\'"]\\\\xEF\\\\xBB\\\\xBF[\'"]\\.\\$body\\);', '\\$[a-zA-Z0-9_]+\\+\\+\\)\\s*{\\s*\\$[a-zA-Z0-9_]+\\s*=\\s*array_unique\\(array_merge\\(\\$[a-zA-Z0-9_]+\\s*,\\s*[a-zA-Z0-9_]+\\([\'"]\\$[a-zA-Z0-9_]+', 'and\\s*\\(!\\s*strstr\\(\\$ua,[\'"]rv:11[\'"]\\)\\)', 'echo\\s+\\$ok\\s+\\?\\s+[\'"]SHELL_OK[\'"]', ';eval\\(\\$todocontent\\[0\\]\\)', 'or\\s+strtolower\\(@ini_get\\([\'"]safe_mode', 'if\\(!isset\\(\\$_REQUEST\\[chr\\(', '\\$processo\\s*=\\s*\\$ps\\[rand\\s+scalar\\s+@ps\\]', 'echo\\s+[\'"]uname\\s+-a;\\s*\\$uname', '\\.tcpflood\\s+<target>', '\\$bot\\[[\'"]server[\'"]\\]=\\$servban\\[rand\\(0,count\\(', '\\.:\\s+w33d\\s+:\\.', 'BLACKUNIX\\s+CREW', ';\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$', 'case\\s*[\'"]create_symlink[\'"]:', 'socket_connect\\(\\$[a-zA-Z0-9_]+,\\s*[\'"]gmail-smtp-in\\.l\\.google\\.com[\'"]\\s*,\\s*25\\)\\s*==\\s*FALSE', 'call_user_func\\(@unhex\\(0x[a-zA-Z0-9_]+\\)\\(\\$_', '\\$_=@\\$_REQUEST\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\.@\\$_\\(\\$_REQUEST\\[', '\\$GLOBALS\\[\\$GLOBALS\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$GLOBALS\\[', '\\.\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\.[\'"]{[\'"]\\)\\);};unset\\(\\$', 'http_build_query\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\)\\.[\'"]&ip=[\'"]\\s*\\.\\s*\\$_SERVER', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]/sbin/ifconfig[\'"]', '<\\?php\\s+if\\s*\\(isset\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]images[\'"]\\]\\)\\)\\s*{\\$', '<title>GORDO\\s+20', 'copy\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)', 'sprintf\\([a-zA-Z0-9_]+\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\s*\\)', '=\\s*str_replace\\(\\s*[\'"]\\|\\|\\|[a-zA-Z0-9_]+\\|\\|\\|[\'"]\\s*,\\s*[\'"][\'"]', '\\$[a-zA-Z0-9_]+\\[0\\]=pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]\\);array_filter\\(\\$[a-zA-Z0-9_]+,pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]', 'eval\\(\\${\\${"', '--visitorTracker--', '<%--SuExp--%>', 'str_rot13\\(\\s*[\'"]riny', '\\$__a\\s*=\\s*str_replace\\(".",\\s*".",\\s*\\$__.\\);\\s*\\$__.\\s*=\\s*str_replace', 'echo\\s*exec\\([\'"]whoami[\'"]\\);', 'file_put_contents\\([\'"][a-zA-Z0-9_]+\\.php[\'"],\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\],FILE_APPEND\\);', '\\$dirpath\\.[\'"]/[\'"]\\.\\$value\\.[\'"]/wp-config\\.php[\'"]\\)\\.', 'array_diff_ukey\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[', '\\$[a-zA-Z0-9_]+=file_get_contents\\([\'"]http://www\\.ask\\.com/web\\?q=', 'if\\(!empty\\(\\s*\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\)\\){copy\\(\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\],\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\);}', 'register_shutdown_function\\s*\\(\\s*create_function\\(\\s*@?\\${\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*,\\s*@?\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\);', '@?filter_var\\s*\\(@?\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\s*\\(\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*=>\\s*\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\)\\s*;', 'if\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]!=\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\){extract\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\);\\s*usort\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\);}', 'declare\\(\\s*ticks=\\d+\\s*\\)\\s*;@?register_tick_function\\(\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\${[\'"]{0,1}_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]{0,1}}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\);', 'define\\([a-zA-Z0-9_]+\\s*,\\s*\\$_SERVER\\[[a-zA-Z0-9_]+\\]\\);\\s*@?register_shutdown_function\\(\\s*create_function\\(\\$[a-zA-Z0-9_]+,[a-zA-Z0-9_]+\\)\\s*\\);', '\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}=@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES);@?!\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]&&@?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\)\\?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}:@?@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\);', 'setcookie\\([\'"][a-zA-Z0-9_]+[\'"]\\s*,\\s*serialize\\(@?\\$_<GPC>\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)', '</div>\\s*<%--PortScan--%>', 'GIF89...<\\?php', '\\$[a-zA-Z0-9_]+\\s*=\\s*fopen\\([\'"][a-zA-Z0-9_]+\\.php[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\);\\s*fputs\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\);\\s*fclose\\(\\$[a-zA-Z0-9_]+\\);\\s*unlink\\(__FILE__\\);', 'CreateJoomCode\\(\\$[a-zA-Z0-9_]+\\);', 'function\\s+CreateWpCode', '<br>[\'"]\\.php_uname\\(\\)\\.[\'"]<br></b>', 'if\\(\\$[a-zA-Z0-9_]+\\s*=\\s*@?strpos\\(\\$[a-zA-Z0-9_]+,"check_meta\\(\\);"\\)\\)', 'if\\(isset\\(\\$_GET\\[[\'"]install[\'"]\\]\\)\\){\\s*\\$db->exec\\([\'"]CREATE TABLE IF NOT EXISTS article', 'arr2html\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\);', 'function\\s+get_text_fr_serv\\(\\s*\\$url_s', 'function\\s+curl_get_from_webpage_one_time\\(\\s*\\$url', '\\$article\\d+\\s*=\\s*explode\\("\\#\\#\\#",\\$str\\d+\\)', 'echo\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\s*.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]', 'file_get_contents\\([\'"]http://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,45}\\.php\\?h=', 'class\\s*LLM_base', 'fn_dolly_get_filename_from_headers', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}', '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}', 'eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*\\$\\w{1,45}\\)\\s*;', 'if\\s*\\(!\\s*\\$_POST\\s*\\[[\'"]to[\'"]\\]\\s*&&\\s*!\\s*\\$_GET\\s*\\[[\'"]ch[\'"]\\]\\s*&&\\s*count', 'google\'\\)\\s*!==\\s*false\\s*\\)\\s*\\\\{\\s*header\\(\'HTTP/1\\.0\\s*404', 'call_user_func\\(\\$\\w{1,45},\'\\$code=function', 'eval\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', 'assert\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[', '<b>eval\\s*\\(\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\s*\\(', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]wget', '==[\'"]\\)\\);return;\\?>', 'uggc://', '\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]=chr\\(\\$[a-zA-Z0-9_]+\\[ord\\(\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\)\\]\\);', '\\$[a-zA-Z0-9_]+\\[chr\\(\\d+\\)\\]\\([a-zA-Z0-9_]+\\(', '\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)', '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\["', '\\$[a-zA-Z0-9_]+=array\\([\'"]\\$[a-zA-Z0-9_]+\\[\\s*\\]=array_pop\\(\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+', '\\$[a-zA-Z0-9_]+=pack\\([\'"]H\\*[\'"],substr\\(\\$[a-zA-Z0-9_]+,\\s*-\\d+\\)\\);\\s*return\\s+\\$[a-zA-Z0-9_]+\\(substr\\(', '\\$[a-zA-Z0-9_]+\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\[', '</form>[\'"];if\\(isset\\(\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){if\\(is_uploaded_file\\(\\$_FILES\\[[\'"]\\w{1,45}[\'"]\\]\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){@copy\\(\\$_FILES', '\\./host\\s+encrypt\\s+publickey\\.pub\\s+[\'"]/home', '\\$res_el\\[[\'"]link[\'"]\\]\\.