1#@!#!123s

: / opt / PHP-Antimalware-Scanner / src /
Filename : Signatures.php
back
<?php

/**
 * PHP Antimalware Scanner.
 *
 * @author Marco Cesarato <cesarato.developer@gmail.com>
 * @license http://opensource.org/licenses/gpl-3.0.html GNU Public License
 *
 * @see https://github.com/marcocesarato/PHP-Antimalware-Scanner
 */

namespace AMWScan;

class Signatures
{
    /**
     * Signatures raw data.
     *
     * @var array
     */
    public static $raw = [
        'SFRUUF9VU0VSX0FHRU5UCg',
        'ZXZhbCg',
        'c3lzdGVt',
        'cHJlZ19yZXBsYWNl',
        'ZXhlYyg',
        'YmFzZTY0X2RlY29kZ',
        'IyEvdXNyL2Jpbi9wZXJsCg',
        'Y21kLmV4ZQ',
        'cG93ZXJzaGVsbC5leGU',
        '\\x47\\x4c\\x4f\\x42\\x41\\x4c\\x53',
        '\\x65\\x76\\x61\\x6C\\x28',
        '\\x65\\x78\\x65\\x63',
        '\\x73\\x79\\x73\\x74\\x65\\x6d',
        '\\x70\\x72\\x65\\x67\\x5f\\x72\\x65\\x70\\x6c\\x61\\x63\\x65',
        '\\x48\\124\\x54\\120\\x5f\\125\\x53\\105\\x52\\137\\x41\\107\\x45\\116\\x54',
        '\\x61\\x73\\x65\\x36\\x34\\x5f\\x64\\x65\\x63\\x6f\\x64\\x65\\x28\\x67\\x7a\\x69\\x6e\\x66\\x6c\\x61\\x74\\x65\\x28',
        '474c4f42414c53',
        '6576616C28',
        '65786563',
        '73797374656d',
        '707265675f7265706c616365',
        '61736536345f6465636f646528677a696e666c61746528',
        '1337day.com',
        'antichat.ru',
        'b374k',
        'ccteam.ru',
        'crackfor',
        'darkc0de',
        'egyspider.eu',
        'exploit-db.com',
        'fopo.com.ar',
        'hashchecker.com',
        'hashkiller.com',
        'md5crack.com',
        'md5decrypter.com',
        'milw0rm.com',
        'milw00rm.com',
        'packetstormsecurity',
        'pentestmonkey.net',
        'phpjiami.com',
        'rapid7.com',
        'securityfocus',
        'shodan.io',
        'github.com/b374k/b374k',
        'mumaasp.com',
        '.mysql_history',
        '.ssh/authorized_keys',
        '/(.*)/e',
        '/etc/passwd',
        '/etc/proftpd.conf',
        '/etc/resolv.conf',
        '/etc/shadow',
        '/etc/syslog.conf',
        '/proc/cpuinfo',
        '/var/log/lastlog',
        '/windows/system32/',
        'LOAD DATA LOCAL INFILE',
        'WScript.Shell',
        'WinExec',
        'b374k',
        'backdoor',
        'c99shell',
        'r57shell',
        'fx29shell',
        'cmd.exe',
        'powershell.exe',
        'evilc0ders',
        'exploit',
        'find . -type f',
        'hashcrack',
        'ipconfig',
        'kernel32.dll',
        'kingdefacer',
        'Wireghoul',
        'htshell',
        'LD_PRELOAD',
        'libpcprofile',
        'locus7s',
        'ls -la',
        'meterpreter',
        'nc -l',
        'netstat -an',
        'ps -aux',
        'rootkit',
        'slowloris',
        'suhosin',
        'sun-tzu',
        'trojan',
        'uname -a',
        'visbot',
        'warez',
        "@eval(\$_POST['",
        'Backdoor',
        '@include($_GET[',
        'system($_GET[',
        'md5($_GET[',
        'fwrite($fpsetv, getenv("HTTP_COOKIE")',
        'system\"$cmd 1> /tmp/',
        '\\145\\166\\141\\154\\050\\142\\141\\163\\145\\066\\064\\137\\144\\145\\143\\157\\144\\145\\050',
        '$sh3llColor',
        'w4ck1ng shell',
        'private Shell by m4rco',
        'Shell by Mawar_Hitam',
        'SHELL_PASSWORD',
        'ConnectBackShell',
        'ShellBOT',
        '== "bindshell"',
        'curl_get_from_webpage',
        "file_get_contents('http://codepad.org",
        'c2hlbG',
        'NoZWxs',
        'zaGVsb',
        'PD9waH',
        'w/cGhw',
        '8P3Boc',
        'c3Rhd',
        'N0YX',
        'zdGF0',
        'Y29we',
        'NvcH',