[\'"]-\\|\\|-good[\'"]', '=\\s*explode\\([\'"]_\\|\\|_[\'"],\\$_POST', '\\$current\\s*=\\s*file_get_contents\\([\'"]http://.{0,500}?\\$id[\'"]\\);\\s*file_put_contents\\(\\$id,\\s*\\$current\\);', '\\$domain\\s*=\\s*\\$domains\\[array_rand\\(\\$domains,\\s*1\\)\\];\\s*\\$url', '\\$\\w{1,45}\\s*=\\s*\\$\\w{1,45}\\.[\'"]/api\\.php\\?action=fulltxt&config=[\'"]\\.\\$\\w{1,45}\\.[\'"]&\\w{1,45}=[\'"]\\.\\$\\w{1,45};', '\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\);@eval', 'function\\s*rs2html\\(&\\$rs,\\$ztabhtml=false,\\$zheaderarray=false', 'if\\(isset\\(\\$_GET\\[[\'"]p[\'"]\\]\\)\\)\\s*{\\s*header\\([\'"]Content-Type:\\s*text/html;charset=windows-1251[\'"]\\);\\s*\\$path=\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]', 'session_write_close\\(\\);\\s*LocalRedirect\\(\\$download_dir', 'GetThisIp\\(\\);\\s*if\\(\\$action\\s*==\\s*"fileinfo', 'if\\s*\\(\\s*s\\.indexOf\\([\'"]google[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]bing[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]yahoo[\'"]\\)', '@chmod\\([\'"]\\.htaccess[\'"],\\d+\\);\\s*@chmod\\([\'"]index\\.php[\'"],\\d+\\);', 'ping\\s+-c\\s+[\'"]\\s*\\.\\s*\\$ping_count', 'Antichat\\s+Socks5', 'function\\s+BridgeEstablish2', 'function\\s*__obfuscate_redirect', '\\$_POST\\[\\s*[\'"]pwd[\'"]\\]=[\'"]Weak\\s+Liver', '\\[BITRIX\\]\\s*\\[WordPress\\]\\s*\\[osCommerce\\]\\s*\\[Joomla\\]</h3>', '<title>\\s*Kazuya404', 'if \\(@\\$array\\[\\d+\\] == \\d+\\)\\s*{\\s*header\\s*\\(\\s*[\'"]Location:\\s*\\$url', 'if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]proxy[\'"]\\]\\s*\\)\\s*\\)\\s*{\\s*curl_setopt', '\\b(include|include_once|require|require_once)\\s*\\(\\s*\\$path\\s*\\.\\s*\\$_', 'die\\(substr\\(md5\\(microtime\\(\\)\\)\\s*,', 'function mkdirr\\(\\$pn,\\$mode=null', '\\]}\\){return self::MOBILE_GRADE_A;}', 'if\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\'\\w{1,45}\'\\]\\s*\\)\\s*{\\s*echo\\s*"OK";\\s*exit\\s*\\(\\s*\\);\\s*}', '\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(file_get_contents\\([\'"]http://', '}\\s*=\\s*file_get_contents\\([\'"]http://', 'if\\s*\\(\\s*is_mobile\\(\\s*\\)\\s*\\)\\s*exit\\([\'"]<script', '\\$\\w{1,45}\\s*,\\s*"\\.php\\.suspected"', '\\$\\w{1,45}\\s*=\\s*\\$_GET\\["link"\\];\\s*switch\\s*\\(\\$\\w{1,45}\\)\\s*{\\s*case\\s*"[a-zA-Z0-9_]+"\\s*:\\s*\\$\\w{1,45}="http', 'include_once\\(urldecode\\(', 'gethttpcnt\\(\\$url\\s*,\\s*\\$timeout', ';eval\\(""\\);if', '\\.php";@file_put_contents\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}\\);echo\\s*"http', '@preg_replace\\(\\$exif\\[[\'"]{0,1}ImageDescription', '\\$testcloack\\s*=\\s*cloack\\(\\s*\\$ip\\s*\\)', 'function\\s*get_exec_local', 'preg_match\\("/\\$engines/"\\s*,\\s*\\$_SERVER', 'preg_match\\("/\\$spider/"\\s*,\\s*\\$uagent', 'echo\\s*eval\\s*/\\*\\*/\\s*\\(\'\\?>\'\\s*\\.\\s*join\\(""\\s*,\\s*file'); public static function optimizeSig(&$sigs) { $sigs = array_unique($sigs); foreach ($sigs as &$s) { $s .= '(?<X' . hash('crc32b', $s) . '>)'; } unset($s); $fix = array('([^\\?\\s])\\({0,1}\\.[\\+\\*]\\){0,1}\\2[a-z]*e' => '(?J)\\.[+*](?<=(?<d>[^\\?\\s])\\(..|(?<d>[^\\?\\s])..)\\)?\\g{d}[a-z]*e', 'http://.+?/.+?\\.php\\?a' => 'http://[^?\\s]++(?<=\\.php)\\?a', '\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*' => '.+?', '[\'"]{0,1}.+?[\'"]{0,1}' => '.+?'); $sigs = str_replace(array_keys($fix), array_values($fix), $sigs); $fix = array('~^\\\\[d]\\+&@~' => '&@(?<=\\d..)', '~^((\\[\'"\\]|\\\\s|@)(\\{0,1\\}\\.?|[?*]))+~' => ''); $sigs = preg_replace(array_keys($fix), array_values($fix), $sigs); self::optimizeSigCheck($sigs); $tmp = array(); foreach ($sigs as $i => $s) { if (!preg_match('#^(?>(?!\\.[*+]|\\\\\\d)(?:\\\\.|\\[.+?\\]|.))+$#', $s)) { unset($sigs[$i]); $tmp[] = $s; } } usort($sigs, 'strcasecmp'); $txt = implode('
 ', $sigs); for ($i = 24; $i >= 1; $i > 4 ? $i -= 4 : --$i) { $txt = preg_replace_callback('#^((?>(?:\\\\.|\\[.+?\\]|[^(\\n]|\\((?:\\\\.|[^)(\\n])++\\))(?:[*?+]\\+?|\\{\\d+(?:,\\d*)?\\}[+?]?|)){' . $i . ',})[^\\n]*+(?:\\n\\1(?![{?*+]).+)+#im', array(__CLASS__, 'optimizeMergePrefixes'), $txt); } $sigs = array_merge(explode('
 ', $txt), $tmp); self::optimizeSigCheck($sigs); } public static function optimizeMergePrefixes($m) { $limit = 8000; $prefix = $m[1]; $prefix_len = strlen($prefix); $len = $prefix_len; $r = array(); $suffixes = array(); foreach (explode('
 ', $m[0]) as $line) { if (strlen($line) > $limit) { $r[] = $line; continue; } $s = substr($line, $prefix_len); $len += strlen($s); if ($len > $limit) { if (count($suffixes) == 1) { $r[] = $prefix . $suffixes[0]; } else { $r[] = $prefix . '(?:' . implode('|', $suffixes) . ')'; } $suffixes = array(); $len = $prefix_len + strlen($s); } $suffixes[] = $s; } if (!empty($suffixes)) { if (count($suffixes) == 1) { $r[] = $prefix . $suffixes[0]; } else { $r[] = $prefix . '(?:' . implode('|', $suffixes) . ')'; } } return implode('
 ', $r); } private static function optimizeSigCheck(&$sigs) { $result = true; foreach ($sigs as $k => $sig) { if (trim($sig) == '') { unset($sigs[$k]); $result = false; } if (@preg_match('#' . $sig . '#smiS', '') === false) { unset($sigs[$k]); $result = false; } } return $result; } }; class Flag { public $name, $callback, $aliases = array(), $hasValue = false, $defaultValue, $var, $help; public function __construct($name, $options = array(), $callback = null) { $this->name = $name; $this->callback = $callback; $this->aliases = array_merge(array("--{$name}"), (array) @$options['alias']); $this->defaultValue = @$options['default']; $this->hasValue = (bool) @$options['has_value']; $this->help = @$options['help']; if (array_key_exists('var', $options)) { $this->var =& $options['var']; } } public function __toString() { $s = join('|', $this->aliases); if ($this->hasValue) { $s = "{$s} <{$this->name}>"; } return "[{$s}]"; } }; class Deobfuscator { private $full_code = ''; public function deobfuscate($str) { $str = str_replace(array('.\'\'', '\'\'.', '.""', '"".'), '', $str); $this->full_code = $str; $type = $this->getObfuscateType($str); if (empty($type)) { $str_decoded = $this->decode($str); $type = $this->getObfuscateType($str_decoded); if (!empty($type)) { $str = $str_decoded; } } switch ($type) { case '_GLOBALS_': $str = $this->deobfuscate_bitrix($str); break; case 'eval': $str = $this->deobfuscate_eval($str); break; case 'ALS-Fullsite': $str = $this->deobfuscate_als($str); break; case 'LockIt!': $str = $this->deobfuscate_lockit($str); break; case 'FOPO': $str = $this->deobfuscate_fopo($str); break; case 'ByteRun': $str = $this->deobfuscate_byterun($str); break; case 'urldecode_globals': $str = $this->deobfuscate_urldecode($str); break; } return $str; } public function decode($code) { preg_match_all('/<\\?php(.*?)(?!\\B"[^"]*)(\\?>|$|)(?![^"]*"\\B)/si', $code, $matches_php); foreach ($matches_php as $match_php) { $match_php = preg_replace('/<\\?php(.*?)(?!\\B"[^"]*)(\\?>|$)(?![^"]*"\\B)/si', '$1', $match_php[0]); $str = preg_replace('/(\\\'|\\")[\\s
 ]*\\.[\\s
 ]*(\'|")/si', '', $match_php); $str = preg_replace('/([\\s]+)/i', ' ', $str); $str = preg_replace_callback('/\\\\x[A-Fa-f0-9]{2}/si', function ($match) { return @hex2bin(str_replace('\\x', '', $match[0])); }, $str); $str = preg_replace_callback('/\\\\[0-9]{3}/si', function ($match) { return chr(intval($match[0])); }, $str); $decoders = array('str_rot13', 'gzinflate', 'base64_decode', 'rawurldecode', 'gzuncompress', 'strrev', 'convert_uudecode', 'urldecode'); $pattern_decoder = array(); foreach ($decoders as $decoder) { $pattern_decoder[] = preg_quote($decoder, '/'); } $last_match = null; $recursive_loop = true; do { $regex_pattern = '/((' . implode($pattern_decoder, '|') . ')[\\s\\r\\n]*\\((([^()]|(?R))*)?\\))/si'; preg_match($regex_pattern, $str, $match); if ($recursive_loop && preg_match('/(\\((?:\\"|\\\')(([^\\\'\\"]|(?R))*?)(?:\\"|\\\')\\))/si', $match[0], $encoded_match)) { $value = $encoded_match[3]; $decoders_found = array_reverse(explode('(', $match[0])); foreach ($decoders_found as $decoder) { if (in_array($decoder, $decoders)) { if (is_string($value) && !empty($value)) { $value = $decoder($value); } } } if (is_string($value) && !empty($value)) { $value = str_replace('"', '\'', $value); $value = '"' . $value . '"'; $str = str_replace($match[0], $value, $str); } else { $recursive_loop = false; } } else { $recursive_loop = false; } } while (!empty($match[0]) && $recursive_loop); $code = str_replace($match_php, $str, $code); } return $code; } private function deobfuscate_bitrix($str) { $res = $str; $funclist = array(); $res = preg_replace('|["\']\\s*\\.\\s*[\'"]|smi', '', $res); $res = preg_replace_callback('~(?:min|max)\\(\\s*\\d+[\\,\\|\\s\\|+\\|\\-\\|\\*\\|\\/][\\d\\s\\.\\,\\+\\-\\*\\/]+\\)~ms', array($this, 'calc'), $res); $res = preg_replace_callback('|(round\\((.+?)\\))|smi', function ($matches) { return round($matches[2]); }, $res); $res = preg_replace_callback('|base64_decode\\(["\'](.*?)["\']\\)|smi', function ($matches) { return '\'' . base64_decode($matches[1]) . '\''; }, $res); $res = preg_replace_callback('|["\'](.*?)["\']|sm', function ($matches) { $temp = base64_decode($matches[1]); if (base64_encode($temp) === $matches[1] && preg_match('#^[ -~]*$#', $temp)) { return '\'' . $temp . '\''; } else { return '\'' . $matches[1] . '\''; } }, $res); if (preg_match_all('|\\$(?:\\{(?:"|\'))?GLOBALS(?:(?:"|\')\\})?\\[(?:"|\')(.+?)(?:"|\')\\]\\s*=\\s*Array\\((.+?)\\);|smi', $res, $founds, PREG_SET_ORDER)) { foreach ($founds as $found) { $varname = $found[1]; $funclist[$varname] = explode(',', $found[2]); $funclist[$varname] = array_map(function ($value) { return trim($value, '\''); }, $funclist[$varname]); $res = preg_replace_callback('|\\$(?:\\{(?:"|\'))?GLOBALS(?:(?:"|\')\\})?\\[\'' . $varname . '\'\\]\\[(\\d+)\\]|smi', function ($matches) use($varname, $funclist) { return $funclist[$varname][$matches[1]]; }, $res); } } if (preg_match_all('|function\\s*(\\w{1,60})\\(\\$\\w+\\){\\$\\w{1,60}\\s*=\\s*Array\\((.{1,30000}?)\\);[^}]+}|smi', $res, $founds, PREG_SET_ORDER)) { foreach ($founds as $found) { $strlist = explode(',', $found[2]); $res = preg_replace_callback('|' . $found[1] . '\\((\\d+)\\)|smi', function ($matches) use($strlist) { return $strlist[$matches[1]]; }, $res); } } $res = preg_replace('~<\\?(php)?\\s*\\?>~smi', '', $res); if (preg_match_all('~<\\?\\s*function\\s*(_+(.{1,60}?))\\(\\$[_0-9]+\\)\\{\\s*static\\s*\\$([_0-9]+)\\s*=\\s*(true|false);.{1,30000}?\\$\\3=array\\((.*?)\\);\\s*return\\s*base64_decode\\(\\$\\3~smi', $res, $founds, PREG_SET_ORDER)) { foreach ($founds as $found) { $strlist = explode('\',', $found[5]); $res = preg_replace_callback('|' . $found[1] . '\\((\\d+)\\)|sm', function ($matches) use($strlist) { return $strlist[$matches[1]] . '\''; }, $res); } } return $res; } private function calc($expr) { if (is_array($expr)) { $expr = $expr[0]; } preg_match('~(min|max)?\\(([^\\)]+)\\)~msi', $expr, $expr_arr); if ($expr_arr[1] == 'min' || $expr_arr[1] == 'max') { return $expr_arr[1](explode(',', $expr_arr[2])); } else { preg_match_all('~([\\d\\.]+)([\\*\\/\\-\\+])?~', $expr, $expr_arr); if (in_array('*', $expr_arr[2]) !== false) { $pos = array_search('*', $expr_arr[2]); $res = $expr_arr[1][$pos] * $expr_arr[1][$pos + 1]; $expr = str_replace($expr_arr[1][$pos] . '*' . $expr_arr[1][$pos + 1], $res, $expr); $expr = $this->calc($expr); } elseif (in_array('/', $expr_arr[2]) !== false) { $pos = array_search('/', $expr_arr[2]); $res = $expr_arr[1][$pos] / $expr_arr[1][$pos + 1]; $expr = str_replace($expr_arr[1][$pos] . '/' . $expr_arr[1][$pos + 1], $res, $expr); $expr = $this->calc($expr); } elseif (in_array('-', $expr_arr[2]) !== false) { $pos = array_search('-', $expr_arr[2]); $res = $expr_arr[1][$pos] - $expr_arr[1][$pos + 1]; $expr = str_replace($expr_arr[1][$pos] . '-' . $expr_arr[1][$pos + 1], $res, $expr); $expr = $this->calc($expr); } elseif (in_array('+', $expr_arr[2]) !== false) { $pos = array_search('+', $expr_arr[2]); $res = $expr_arr[1][$pos] + $expr_arr[1][$pos + 1]; $expr = str_replace($expr_arr[1][$pos] . '+' . $expr_arr[1][$pos + 1], $res, $expr); $expr = $this->calc($expr); } else { return $expr; } return $expr; } } private function my_eval($matches) { $string = $matches[0]; $string = substr($string, 5, strlen($string) - 7); return $this->decodeString($string); } private function decodeString($string, $level = 0) { if (trim($string) == '') { return ''; } if ($level > 100) { return ''; } if ($string[0] == '\'' || $string[0] == '"') { return substr($string, 1, strlen($string) - 2); } elseif ($string[0] == '$') { $string = str_replace(')', '', $string); preg_match_all('~\\' . $string . '\\s*=\\s*(\'|")([^"\']+)(\'|")~msi', $this->full_code, $matches); return $matches[2][0]; } else { $pos = strpos($string, '('); $function = substr($string, 0, $pos); $arg = $this->decodeString(substr($string, $pos + 1), $level + 1); if (strtolower($function) == 'base64_decode') { return @base64_decode($arg); } else { if (strtolower($function) == 'gzinflate') { return @gzinflate($arg); } else { if (strtolower($function) == 'gzuncompress') { return @gzuncompress($arg); } else { if (strtolower($function) == 'strrev') { return @strrev($arg); } else { if (strtolower($function) == 'str_rot13') { return @str_rot13($arg); } else { return $arg; } } } } } } } private function deobfuscate_eval($str) { $res = preg_replace_callback('~eval\\((base64_decode|gzinflate|strrev|str_rot13|gzuncompress).