        'jb3B5',
        'Y2hy',
        'c3lzdGVt',
        'N5c3Rlb',
        'zeXN0ZW',
        'cmVwbGFjZ',
        'JlcGxhY2',
        'yZXBsYWNl',
        'c3RyX',
        'N0cl',
        'zdHJf',
        'ZXhlYy',
        'V4ZWMo',
        'leGVjK',
        'ZWNob',
        'VjaG',
        'lY2hv',
        'ZnVuY3Rpb2',
        'Z1bmN0aW9u',
        'mdW5jdGlvb',
        'aW5jbHVkZ',
        'luY2x1ZG',
        'pbmNsdWRl',
        'cmVxdWlyZ',
        'JlcXVpcm',
        'yZXF1aXJl',
        'YmFzZTY0',
        'Jhc2U2N',
        'iYXNlNj',
        'ZXZhb',
        'V2YW',
        'ldmFs',
        'SFRUUF9VU0VSX0FHRU5U',
        'hUVFBfVVNFUl9BR0VOV',
        'IVFRQX1VTRVJfQUdFTl',
        'Z3ppbmZsYXRl',
        'd6aW5mbGF0Z',
        'nemluZmxhdG',
        'b3Blb',
        '9wZW',
        'vcGVu',
        'Y2xvc2',
        'Nsb3Nl',
        'jbG9zZ',
        'YXJyYXlf',
        'FycmF5X',
        'hcnJheV',
        'Y3NsYXNoZX',
        'NzbGFzaGVz',
        'jc2xhc2hlc',
        'ZXh0cmFjd',
        'V4dHJhY3',
        'leHRyYWN0',
        'JF9HRV',
        'RfR0VU',
        'kX0dFV',
        'JF9QT1NU',
        'RfUE9TV',
        'kX1BPU1',
        'JF9DT09LSU',
        'RfQ09PS0lF',
        'kX0NPT0tJR',
        'JF9SRVFVRVNU',
        'RfUkVRVUVTV',
        'kX1JFUVVFU1',
        'R0xPQkFMU',
        'dMT0JBTF',
        'HTE9CQUxT',
        'c2l6ZW9m',
        'NpemVvZ',
        'zaXplb2',
        'cHJpbnRm',
        'ByaW50Z',
        'wcmludG',
        'ZGVmaW5l',
        'RlZmluZ',
        'kZWZpbm',
        'eval("?>',
        '"base64_decode"',
        "='base'.(32*2).'_de'.'code'",
        '"p"."r"."e"."g"."_"',
        'WSOstripslashes',
        '\x73\x79\x73\x74\x65\x6d',
        '\x70\x72\x65\x67\x5f\x72\x65\x70\x6c\x61\x63\x65',
        '\x65\x78\x65\x63',
        'ev\x61l',
        '\x65\166\x61\154\x28',
        '\x65\x76\x61\x6C',
        "ev'.'al'.'",
        'eval(base64_decode(',
        '<?php eval',
        '$data = base64_decode("',
        'edoced_46esab',
        'base=base64_encode',
        "'b'.'ase6'.'4_e'.'ncode'",
        'cr"."eat"."e_fun"."cti"."on',
        "gz' . 'inf' . 'late",
        'http://www.fopo.com.ar/',
        '@eval("\\',
        'MagelangCyber',
        '//rasta//',
        'Baby_Drakon',
        'Created By EMMA',
        '3xp1r3',
        'NinjaVirus Here',
        '<dot>IrIsT',
        'Hacked By EnDLeSs',
        'Punker2Bot',
        'Zed0x',
        'darkminz',
        'ReaL_PuNiShEr',
        'OoN_Boy',
        'Pashkela',
        'Webcommander at',
        'YENI3ERI',
        'd3lete',
        'Made by Delorean',
        'Cybester90',
        'K!LL3r',
        'MrHazem',
        'BY MMNBOBZ',
        'Hackeado',
        'bgeteam',
        'VOBRA GANGO',
        'Asmodeus',
        'Cautam fisierele de configurare',
        'BRUTEFORCING',
        'FaTaLisTiCz_Fx Fx29Sh',
        'DX_Header_drawn',
        'Dr.abolalh',
        'C0derz.com',
        'Mr.HiTman',
        'IrSecTeam',
        'FLoodeR',
        'eriuqer',
        'zehirhacker',
        'freetellafriend.com',
        'casus15',
        'temp_r57_table',
        'By Psych0',
        'c99ftpbrutecheck',
        'd3b~X',
        'profexor.hell',
        'ZOBUGTEL',
        'The Dark Raver',
        '<kuku>',
        'M4ll3r',
        'itsoknoproblembro',
        'tmhapbzcerff',
        'IndoXploit',
        'FaisaL Ahmed aka rEd X',
        'smisbot',
        'smotherbot',
        'Indonesian Hacker Rulez',
        'wp-vcd',
        'class.theme-modules.php',
        'wp-tmp.php',
        'tmpcontentx',
        'function wp_temp_setupx',
        'derna.top/code.php',
        'stripos($tmpcontent, $wp_auth_key)',