*?\\);~msi', array($this, 'my_eval'), $str); return str_replace($str, $res, $this->full_code); } private function getEvalCode($string) { preg_match('/eval\\((.*?)\\);/', $string, $matches); return empty($matches) ? '' : end($matches); } private function getTextInsideQuotes($string) { if (preg_match_all('/("(.*?)")/', $string, $matches)) { return @end(end($matches)); } elseif (preg_match_all('/(\'(.*?)\')/', $string, $matches)) { return @end(end($matches)); } else { return ''; } } private function deobfuscate_lockit($str) { $obfPHP = $str; $phpcode = base64_decode($this->getTextInsideQuotes($this->getEvalCode($obfPHP))); $hexvalues = $this->getHexValues($phpcode); $tmp_point = $this->getHexValues($obfPHP); $pointer1 = hexdec($tmp_point[0]); $pointer2 = hexdec($hexvalues[0]); $pointer3 = hexdec($hexvalues[1]); $needles = $this->getNeedles($phpcode); $needle = $needles[count($needles) - 2]; $before_needle = end($needles); $phpcode = base64_decode(strtr(substr($obfPHP, $pointer2 + $pointer3, $pointer1), $needle, $before_needle)); return "<?php {$phpcode} ?>"; } private function getNeedles($string) { preg_match_all('/\'(.*?)\'/', $string, $matches); return empty($matches) ? array() : $matches[1]; } private function getHexValues($string) { preg_match_all('/0x[a-fA-F0-9]{1,8}/', $string, $matches); return empty($matches) ? array() : $matches[0]; } private function deobfuscate_als($str) { preg_match('~__FILE__;\\$[O0]+=[0-9a-fx]+;eval\\(\\$[O0]+\\(\'([^\']+)\'\\)\\);return;~msi', $str, $layer1); preg_match('~\\$[O0]+=(\\$[O0]+\\()+\\$[O0]+,[0-9a-fx]+\\),\'([^\']+)\',\'([^\']+)\'\\)\\);eval\\(~msi', base64_decode($layer1[1]), $layer2); $res = explode('?>', $str); if (strlen(end($res)) > 0) { $res = substr(end($res), 380); $res = base64_decode(strtr($res, $layer2[2], $layer2[3])); } return "<?php {$res} ?>"; } private function deobfuscate_byterun($str) { preg_match('~\\$_F=__FILE__;\\$_X=\'([^\']+)\';\\s*eval\\s*\\(\\s*\\$?\\w{1,60}\\s*\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;~msi', $str, $matches); $res = base64_decode($matches[1]); $res = strtr($res, '123456aouie', 'aouie123456'); return '<?php ' . str_replace($matches[0], $res, $this->full_code) . ' ?>'; } private function deobfuscate_urldecode($str) { preg_match('~(\\$[O0_]+)=urldecode\\("([%0-9a-f]+)"\\);((\\$[O0_]+=(\\1\\{\\d+\\}\\.?)+;)+)~msi', $str, $matches); $alph = urldecode($matches[2]); $funcs = $matches[3]; for ($i = 0; $i < strlen($alph); $i++) { $funcs = str_replace($matches[1] . '{' . $i . '}.', $alph[$i], $funcs); $funcs = str_replace($matches[1] . '{' . $i . '}', $alph[$i], $funcs); } $str = str_replace($matches[3], $funcs, $str); $funcs = explode(';', $funcs); foreach ($funcs as $func) { $func_arr = explode('=', $func); if (count($func_arr) == 2) { $func_arr[0] = str_replace('$', '', $func_arr[0]); $str = str_replace('${"GLOBALS"}["' . $func_arr[0] . '"]', $func_arr[1], $str); } } return $str; } private function formatPHP($string) { $string = str_replace('<?php', '', $string); $string = str_replace('?>', '', $string); $string = str_replace(PHP_EOL, '', $string); $string = str_replace(';', ';
-', $string); return $string; } private function deobfuscate_fopo($str) { $phpcode = $this->formatPHP($str); $phpcode = base64_decode($this->getTextInsideQuotes($this->getEvalCode($phpcode))); @($phpcode = gzinflate(base64_decode(str_rot13($this->getTextInsideQuotes(end(explode(':', $phpcode))))))); $old = ''; while ($old != $phpcode && strlen(strstr($phpcode, '@eval($')) > 0) { $old = $phpcode; $funcs = explode(';', $phpcode); if (count($funcs) == 5) { $phpcode = gzinflate(base64_decode(str_rot13($this->getTextInsideQuotes($this->getEvalCode($phpcode))))); } else { if (count($funcs) == 4) { $phpcode = gzinflate(base64_decode($this->getTextInsideQuotes($this->getEvalCode($phpcode)))); } } } return substr($phpcode, 2); } private function getObfuscateType($str) { $str = str_replace(array('.\'\'', '\'\'.', '.""', '"".'), '', $str); if (preg_match('~\\$(?:\\{(?:"|\'))?GLOBALS(?:(?:"|\')\\})?\\[\\s*[\'"]_+\\w{1,60}[\'"]\\s*\\]\\s*=\\s*\\s*(?:array\\s*\\(|\\[)\\s*base64_decode\\s*\\(~msi', $str)) { return '_GLOBALS_'; } if (preg_match('~function\\s*_+\\d+\\s*\\(\\s*\\$i\\s*\\)\\s*{\\s*\\$a\\s*=\\s*(?:Array|\\[)~msi', $str)) { return '_GLOBALS_'; } if (preg_match('~__FILE__;\\$[O0]+=[0-9a-fx]+;eval\\(\\$[O0]+\\(\'([^\']+)\'\\)\\);return;~msi', $str)) { return 'ALS-Fullsite'; } if (preg_match('~\\$[O0]*=urldecode\\(\'%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64\'\\);\\s*\\$(?:(?:"|\')\\})?GLOBALS(?:(?:"|\')\\})?\\[\'[O0]*\'\\]=\\$[O0]*~msi', $str)) { return 'LockIt!'; } if (preg_match('~\\$\\w+="(\\\\x?[0-9a-f]+){13}";@eval\\(\\$\\w+\\(~msi', $str)) { return 'FOPO'; } if (preg_match('~\\$_F=__FILE__;\\$_X=\'([^\']+\');eval\\(~ms', $str)) { return 'ByteRun'; } if (preg_match('~(\\$[O0_]+)=urldecode\\("([%0-9a-f]+)"\\);((\\$[O0_]+=(\\1\\{\\d+\\}\\.?)+;)+)~msi', $str)) { return 'urldecode_globals'; } if (preg_match('~eval\\((base64_decode|gzinflate|strrev|str_rot13|gzuncompress)~msi', $str)) { return 'eval'; } return null; } }; class Application { public static $NAME = 'amwscan'; public static $VERSION = "0.5.0.64"; public static $ROOT = './'; public static $PATH_QUARANTINE = '/quarantine/'; public static $PATH_LOGS = '/scanner.log'; public static $PATH_LOGS_INFECTED = '/scanner_infected.log'; public static $PATH_WHITELIST = '/scanner_whitelist.csv'; public static $MAX_FILESIZE = -1; public static $SCAN_PATH = './'; public static $SCAN_EXTENSIONS = array('php', 'php3', 'ph3', 'php4', 'ph4', 'php5', 'ph5', 'php7', 'ph7', 'phtm', 'phtml', 'ico'); public static $ARGV = array(); public static $WHITELIST = array(); public static $FUNCTIONS = array(); public static $EXPLOITS = array(); public static $summary_scanned = 0; public static $summary_detected = 0; public static $summary_removed = array(); public static $summary_ignored = array(); public static $summary_edited = array(); public static $summary_quarantine = array(); public static $summary_whitelist = array(); public function __construct() { } private function init() { if (self::$ROOT == './') { self::$ROOT = dirname(__FILE__); } if (self::$SCAN_PATH == './') { self::$SCAN_PATH = dirname(__FILE__); } self::$PATH_QUARANTINE = self::$ROOT . self::$PATH_QUARANTINE; self::$PATH_LOGS = self::$ROOT . self::$PATH_LOGS; self::$PATH_WHITELIST = self::$ROOT . self::$PATH_WHITELIST; self::$PATH_LOGS_INFECTED = self::$ROOT . self::$PATH_LOGS_INFECTED; self::$WHITELIST = CSV::read(self::$PATH_WHITELIST); Definitions::optimizeSig(Definitions::$SIGNATURES); } public function run() { try { if (function_exists('gc_enable') && (function_exists('gc_enable') && !gc_enabled())) { gc_enable(); } Console::header(); $this->init(); $this->arguments(); $this->modes(); Console::displayLine('Start scanning...'); Console::writeLine('Scan date: ' . date('d-m-Y H:i:s')); Console::writeLine('Scanning ' . self::$SCAN_PATH, 2); Console::writeLine('Mapping files...'); $iterator = $this->mapping(); $files_count = iterator_count($iterator); Console::writeLine('Found ' . $files_count . ' files', 2); Console::writeLine('Checking files...', 2); Console::progress(0, $files_count); $this->scan($iterator); Console::writeBreak(2); Console::write('Scan finished!', 'green'); Console::writeBreak(3); $this->summary(); } catch (\Exception $e) { Console::writeBreak(); Console::writeLine($e->getMessage(), 1, 'red'); } } private function arguments() { self::$ARGV = new Argv(); self::$ARGV->addFlag('agile', array('alias' => '-a', 'default' => false)); self::$ARGV->addFlag('help', array('alias' => '-h', 'default' => false)); self::$ARGV->addFlag('log', array('alias' => '-l', 'default' => null, 'has_value' => true)); self::$ARGV->addFlag('report', array('alias' => '-r', 'default' => false)); self::$ARGV->addFlag('version', array('alias' => '-v', 'default' => false)); self::$ARGV->addFlag('update', array('alias' => '-u', 'default' => false)); self::$ARGV->addFlag('only-signatures', array('alias' => '-s', 'default' => false)); self::$ARGV->addFlag('only-exploits', array('alias' => '-e', 'default' => false)); self::$ARGV->addFlag('only-functions', array('alias' => '-f', 'default' => false)); self::$ARGV->addFlag('list', array('default' => false)); self::$ARGV->addFlag('list-exploits', array('default' => false)); self::$ARGV->addFlag('list-functions', array('default' => false)); self::$ARGV->addFlag('exploits', array('default' => false, 'has_value' => true)); self::$ARGV->addFlag('functions', array('default' => false, 'has_value' => true)); self::$ARGV->addFlag('whitelist-only-path', array('default' => false)); self::$ARGV->addFlag('max-filesize', array('default' => -1, 'has_value' => true)); self::$ARGV->addArgument('path', array('var_args' => true, 'default' => '')); self::$ARGV->parse(); if (isset(self::$ARGV['version']) && self::$ARGV['version']) { die; } if (isset(self::$ARGV['help']) && self::$ARGV['help']) { Console::helper(); } if (isset(self::$ARGV['list']) && self::$ARGV['list']) { Console::helplist(); } if (isset(self::$ARGV['list-exploits']) && self::$ARGV['list-exploits']) { Console::helplist('exploits'); } if (isset(self::$ARGV['list-functions']) && self::$ARGV['list-functions']) { Console::helplist('functions'); } if (isset(self::$ARGV['update']) && self::$ARGV['update']) { self::update(); } if (isset(self::$ARGV['report']) && self::$ARGV['report']) { $_REQUEST['report'] = true; } else { $_REQUEST['report'] = false; } if (isset(self::$ARGV['max-filesize']) && self::$ARGV['max-filesize']) { self::$MAX_FILESIZE = trim(self::$ARGV['max-filesize']); if (!is_numeric(self::$ARGV['max-filesize'])) { self::$MAX_FILESIZE = self::convertToBytes(self::$MAX_FILESIZE); } } if (isset(self::$ARGV['log']) && !empty(self::$ARGV['log'])) { $_REQUEST['log'] = true; if (is_string(self::$ARGV['log'])) { self::$PATH_LOGS = self::$ARGV['log']; } } else { $_REQUEST['log'] = false; } if (isset(self::$ARGV['whitelist-only-path']) && self::$ARGV['whitelist-only-path']) { $_REQUEST['whitelist-only-path'] = true; } else { $_REQUEST['whitelist-only-path'] = false; } if (isset(self::$ARGV['exploits']) && self::$ARGV['exploits']) { if (is_string(self::$ARGV['exploits'])) { $filtered = str_replace(array('
+', $string); return $string; } private function deobfuscate_fopo($str) { $phpcode = $this->formatPHP($str); $phpcode = base64_decode($this->getTextInsideQuotes($this->getEvalCode($phpcode))); @($phpcode = gzinflate(base64_decode(str_rot13($this->getTextInsideQuotes(end(explode(':', $phpcode))))))); $old = ''; while ($old != $phpcode && strlen(strstr($phpcode, '@eval($')) > 0) { $old = $phpcode; $funcs = explode(';', $phpcode); if (count($funcs) == 5) { $phpcode = gzinflate(base64_decode(str_rot13($this->getTextInsideQuotes($this->getEvalCode($phpcode))))); } else { if (count($funcs) == 4) { $phpcode = gzinflate(base64_decode($this->getTextInsideQuotes($this->getEvalCode($phpcode)))); } } } return substr($phpcode, 2); } private function getObfuscateType($str) { $str = str_replace(array('.\'\'', '\'\'.', '.""', '"".'), '', $str); if (preg_match('~\\$(?:\\{(?:"|\'))?GLOBALS(?:(?:"|\')\\})?\\[\\s*[\'"]_+\\w{1,60}[\'"]\\s*\\]\\s*=\\s*\\s*(?:array\\s*\\(|\\[)\\s*base64_decode\\s*\\(~msi', $str)) { return '_GLOBALS_'; } if (preg_match('~function\\s*_+\\d+\\s*\\(\\s*\\$i\\s*\\)\\s*{\\s*\\$a\\s*=\\s*(?:Array|\\[)~msi', $str)) { return '_GLOBALS_'; } if (preg_match('~__FILE__;\\$[O0]+=[0-9a-fx]+;eval\\(\\$[O0]+\\(\'([^\']+)\'\\)\\);return;~msi', $str)) { return 'ALS-Fullsite'; } if (preg_match('~\\$[O0]*=urldecode\\(\'%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64\'\\);\\s*\\$(?:(?:"|\')\\})?GLOBALS(?:(?:"|\')\\})?\\[\'[O0]*\'\\]=\\$[O0]*~msi', $str)) { return 'LockIt!'; } if (preg_match('~\\$\\w+="(\\\\x?[0-9a-f]+){13}";@eval\\(\\$\\w+\\(~msi', $str)) { return 'FOPO'; } if (preg_match('~\\$_F=__FILE__;\\$_X=\'([^\']+\');eval\\(~ms', $str)) { return 'ByteRun'; } if (preg_match('~(\\$[O0_]+)=urldecode\\("([%0-9a-f]+)"\\);((\\$[O0_]+=(\\1\\{\\d+\\}\\.?)+;)+)~msi', $str)) { return 'urldecode_globals'; } if (preg_match('~eval\\((base64_decode|gzinflate|strrev|str_rot13|gzuncompress)~msi', $str)) { return 'eval'; } return null; } }; class Application { public static $NAME = 'amwscan'; public static $VERSION = "0.5.0.67"; public static $ROOT = './'; public static $PATH_QUARANTINE = '/quarantine/'; public static $PATH_LOGS = '/scanner.log'; public static $PATH_LOGS_INFECTED = '/scanner_infected.log'; public static $PATH_WHITELIST = '/scanner_whitelist.csv'; public static $MAX_FILESIZE = -1; public static $SCAN_PATH = './'; public static $SCAN_EXTENSIONS = array('php', 'php3', 'ph3', 'php4', 'ph4', 'php5', 'ph5', 'php7', 'ph7', 'phtm', 'phtml', 'ico'); public static $ARGV = array(); public static $WHITELIST = array(); public static $FUNCTIONS = array(); public static $EXPLOITS = array(); public static $summary_scanned = 0; public static $summary_detected = 0; public static $summary_removed = array(); public static $summary_ignored = array(); public static $summary_edited = array(); public