        'dealonline.su',
        'uname -a',
        '/etc/shadow',
        '/etc/passwd',
        '\x47\x4c\x4f\x42\x41LS',
        '${${',
        'PHPJiaMi',
        'DisablePHP=',
        'moban.html',
        'a,b,c,d,e,f,g',
        '@x0powo',
        '@preg_replace',
        '1@1.com',
        'META http-equiv="refresh" content="0;',
        '="create_";global',
        'Net@ddress Mail',
        '__VIEWSTATEENCRYPTED',
        'createFilesForInputOutput',
        'R0lGODlhEwAQALMAAAAAAP///5ycAM7OY///nP//zv/OnPf39////wAAAAAA',
        'ayu pr1 pr2 pr3 pr4 pr5 pr6',
        'f0VMRgEBAQA',
        '0d0a0d0a676c6f62616c20246d795f736d7',
        'etalfnizg',
        'JHZpc2l0Y291bnQgPSAkSFRUUF9DT09LSUVf',
        'R2aXNpdGNvdW50ID0gJEhUVFBfQ09PS0lFX',
        'kdmlzaXRjb3VudCA9ICRIVFRQX0NPT0tJRV',
        'HTTP flood complete after',
        'exploitcookie',
        'az88pix00q98',
        'Q3JlZGl0IDogVW5kZXJncm91bmQgRGV2aWwgJm5ic3A7ICB8DQo8YSBocmVmP',
        '463839610c000b00800100ffffffffffff21f90401000001002c000',
        'AAAAAAAAMAAwABAAAAeAUAADQAAADsCQAAAAAAADQAIAADACgAFwAUAAEA',
        'HJ3HjutckoRfpXf9A1zQO2AwDRrRey9uGvTeez79qAao1a0rgudkZkR8Ra',
        'Ly83MTg3OWQyMTJkYzhjYmY0ZDRmZDA0NGEzZDE3Zjk3ZmI2N',
        'DJ7VIU7RICXr6sEEV2cBtHDSOe9nVdpEGhEmvRVRNURfw1wQ',
        'LS0gRHVtcDNkIGJ5IFBpcnVsaW4uUEhQIFdlYnNoM2xsIHYxLjAgYzBkZWQgYnkgcjBkcjEgOkw\=',
        '5jb20iKW9yIHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigk',
        'X1NFU1NJT05bJ3R4dGF1dGhpbiddID0gdHJ1ZTsNCiAgICBpZiAoJF9QT1NUWydybSddKSB7DQogICAgICBzZXRjb29raWUoJ3R4dGF1dGhfJy4kcm1ncm91cCwgbW',
        'R0lGODlhFAAUAKIAAAAAAP///93d3cDAwIaGhgQEBP///wAAACH5BAEAAAYALAAAAAAUABQAA',
        'm91dCwgJGVvdXQpOw0Kc2VsZWN0KCRyb3V0ID0gJHJpbiwgdW5kZWYsICRlb3V0ID0gJHJpbiwgMTIwKTsNCmlmICghJHJvdXQgICYmICAhJGVvdX',
        'CB2aTZpIDEwMjQtDQojLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLQ0KI3JlcXVp',
        'BDAQkJCQwLDBgNDRgyIRwhMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjL/wAARCAAQABADASIAAhEBA',
        'REREFER_PTTH',
        'Joomla_brute_Force',
        '/usr/sbin/httpd',
        'sshkeys',
        'eggdrop',
        'rwxrwxrwx',
        'GIF89A;<?php',
        'putbot $bot',
        'bind join - *',
        'privmsg $chan',
        '\u003c\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f',
        '\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd',
        'find / \-type f \-name \.htpasswd',
        'find / \-type f \-perm \-02000 \-ls',
        'find / \-type f \-perm \-04000 \-ls',
        'find / -type f -name .htpasswd',
        'find / -type f -perm -02000 -ls',
        'find / -type f -perm -04000 -ls',
        "if(''==(\$df=@ini_get('disable_functions",
        'ncftpput -u',
        'wsoEx(',
        'WSOsetcookie(',
        '\x47\x4c\x4f\x42\x41\x4c\x53',
        "'OY<--X17N-.OB8X'^',+YLY=nQ;CM;+W6';",
        'Mister Spy',
        'Souheyl Bypass Shell',
        'Welcome To Our Shell',
        'Devloped By El Moujahidin',
        '$f1 = ".ht"; $f2 = "acc"; $f3 = "ess";',
        '.php.suspected',
        '\x6A\x6F\x69\x6E',
        '\x72\x65\x76\x65\x72\x73\x65',
        '\x73\x70\x6C\x69\x74',
        '\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C',
        '/*;*/',
        'php_uname()',
        'str_split(rawurldecode(str_rot13(',
        'substr(md5(time()), 0, 8) . ".php"',
        '0byt3m1n1',
        'ZeroByte',
        "'str_' .'rot13'",
        "'st' .'rrev'",
        '100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59',
        '83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40',
        '"http://$xxx',
        '?useragent=$botbotbot',
    ];

    /**
     * Signatures regular expressions.
     *
     * @var array
     */
    public static $regex = [
        '<\\?php\\s*eval\\(\\s*base64_decode\\(\\s*"ew0KaWYgKCFkZWZpbmVkKC[^"]{100,60000}"\\)\\);\\s*(\\?>)?',
        '<\\?php\\s*eval\\(base64_decode\\("ew0KaWYgKCFkZ.{100,1000}Qp9DQp9"\\)\\);\\?>\\s*',
        'eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]{1000,20000}hbC8qbmxpcHlmbWNreSovKGliY2ticmJ2KCRzaXVyeGJyYSwgJHlkKSk7Cn0="\\s*\\)\\s*\\)\\s*;',
        '<script\\s*[^>]{0,40}>var\\s*(\\w{1,40})\\s*=\\s*\\[["\'][^\\]]{400,550}[\'"]\\];\\s*var\\s*url\\s*=\\s*String\\[\\1\\[\\d\\][^`]{700,950}var\\s*(\\w)\\s*=\\s*true;\\s*for\\(var\\s*i=scrpts\\[\\1\\[15\\]\\];\\w--;\\)\\{if\\(scrpts\\[\\w\\]\\[\\1\\[\\d+\\]\\]\\s*==\\s*\\1\\[\\d+\\]\\)\\{\\2\\s*=\\s*false\\}\\};if\\(\\2\\s*==\\s*true\\)\\{a\\(\\)\\}\\}</script>',
        '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*\\[(?:[\'"](?:\\\\x\\w{1,2}){1,40}[\'"]\\,?){1,40}\\]\\s*\\;\\s*.{700,1250}\\s*==\\s*\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*(\\w{1,40})\\s*=\\s*false\\s*\\}\\s*\\}\\s*;\\s*if\\s*\\(\\s*\\2\\s*==\\s*true\\s*\\)\\s*\\{\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\}\\s*\\}',
        '\\A\\s*var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;',
        'var\\s*(\\w{1,40})\\s*=\\s*document\\.createElement\\([\'"](\\w{1,40})[\'"]\\)\\;\\s*\\1\\.type\\s*\\=\\s*[\'"]text\\/javascript[\'"]\\;\\s*\\1\\.src\\s*=\\s*String\\.fromCharCode\\((\\s*\\d+\\s*\\,?){20,140}\\s*\\)\\;\\s*var\\s*scripts\\s*\\=\\s*document\\.getElementsByTagName\\([\'"]\\2[\'"]\\)\\;',
        '<script\\s+language=javascript>\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;</script>',
        '\\A\\s*eval\\(\\s*String\\.fromCharCode\\((\\d+\\s*,\\s*){3}[^)]+\\)\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.base64_dco]{15,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][\'"\\s\\.creat_funio]{17,40}[\'"]\\s*;\\s*\\s*\\$\\w{1,40}\\s*=\\s*["\'][\'"\\s\\.gzuncompres]{15,40}\\s*\\;.{2500,3000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*//\\w{32}',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[["][^`]{40000,64000}\\}=create_function\\([\'"][\'"],@?gzuncompress\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)\\);\\$\\{\\$\\w{1,40}\\}\\(\\);\\s*\\?>\\Z',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"](Ratel)[\'"]\\s*\\)\\s*\\)\\s*\\{.{9000,9999}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*return\\s*TRUE\\s*;\\s*\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*new\\s*\\1\\s*;\\s*\\2->init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*@?preg_match\\s*\\(\\s*[\'"]/?(?:checkout|admin|\\|){1,3}/?[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,20}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?file_put_contents\\s*\\(\\s*.{1,200}\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*[\'"]Ratel[\'"]\\s*\\)\\s*\\)\\s*\\{.{42000,44000}\\s*echo\\s*[\'"]\\$\\w{1,40}[\'"]\\s*;\\s*unset\\s*\\((?:\\s*\\$\\w{1,40}\\s*\\,?\\s*){1,9}\\)\\s*\\;\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*[\'"]\\s*\\)\\s*\\;\\s*\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\)\\;\\s*\\?>',
        '\\A\\s*<\\?php\\s*[^`]{1000,60000}\\s*\\?>\\s*(<\\?php\\s+/\\*\\*\\s*\\*\\sFront\\sto\\sthe\\sWordPress\\sapplication)',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((?:\\s*[\'"][^\'"]{24,96}[\'"]\\s*,?){50,70}\\s*\\)\\s*;.{0,284}eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>',