static $summary_quarantine = array(); public static $summary_whitelist = array(); public function __construct() { } private function init() { if (self::$ROOT == './') { self::$ROOT = dirname(__FILE__); } if (self::$SCAN_PATH == './') { self::$SCAN_PATH = dirname(__FILE__); } self::$PATH_QUARANTINE = self::$ROOT . self::$PATH_QUARANTINE; self::$PATH_LOGS = self::$ROOT . self::$PATH_LOGS; self::$PATH_WHITELIST = self::$ROOT . self::$PATH_WHITELIST; self::$PATH_LOGS_INFECTED = self::$ROOT . self::$PATH_LOGS_INFECTED; self::$WHITELIST = CSV::read(self::$PATH_WHITELIST); Definitions::optimizeSig(Definitions::$SIGNATURES); } public function run() { try { if (function_exists('gc_enable') && (function_exists('gc_enable') && !gc_enabled())) { gc_enable(); } Console::header(); $this->init(); $this->arguments(); $this->modes(); Console::displayLine('Start scanning...'); Console::writeLine('Scan date: ' . date('d-m-Y H:i:s')); Console::writeLine('Scanning ' . self::$SCAN_PATH, 2); Console::writeLine('Mapping files...'); $iterator = $this->mapping(); $files_count = iterator_count($iterator); Console::writeLine('Found ' . $files_count . ' files', 2); Console::writeLine('Checking files...', 2); Console::progress(0, $files_count); $this->scan($iterator); Console::writeBreak(2); Console::write('Scan finished!', 'green'); Console::writeBreak(3); $this->summary(); } catch (\Exception $e) { Console::writeBreak(); Console::writeLine($e->getMessage(), 1, 'red'); } } private function arguments() { self::$ARGV = new Argv(); self::$ARGV->addFlag('agile', array('alias' => '-a', 'default' => false)); self::$ARGV->addFlag('help', array('alias' => '-h', 'default' => false)); self::$ARGV->addFlag('log', array('alias' => '-l', 'default' => null, 'has_value' => true)); self::$ARGV->addFlag('report', array('alias' => '-r', 'default' => false)); self::$ARGV->addFlag('version', array('alias' => '-v', 'default' => false)); self::$ARGV->addFlag('update', array('alias' => '-u', 'default' => false)); self::$ARGV->addFlag('only-signatures', array('alias' => '-s', 'default' => false)); self::$ARGV->addFlag('only-exploits', array('alias' => '-e', 'default' => false)); self::$ARGV->addFlag('only-functions', array('alias' => '-f', 'default' => false)); self::$ARGV->addFlag('list', array('default' => false)); self::$ARGV->addFlag('list-exploits', array('default' => false)); self::$ARGV->addFlag('list-functions', array('default' => false)); self::$ARGV->addFlag('exploits', array('default' => false, 'has_value' => true)); self::$ARGV->addFlag('functions', array('default' => false, 'has_value' => true)); self::$ARGV->addFlag('whitelist-only-path', array('default' => false)); self::$ARGV->addFlag('max-filesize', array('default' => -1, 'has_value' => true)); self::$ARGV->addArgument('path', array('var_args' => true, 'default' => '')); self::$ARGV->parse(); if (isset(self::$ARGV['version']) && self::$ARGV['version']) { die; } if (isset(self::$ARGV['help']) && self::$ARGV['help']) { Console::helper(); } if (isset(self::$ARGV['list']) && self::$ARGV['list']) { Console::helplist(); } if (isset(self::$ARGV['list-exploits']) && self::$ARGV['list-exploits']) { Console::helplist('exploits'); } if (isset(self::$ARGV['list-functions']) && self::$ARGV['list-functions']) { Console::helplist('functions'); } if (isset(self::$ARGV['update']) && self::$ARGV['update']) { self::update(); } if (isset(self::$ARGV['report']) && self::$ARGV['report']) { $_REQUEST['report'] = true; } else { $_REQUEST['report'] = false; } if (isset(self::$ARGV['max-filesize']) && self::$ARGV['max-filesize']) { self::$MAX_FILESIZE = trim(self::$ARGV['max-filesize']); if (!is_numeric(self::$ARGV['max-filesize'])) { self::$MAX_FILESIZE = self::convertToBytes(self::$MAX_FILESIZE); } } if (isset(self::$ARGV['log']) && !empty(self::$ARGV['log'])) { $_REQUEST['log'] = true; if (is_string(self::$ARGV['log'])) { self::$PATH_LOGS = self::$ARGV['log']; } } else { $_REQUEST['log'] = false; } if (isset(self::$ARGV['whitelist-only-path']) && self::$ARGV['whitelist-only-path']) { $_REQUEST['whitelist-only-path'] = true; } else { $_REQUEST['whitelist-only-path'] = false; } if (isset(self::$ARGV['exploits']) && self::$ARGV['exploits']) { if (is_string(self::$ARGV['exploits'])) { $filtered = str_replace(array('
 ', '
', '	', ' '), '', self::$ARGV['exploits']); $filtered = @explode(',', $filtered); if (!empty($filtered) && count($filtered) > 0) { foreach (Definitions::$EXPLOITS as $key => $value) { if (in_array($key, $filtered)) { self::$EXPLOITS[$key] = $value; } } if (!empty(self::$EXPLOITS) && count(self::$EXPLOITS) > 0) { Console::writeLine('Exploit to search: ' . implode(', ', array_keys(self::$EXPLOITS))); } else { self::$EXPLOITS = array(); } } } } if (isset(self::$ARGV['only-exploits']) && self::$ARGV['only-exploits']) { $_REQUEST['exploits'] = true; } else { $_REQUEST['exploits'] = false; } if (isset(self::$ARGV['functions']) && self::$ARGV['functions']) { if (is_string(self::$ARGV['functions'])) { self::$FUNCTIONS = str_replace(array('
 ', '
', '	', ' '), '', self::$ARGV['functions']); self::$FUNCTIONS = @explode(',', self::$FUNCTIONS); if (!empty(self::$FUNCTIONS) && count(self::$FUNCTIONS) > 0) { Console::writeLine('Functions to search: ' . implode(', ', self::$FUNCTIONS)); } else { self::$FUNCTIONS = array(); } } } if (isset(self::$ARGV['only-functions']) && self::$ARGV['only-functions']) { $_REQUEST['functions'] = true; } else { $_REQUEST['functions'] = false; } if (isset(self::$ARGV['only-signatures'])) { $_REQUEST['signatures'] = true; $_REQUEST['exploits'] = false; $_REQUEST['functions'] = false; } else { $_REQUEST['signatures'] = false; } if (isset(self::$ARGV['agile']) && self::$ARGV['agile']) { $_REQUEST['agile'] = true; self::$EXPLOITS = Definitions::$EXPLOITS; $_REQUEST['exploits'] = true; self::$EXPLOITS['execution'] = '/\\b(eval|assert|passthru|exec|include|system|pcntl_exec|shell_exec|`|array_map|ob_start|call_user_func(_array)?)\\s*\\(\\s*(base64_decode|php:\\/\\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\?\\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\\))\\)/'; self::$EXPLOITS['concat_vars_with_spaces'] = '/(\\$([a-zA-Z0-9]+)[\\s\\r\\n]*\\.[\\s\\r\\n]*){8}/'; self::$EXPLOITS['concat_vars_array'] = '/(\\$([a-zA-Z0-9]+)(\\{|\\[)([0-9]+)(\\}|\\])[\\s\\r\\n]*\\.[\\s\\r\\n]*){8}.*?(?