        '@file_put_contents\\([\'"]\\w{1,40}\\.php[\'"]\\s*,\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/raw[^\\)]{1,40}\\)\\)\\;',
        '<\\?php\\s*(?:\\s*\\$\\w{1,9}\\s*=\\s*(?:\\s*chr\\(\\d+\\)\\.?){1,20}\\;|\\s*\\$\\w{1,9}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)(?:\\s*\\[\\s*[\'"][^\'"]{1,9}[\'"]\\s*\\])?\\s*;\\s*){1,20}(?:\\s*\\$\\w{1,9}\\s*[\\(,\\.\\)]\\s*){1,9}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\$\\w{1,9}\\s*\\(\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*if\\(isset\\(\\$_GET\\[[\'"]\\w{1,10}[\'"]\\].{60,70}\\$disable_functions\\s*=\\s*@ini_get\\([\'"]disable_functions[\'"]\\);\\s*.{320,350}echo[\'"]<b>\\s*gagal[\\s\\w]{0,15}[\'"];\\s*\\}\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*(?:\\s*(?:error_reporting|set_time_limit|ignore_user_abort)\\s*\\(\\s*\\w{0,40}?\\s*\\)\\s*;){3}(?:\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,210}?[\'"]\\s*;){2}\\s*do\\s*\\{.{100,300}@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*\\;\\s*chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\}\\s*while\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*@?(echo)\\s*[\'"][^\\;]{15,250}[\'"]\\s*\\;\\s*if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]_upl[\'"]\\s*\\]\\s*==\\s*[\'"]\\w[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\@?copy\\s*\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\[[^\\{]{1,40}\\s*\\{\\s*\\1\\s*[\'"].{1,40}[\'"]\\;\\s*\\}\\s*else\\s*\\{\\s*\\1[^\\}]{1,40}(\\s*\\}\\s*){2}\\s*\\?>',
        '\\A\\s*<\\?php\\s+[^\\$]{0,10}\\$\\w{1,40}[^\\$]{0,10}\\=[\'"]\\w{1,40}[\'"]\\;.{10,150}\\s*;\\s*(\\$\\w{1,40})\\s*=\\$\\w{1,40}\\s*\\(\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\1\\s*\\(\\s*\\)\\s*;',
        '<\\?php\\s*@?extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\&\\&\\s*@?(assert|eval)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\&\\&\\s*@?exit\\s*;\\s*',
        '\\*/@\\$\\w\\&\\&@\\$\\w\\s*\\(\\s*\\$\\w\\s*\\(\\s*\\$\\w\\s*,\\s*\\$\\w\\s*\\)\\s*\\)\\s*;/\\*',
        '\\*/extract\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;/\\*',
        'if\\s*\\(isset(\\(\\$\\_REQUEST\\[)[^\\]]{1,40}\\]\\)\\s*\\&\\&\\s*isset\\1([^\\]]{1,40})\\]\\)\\s*\\&\\&\\s*\\1\\2\\]\\s*\\=\\=\\s*\\\'\\w{1,40}\\\'\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*([^\\;]{1,40})\\;\\s*switch\\s*\\(.{6000,8000}extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}(\\s*\\/\\/\\$?\\w{1,40}){0,3}',
        'call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*\\w{1,40}\\s*\\,\\s*str_rot13\\s*\\(\\s*strrev\\s*\\(\\s*[\'"][^\']{1,400}\'\\)\\)\\)\\);',
        '\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if.{1,200}\\s*echo\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}',
        '<\\?php\\s*@?file_put_contents\\s*\\(\\s*([\'"][^\'"]*[\'"])\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?unlink\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\?>',
        'extract\\(\\$_(?:COOKIE|GET|POST|SERVER|REQUEST)\\);\\s*if\\s*\\(\\$\\w\\)\\s*\\{\\s*@\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\s*;\\s*@?\\$\\w\\(\\$\\w\\(\\$\\w\\s*,\\s*\\$\\w\\)\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s+echo\\s*[\'"]\\s*Priv8\\s+Home\\s+Root\\s+Uploader.{500,1000}echo\\s*[\'"]gagal\\s+upload[\'"];\\s*}\\s*\\}\\s*\\}\\s*\\?>',