=\\})\\}/i'; unset(self::$EXPLOITS['nano'], self::$EXPLOITS['double_var2'], self::$EXPLOITS['base64_long']); } else { $_REQUEST['agile'] = false; } if (isset(self::$ARGV['log']) && self::$ARGV['log'] && isset(self::$ARGV['report']) && self::$ARGV['report']) { unset($_REQUEST['log']); } $arg = self::$ARGV->arg(0); if (!empty($arg)) { $path = trim($arg); if (file_exists(realpath($path))) { self::$SCAN_PATH = realpath($path); } } if (!is_dir(self::$SCAN_PATH)) { self::$SCAN_PATH = pathinfo(self::$SCAN_PATH, PATHINFO_DIRNAME); } } private function modes() { if ($_REQUEST['functions'] && $_REQUEST['signatures'] && $_REQUEST['exploits']) { Console::writeLine('Can\'t be set flags --only-signatures, --only-functions and --only-exploits together!', 2); die; } if ($_REQUEST['functions'] && $_REQUEST['signatures']) { Console::writeLine('Can\'t be set both flags --only-signatures and --only-functions together!', 2); die; } if ($_REQUEST['signatures'] && $_REQUEST['exploits']) { Console::writeLine('Can\'t be set both flags --only-signatures and --only-exploits together!', 2); die; } if ($_REQUEST['functions'] && $_REQUEST['exploits']) { Console::writeLine('Can\'t be set both flags --only-functions and --only-exploits together!', 2); die; } if ($_REQUEST['functions'] || !$_REQUEST['exploits'] && empty(self::$FUNCTIONS)) { self::$FUNCTIONS = Definitions::$FUNCTIONS; } else { if ($_REQUEST['exploits']) { self::$FUNCTIONS = array(); if (!$_REQUEST['agile']) { Console::writeLine('Exploits mode enabled'); } } else { Console::writeLine('No functions to search'); } } if (self::$ARGV['max-filesize'] > 0) { Console::writeLine('Max filesize: ' . self::$MAX_FILESIZE . ' bytes', 2); } if (!$_REQUEST['functions'] && empty(self::$EXPLOITS)) { self::$EXPLOITS = Definitions::$EXPLOITS; } if ($_REQUEST['agile']) { Console::writeLine('Agile mode enabled'); } if ($_REQUEST['signatures']) { Console::writeLine('Signatures mode enabled'); } if ($_REQUEST['report']) { Console::writeLine('Report scan mode enabled'); } if ($_REQUEST['functions']) { self::$EXPLOITS = array(); } if ($_REQUEST['exploits']) { self::$FUNCTIONS = array(); } if ($_REQUEST['signatures']) { self::$EXPLOITS = array(); self::$FUNCTIONS = array(); } } public function mapping() { $directory = new \RecursiveDirectoryIterator(self::$SCAN_PATH); $files = new \RecursiveIteratorIterator($directory); $iterator = new \CallbackFilterIterator($files, function ($cur, $key, $iter) { return $cur->isFile() && in_array($cur->getExtension(), Application::$SCAN_EXTENSIONS); }); return $iterator; } public static function isInfectedFavicon($file) { $_FILE_NAME = $file->getFilename(); $_FILE_EXTENSION = $file->getExtension(); return strpos($_FILE_NAME, 'favicon_') === 0 && $_FILE_EXTENSION === 'ico' && strlen($_FILE_NAME) > 12 || preg_match('/^\\.[\\w]+\\.ico/i', trim($_FILE_NAME)); } public function scanFile($info) { $_FILE_PATH = $info->getPathname(); $is_favicon = self::isInfectedFavicon($info); $pattern_found = array(); $mime_type = 'text/php'; if (function_exists('mime_content_type')) { $mime_type = mime_content_type($_FILE_PATH); } elseif (function_exists('finfo_open')) { $finfo = finfo_open(FILEINFO_MIME); $mime_type = finfo_file($finfo, $_FILE_PATH); finfo_close($finfo); } if (preg_match('/^text/i', $mime_type)) { $deobfuctator = new Deobfuscator(); $fc = file_get_contents($_FILE_PATH); $fc_clean = php_strip_whitespace($_FILE_PATH); $fc_deobfuscated = $deobfuctator->deobfuscate($fc); $fc_decoded = $deobfuctator->decode($fc_deobfuscated); $last_match = null; foreach (self::$EXPLOITS as $key => $pattern) { $match_description = null; $lineNumber = null; if (@preg_match($pattern, $fc, $match, PREG_OFFSET_CAPTURE) || @preg_match($pattern, $fc_clean, $match, PREG_OFFSET_CAPTURE) || @preg_match($pattern, $fc_decoded, $match, PREG_OFFSET_CAPTURE)) { $last_match = $match[0][0]; $match_description = $key . '
  => ' . $last_match; if (!empty($last_match) && @preg_match('/' . preg_quote($last_match, '/') . '/i', $fc, $match, PREG_OFFSET_CAPTURE)) { $lineNumber = count(explode('
diff --git a/src/Definitions.php b/src/Definitions.php
index e66716d..abcbd8f 100644
--- a/src/Definitions.php
+++ b/src/Definitions.php
@@ -23,29 +23,20 @@ class Definitions {
 		"eval_comment"            => '/(eval|preg_replace|system|assert|passthru|(pcntl_)?exec|shell_exec|call_user_func(_array)?)\/\*[^\*]*\*\/\((?<=\().*?(?=\))\)/',
 		"eval_execution"          => '/(eval\(\$[a-z0-9_]+\((?<=\()@?\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\))\)/si',
 		"align"                   => '/(\$\w+=[^;]*)*;\$\w+=@?\$\w+\((?<=\().*?(?=\))\)/si',
-		"b374k"                   => '/(\\\'|\")ev(\\\'|\")\.(\\\'|\")al(\\\'|\")\.(\\\'|\")\(\"\?>/i',
-		// b374k shell
-		"weevely3"                => '/\$\w=\$[a-zA-Z]\(\'\',\$\w\);\$\w\(\);/i',
-		// weevely3 launcher
-		"c99_launcher"            => '/;\$\w+\(\$\w+(,\s?\$\w+)+\);/i',
-		// http://bartblaze.blogspot.fr/2015/03/c99shell-not-dead.html
-		"too_many_chr"            => '/(chr\([\d]+\)\.){8}/i',
-		// concatenation of more than eight `chr()`
-		"concat"                  => '/(\$[\w\[\]\\\'\"]+\\.[\n\r]*){10}/i',
-		// concatenation of vars array
-		"concat_vars_with_spaces" => '/(\$([a-zA-Z0-9]+)[\s\r\n]*\.[\s\r\n]*){6}/',
-		// concatenation of more than 6 words, with spaces
-		"concat_vars_array"       => '/(\$([a-zA-Z0-9]+)(\{|\[)([0-9]+)(\}|\])[\s\r\n]*\.[\s\r\n]*){6}.*?(?=\})\}/i',
-		// concatenation of more than 6 words, with spaces
+		"b374k"                   => '/(\\\'|\")ev(\\\'|\")\.(\\\'|\")al(\\\'|\")\.(\\\'|\")\(\"\?>/i', // b374k shell
+		"weevely3"                => '/\$\w=\$[a-zA-Z]\(\'\',\$\w\);\$\w\(\);/i', // weevely3 launcher
+		"c99_launcher"            => '/;\$\w+\(\$\w+(,\s?\$\w+)+\);/i', // http://bartblaze.blogspot.fr/2015/03/c99shell-not-dead.html
+		"too_many_chr"            => '/(chr\([\d]+\)\.){8}/i', // concatenation of more than eight `chr()`
+		"concat"                  => '/(\$[\w\[\]\\\'\"]+\\.[\n\r]*){10}/i', // concatenation of vars array
+		"concat_vars_with_spaces" => '/(\$([a-zA-Z0-9]+)[\s\r\n]*\.[\s\r\n]*){6}/', // concatenation of more than 6 words, with spaces
+		"concat_vars_array"       => '/(\$([a-zA-Z0-9]+)(\{|\[)([0-9]+)(\}|\])[\s\r\n]*\.[\s\r\n]*){6}.*?(?=\})\}/i', // concatenation of more than 6 words, with spaces
 		"var_as_func"             => '/\$_(GET|POST|COOKIE|REQUEST|SERVER)[\s\r\n]*\[[^\]]+\][\s\r\n]*\((?<=\().*?(?=\))\)/i',
 		"global_var_string"       => '/\$\{[\s\r\n]*(\\\'|\")_(GET|POST|COOKIE|REQUEST|SERVER)(\\\'|\")[\s\r\n]*\}/i',
 		"extract_global"          => '/extract\([\s\r\n]*\$_(GET|POST|COOKIE|REQUEST|SERVER).*?(?=\))\)/i',
 		"escaped_path"            => '/(\\\\x[0-9abcdef]{2}[a-z0-9.-\/]{1,4}){4,}/i',
-		"include_icon"            => '/@?include[\s\r\n]*(\([\s\r\n]*)?("|\\\')([^"\\\']*)(\.|\\\\056\\\\046\\\\2E)(\i|\\\\151|\\\\x69|\\\\105)(c|\\\\143\\\\099\\\\x63)(o|\\\\157\\\\111|\\\\x6f)(\"|\\\')((?=\))\))?/mi',
-		// Icon inclusion
+		"include_icon"            => '/@?include[\s\r\n]*(\([\s\r\n]*)?("|\\\')([^"\\\']*)(\.|\\\\056\\\\046\\\\2E)(\i|\\\\151|\\\\x69|\\\\105)(c|\\\\143\\\\099\\\\x63)(o|\\\\157\\\\111|\\\\x6f)(\"|\\\')((?=\))\))?/mi',  // Icon inclusion
 		"backdoor_code"           => '/eva1fYlbakBcVSir/i',
-		"infected_comment"        => '/\/\*[a-z0-9]{5}\*\//i',
-		// usually used to detect if a file is infected yet
+		"infected_comment"        => '/\/\*[a-z0-9]{5}\*\//i', // usually used to detect if a file is infected yet
 		"hex_char"                => '/\\\\[Xx](5[Ff])/i',
 		"hacked_by"               => '/hacked[\s\r\n]*by/i',
 		"killall"                 => '/killall[\s\r\n]*\-9/i',
@@ -55,33 +46,25 @@ class Definitions {
 		"base64_inclusion"        => '/@?include[\s\r\n]*(\([\s\r\n]*)?("|\\\')data\:text/plain;base64[\s\r\n]*\,[\s\r\n]*\$_GET\[[^\]]+\](\\\'|")[\s\r\n]*((?=\))\))?/si',
 		"clever_include"          => '/@?include[\s\r\n]*(\([\s\r\n]*)?("|\\\')[\s\r\n]*[^\.]+\.(png|jpe?g|gif|bmp|ico).*?("|\\\')[\s\r\n]*((?=\))\))?/i',
 		"basedir_bypass"          => '/curl_init[\s\r\n]*\([\s\r\n]*[\"\\\']file:\/\/.*?(?=\))\)/i',
-		"basedir_bypass2"         => '/file\:file\:\/\//i',
-		// https://www.intelligentexploit.com/view-details.html?id=8719
+		"basedir_bypass2"         => '/file\:file\:\/\//i', // https://www.intelligentexploit.com/view-details.html?id=8719
 		"non_printable"           => '/(function|return|base64_decode).{,256}[^\\x00-\\x1F\\x7F-\\xFF]{3}/i',
 		"double_var"              => '/\${[\s\r\n]*\${.*?}(.*)?}/i',
 		"double_var2"             => '/\${\$[0-9a-zA-z]+}/i',
 		"global_save"             => '/\[\s\r\n]*=[\s\r\n]*\$GLOBALS[\s\r\n]*\;[\s\r\n]*\$[\s\r\n]*\{/i',
-		"hex_var"                 => '/\$\{[\s\r\n]*(\\\'|\")\\\\x.*?(?=\})\}/i',
-		// check for ${"\xFF"}, IonCube use this method ${"\x
-		"register_function"       => '/register_[a-z]+_function[\s\r\n]*\([\s\r\n]*[\\\'\"][\s\r\n]*(eval|assert|passthru|exec|include|system|shell_exec|`).*?(?=\))\)/i',
-		// https://github.com/nbs-system/php-malware-finder/issues/41
+		"hex_var"                 => '/\$\{[\s\r\n]*(\\\'|\")\\\\x.*?(?=\})\}/i', // check for ${"\xFF"}, IonCube use this method ${"\x
+		"register_function"       => '/register_[a-z]+_function[\s\r\n]*\([\s\r\n]*[\\\'\"][\s\r\n]*(eval|assert|passthru|exec|include|system|shell_exec|`).*?(?=\))\)/i', // https://github.com/nbs-system/php-malware-finder/issues/41
 		"safemode_bypass"         => '/\x00\/\.\.\/|LD_PRELOAD/i',
 		"ioncube_loader"          => '/IonCube\_loader/i',
-		"nano"                    => '/\$[a-z0-9-_]+\[[^]]+\]\((?<=\().*?(?=\))\)/',
-		//https://github.com/UltimateHackers/nano
+		"nano"                    => '/\$[a-z0-9-_]+\[[^]]+\]\((?<=\().*?(?=\))\)/', //https://github.com/UltimateHackers/nano
 		"ninja"                   => '/base64_decode[^;]+getallheaders/',
-		"execution"               => '/\b(eval|assert|passthru|exec|include|system|pcntl_exec|shell_exec|base64_decode|`|array_map|ob_start|call_user_func(_array)?)[\s\r\n]*\([\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\))\)/',
-		// function that takes a callback as 1st parameter
-		"execution2"              => '/\b(array_filter|array_reduce|array_walk(_recursive)?|array_walk|assert_options|uasort|uksort|usort|preg_replace_callback|iterator_apply)[\s\r\n]*\([\s\r\n]*[^,]+,[\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\))\)/',
-		// functions that takes a callback as 2nd parameter
-		"execution3"              => '/\b(array_(diff|intersect)_u(key|assoc)|array_udiff)[\s\r\n]*\([\s\r\n]*([^,]+[\s\r\n]*,?)+[\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER))[\s\r\n]*\[[^]]+\][\s\r\n]*\)+[\s\r\n]*;/',
-		// functions that takes a callback as 2nd parameter
+		"execution"               => '/\b(eval|assert|passthru|exec|include|system|pcntl_exec|shell_exec|base64_decode|`|array_map|ob_start|call_user_func(_array)?)[\s\r\n]*\([\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\))\)/', // function that takes a callback as 1st parameter
+		"execution2"              => '/\b(array_filter|array_reduce|array_walk(_recursive)?|array_walk|assert_options|uasort|uksort|usort|preg_replace_callback|iterator_apply)[\s\r\n]*\([\s\r\n]*[^,]+,[\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER)).*?(?=\))\)/',  // functions that takes a callback as 2nd parameter
+		"execution3"              => '/\b(array_(diff|intersect)_u(key|assoc)|array_udiff)[\s\r\n]*\([\s\r\n]*([^,]+[\s\r\n]*,?)+[\s\r\n]*(base64_decode|php:\/\/input|str_rot13|gz(inflate|uncompress)|getenv|pack|\\\\?@?\$_(GET|REQUEST|POST|COOKIE|SERVER))[\s\r\n]*\[[^]]+\][\s\r\n]*\)+[\s\r\n]*;/',// functions that takes a callback as 2nd parameter
 		"shellshock"              => '/\(\)[\s\r\n]*{[\s\r\n]*[a-z:][\s\r\n]*;[\s\r\n]*}[\s\r\n]*;/',
 		"silenced_eval"           => '/@eval[\s\r\n]*\((?<=\().*?(?=\))\)/',
 		"silence_inclusion"       => '/@(include|include_once|require|require_once)[\s\r\n]+([\s\r\n]*\()?("|\\\')([^"\\\']*)(\\\\x[0-9a-f]{2,}.*?){2,}([^"\\\']*)("|\\\')[\s\r\n]*((?=\))\))?/si',
 		"silence_inclusion2"      => '/@(include|include_once|require|require_once)[\s\r\n]+([\s\r\n]*\()?("|\\\')([^"\\\']*)(\\[0-9]{3,}.*?){2,}([^"\\\']*)("|\\\')[\s\r\n]*((?=\))\))?/si',
-		"ssi_exec"                => '/\<\!\-\-\#exec[\s\r\n]*cmd\=/i',
-		//http://www.w3.org/Jigsaw/Doc/User/SSI.html#exec
+		"ssi_exec"                => '/\<\!\-\-\#exec[\s\r\n]*cmd\=/i', //http://www.w3.org/Jigsaw/Doc/User/SSI.html#exec
 		"htaccess_handler"        => '/SetHandler[\s\r\n]*application\/x\-httpd\-php/i',
 		"htaccess_type"           => '/AddType\s+application\/x-httpd-(php|cgi)/i',
 		"file_prepend"            => '/php_value[\s\r\n]*auto_prepend_file/i',
@@ -104,6 +87,8 @@ class Definitions {
 		"etc_passwd"              => '/(\/)*etc\/+passwd\/*/si',
 		"etc_shadow"              => '/(\/)*etc\/+shadow\/*/si',
 		"explode_chr"             => '/explode[\s\r\n]*\(chr[\s\r\n]*\([\s\r\n]*\(?\d{3}([\s\r\n]*-[\s\r\n]*\d{3})?[\s\r\n]*\).*?(?=\))\)/si',
+		"imap_open"               => '/imap_open\((\\\'|\"){(\\\'|\")[\s\r\n]*\.[\s\r\n]*\$_(GET|POST|SERVER|COOKIE|REQUEST).*?(?=\))\)/si', // check https://bugs.php.net/bug.php?id=76428
+		"imap_open_proxy"         => '/x[\s\r\n]*\-oProxyCommand[\s\r\n]*\=(.*?\|base64(\\\\t\-d)?(\|sh)?)?/si'
 	);
 
 	// Default functions definitions
@@ -3308,7 +3293,7 @@ public static function optimizeSig(&$sigs) {
 		usort($sigs, 'strcasecmp');
 		$txt = implode("\n", $sigs);
 
-		for($i = 24; $i >= 1; ($i > 4) ? $i -= 4 : -- $i) {
+		for($i = 24; $i >= 1; ($i > 4) ? $i -= 4 : --$i) {
 			$txt = preg_replace_callback('#^((?>(?:\\\\.|\\[.+?\\]|[^(\n]|\((?:\\\\.|[^)(\n])++\))(?:[*?+]\+?|\{\d+(?:,\d*)?\}[+?]?|)){' . $i . ',})[^\n]*+(?:\\n\\1(?![{?*+]).+)+#im', array(__CLASS__, 'optimizeMergePrefixes'), $txt);
 		}