        'file_put_contents\\s*\\(\\s*[\'"][^,]{1,120}\\,\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmVjaG8gIlRoaXMgc2hpdCB3b3JrcyEiOw0KaWYgKGlzc2V0KCRfRklMRVNbImZpbGVuYW1lIl0pK[^,]{500,510}\\;(\\s/\\*[\'"]\\)\\;)?',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}="[^"]+";\\s*\\$\\w{1,40}=\'[^\']+\';\\s*(\\$\\w{1,40}=(\\$\\w{1,40}\\[\\d+\\]\\.?)+;\\s*){4,10}\\s*\\$\\w{1,40}=\\$\\w{1,40}\\([\'"]{2},\\$\\w{1,40}\\("[^"]+",\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\$\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40}\\(\\$\\w{1,40}\\),\\$\\w{1,40}(,\\d)?\\);\\s*\\?>',
        '<\\?php\\s*\\$[_0O]{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;[^`]{30000,38000}\\?>\\s*(<\\?php\\s+/\\*\\*\\s+\\*\\sCodeIgniter)',
        '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGFyclswXT0[^"]{60000,}[\'"]\\)\\)\\;',
        'if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]wp_func_jquery[\'"]\\s*\\)\\s*\\)\\s*(?:\\{\\s*if\\s*\\(!current_user_can\\(\\s*[\'"]read[\'"]\\s*\\)\\))?\\s*\\{\\s*function\\s*wp_func_jquery\\s*\\(\\s*\\)\\s*{\\s*\\$host\\s*=\\s*[\'"]https?://[\'"]\\s*;.{100,500}?add_action\\([\'"]wp_footer[\'"]\\s*,\\s*[\'"]wp_func_jquery[\'"]\\);\\s*\\}\\s*\\}',
        'error_reporting\\(0\\);\\s*ini_set\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+,\\s*\\d+\\);\\s*echo\\s+@?file_get_contents\\(\\s*(chr\\(\\d+\\)\\s*\\.?)+\\);',
        'set_time_limit\\(\\d+\\);\\s*error_reporting\\(\\d+\\);\\s*preg_replace\\([\'"]\\\\x[^\'"]+[\'"],[\'"].{50000,}[\'"],[\'"].{2,5}\\);',
        '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]{10,300};\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]{10,300};\\s*\\?>',
        'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(isset\\(\\$_REQUEST\\[([^]]+)\\]\\)\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'base64_decode.]+;\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\(\\$_REQUEST\\[\\2\\]\\);\\s*eval\\(\\4\\);\\s*\\}\\s*return;\\s*\\}\\s*add_action\\(\'after_setup_theme\'\\s*,\\s*\'\\1\'\\);',
        '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*(passthru|system|shell_exec|popen)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?>',
        '<\\?php\\s+\\$\\w{1,40}=\'[^;]+;if\\(isset\\(\\$\\{\\$\\w{1,40}\\[[^}]+}\\[\\$\\w{1,40}[^)]+\\)\\)\\{eval\\(\\$\\{[^)]+\\);\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval.+\'\\)\\);\\s*/\\*,\\*/\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '\\A<\\?php\\s*(?:\\$[O0_]{1,40}\\s*=[^;]{1,300};+\\s*){3,5}.{50000,};exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>',
        '\\A<\\?php\\s+\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{800,2000};\\}echo \\$_\\d+;exit;\\}\\s*/\\*',
        '<\\?php\\s*\\$[O0_]{1,40}=\'.{30000,}Content-Type:text/html;charset=utf-8\\\\\'\\);echo\\s+"\\$[O0_]{1,40}";exit\\(\\);\\}\'\\);\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\$[O0_]{1,40}="[^"]+";\\?>',
        '<\\?php\\s*@?(eval|assert)\\s*\\(\\s*\\$_(?:REQUEST|GET|POST|COOKIE|SERVER)\\s*\\[\'p\'\\]\\s*\\)\\s*$',
        '<\\?php\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65"\\s*,\\s*"[^"]+"\\s*,\\s*""\\s*\\);\\s*\\?>',
        '<\\?php\\s*\\$[O0_]{1,40}=\'.{10000,40000}ltrim\\(\\s*str_replace\\(\\s*\'index\\.php\'\\s*,\\s*\'\'\\s*,\\s*\\$_SERVER\\[\'REQUEST_URI\'\\]\\)\\s*,\\s*\'/\'\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}',
        '<\\?php\\s*\\$\\w{1,40}\\s*=.{1,100}str_replace\\(\'[^\']+\'\\s*,\\s*\'\'\\s*,\\s*base64_decode\\(\\s*\'[^\']+\'\\s*\\)\\s*;\\s*call_user_func\\([^;]+;\\s*\\?>',
        '@include\\s+"(/|\\\\057|\\\\x2f).{20,300}(\\.|\\\\056|\\\\x2e)(i|\\\\x69|\\\\071|\\\\151)(c|\\\\143|\\\\x63)(o|\\\\157|\\\\x6f)"\\s*;',
        '\\$auth_pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$color\\s*=\\s*"[^"]*"\\s*;\\s*\\$default_use_ajax\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;',
        '\\$links\\s*=\\s*new\\s+Get_links\\(\\);\\s*\\$links\\s*=\\s*\\$links->get_remote\\(\\);\\s*echo\\s*\\$links;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>',
        '<meta\\s+http-equiv="refresh"\\s+content="\\d+;\\s+url=[^"]+">\\s*<body\\s+onLoad="tiktak\\(\\);">',
        'function (\\w{1,50})\\(\\)\\s*\\{\\s*(\\$a)=\'(\\w{1,50})\';\\s*if\\(stripos\\(@\\$_SERVER\\[\\2\\(\'\\w+\',\\d+\\)\\],\\2\\(\'\\w+\',\\d+\\)\\)!==false\\)\\s+return;\\s*\\$\\w=dirname\\(__FILE__\\)\\.\\2\\(\'\\w+\',\\d+\\);.{8000,10000}add_action\\(\\s*\\3\\(\'\\w+\',\\d+\\)\\s*,\\s*"\\1"\\s*\\);',
        'if\\(md5\\(\\$bannermass\\)==\\$get_url_var\\)\\s*\\{\\s*\\$set_cookie\\(stripslashes\\(\\$check_category\\)\\);\\s*\\}',
        '<\\?php\\s*(\\$\\w{1,40})=range\\(1,\\d+\\);\\s*(\\$\\w{1,40})=chr\\(\\1\\[[^;]+;\\s*\\2\\(\\$\\{chr\\(\\1\\[[^;]+;\\s*\\?>',
        '\\$USER->Authorize\\(1\\s*,\\s*true\\);\\s*\\?>',
        '\\$links\\s*=\\s*\\$client_lnk->build_links\\(\\);\\s*if\\s*\\(!\\$iKnowYou\\)\\s*\\{\\s*\\$bodyText\\s*=\\s*preg_replace\\(".\\(\\.\\*\\)\\(<\\(\\\\s\\*\\?\\)\\\\/\\(\\\\s\\*\\?\\)body\\(\\[\\^>\\]\\*\\?\\)>\\).s"\\s*,\\s*"\\$1\\\\r\\\\n<div>"\\s*\\.\\s*\\$links\\s*\\.\\s*"</div>\\$2"\\s*,\\s*\\$bodyText\\);\\s*\\}',
        '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(.{1,600}@eval\\(\\$_\\d+\\);exit\\(\\);\\}\\}',
        '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*"[^"]+";\\s*|\\$\\w{1,40}\\s*=\\s*str_replace\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*|\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\("\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*){6,}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([\'"]{2}\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\w+"\\s*,\\s*""\\s*,[^)]+\\)\\)\\)\\s*;.{1,30}\\?>',
        '<\\?php\\s*function\\s(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*&\\$\\w{1,40}\\s*;.{1,300};\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\$d\\]\\s*\\);\\s*\\?>',
        '<\\?php\\s*\\$[O0_]+=\'[^\']+\';\\s*\\$[O0_]+=\\("[^"]+"\\);\\$[O0_]+=\\$[O0_]+\\{.{20000,30000};\\$\\{"[^"]+"\\}\\["[^"]+"\\]\\(\\);\\?>',
        'function\\s+\\w{1,40}\\s*\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\)\\s*\\{\\s*\\$kses_str\\s*=\\s*str_replace\\s*\\(\\s*array.{2000,23000}setcookie\\(\\s*\'\\w+\'\\s*,\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*unset\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\1\\(\\);\\s*\\}',
        'if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*eval\\(\\$_POST\\[\'\\w+\'\\]\\);\\s*else\\s*echo\\s*"<form.{1,70}</button></form>";',
        '<\\?php\\s*error_reporting\\(0\\);\\$[O0o]{1,40}=.{10000,20000}chr\\(hexdec\\((\\$\\w+)\\[(\\$\\w+)\\]\\.\\1\\[\\2\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>\\s*<\\?php\\s*/\\*\\*\\s+\\*',
        '<\\?php\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{1000,1500}\\);\\}\\s*echo\\s*\\$_\\d+;exit;\\}\\s*/\\*\\*\\s+\\*',
        'if\\s*\\(isset\\(\\$_GET\\[\'view\'\\]\\)\\)\\s*\\{.{1,100}eval/\\*\\*/\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*join\\s*\\(\\s*"[^"]*"\\s*,\\s*file\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*die\\s*;\\s*\\}',
        'if\\s*\\(isset\\((\\$_(?:(POST|GET|COOKIE))\\[[^]]+\\])\\)\\)\\{@?\\$_(?:POST|GET|COOKIE)\\[[^]]+\\]\\(stripslashes\\(\\1\\)\\);\\};',
        '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"aWYoaXNzZXQoJF9SRVFVRVNUWy[^"]{400,1000}"\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>',
        '<\\?php\\s*error_reporting\\(0\\);(\\$\\w{1,40})="[^"]+";\\1=str_replace.{14000,19000}=chr\\(hexdec\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\.\\$\\w{1,40}\\[\\$\\w{1,40}\\+1\\]\\)\\);return\\s*\\$\\w{1,40};\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*//header\\(.{30000,40000}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\}\\s*\\}@\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\$\\w{1,40},0444\\);\\}\\}\'\\);\\$\\{"[^"]*"\\}\\["[^"]*"\\]\\(\\);\\s*\\?>',
        'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;',
        'extract\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'if\\(preg_match_all\\(\'/\\\\\\$tmpcontent\\s*=\\s*@file_get_contents\\\\\\("http:\\\\/\\\\/\\(\\.\\*\\)\\\\/code20\\\\.php.{1,300}newdomain\'\\],\\s*\\$file\\);\\s*@file_put_contents\\(__FILE__,\\s*\\$file\\);\\s*print\\s*"true";\\s*\\}',
        'function\\s*theme_temp_setup\\(\\s*\\$phpCode\\s*\\)\\s*\\{\\s*\\$tmpfname\\s*=\\s*tempnam\\(sys_get_temp_dir\\(\\)\\s*,\\s*"theme_temp_setup"\\);\\s*\\$handle\\s*=\\s*fopen\\(\\s*\\$tmpfname\\s*,\\s*"w\\+"\\);\\s*fwrite\\(\\s*\\$handle\\s*,\\s*"<\\?php\\\\n".{1,100}return\\s*get_defined_vars\\(\\);\\s*\\}',
        '\\$\\w{1,40}\\s*=\\s*""\\s*;\\s*(?:\\$\\w{1,40}\\s*.=\\s*"[^"]{0,2000}"\\s*;\\s*){3,}?.{100,7000}\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*null\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*unset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*@?preg_replace\\(\'/[^/]{1,40}/e\'\\s*,\\s*\'[^,]+,\\s*\'[^\']+\'\\s*\\);\\s*\\?>',
        'print_r\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;',
        'print_r\\s*\\(\\s*call_user_func_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s+passthru\\(getenv\\("HTTP_\\w{1,50}"\\)\\);.{1,200}\\?>',
        '/\\*([^*]{1,40})\\*/\\s*ini_set\\(\'error_reporting\'\\s*,\\s*E_ALL\\);\\s*ini_set\\(\'display_errors\'\\s*,\\s*1\\);\\s*ini_set\\(\'display_startup_errors\'\\s*,\\s*1\\);\\s*@include\\s*"[^"]{10,250}";\\s*/\\*\\1\\*/',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"][^\'"]{1,40}[\'"]\\);\\s*eval\\(\\1\\);\\s*\\?>',
        '<\\?php\\s*(//header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?(\\s*\\$[O0_]+=(\'[^\']*\'|\\d+);){3,}\\s*\\$[O0_]+=array\\(.{300,500}\\?>',
        '@copy\\s*\\(\\s*\\$_FILES\\[file\\]\\[tmp_name\\]\\s*,\\s*\\$_FILES\\[file\\]\\[name\\]\\);\\s*exit;',
        '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_GET\\[\'check\'\\]\\)\\)\\s*\\{\\s*echo\\s*"checked.{300,600}echo\\s*\'<a href=\'\\.\\$file\\.\'>\'\\.\\$file\\.\'</a>\';\\s*\\}\\s*else\\s*\\{\\s*echo\\("FILE"\\);\\s*\\}\\s*\\?>\\s*</body>\\s*</html>',
        '\\A<\\?php\\s*eval\\(base64_decode\\(\'ZWNobyBmaWxlX2dldF9jb250ZW50cygiaHR0c.{1,100}\'\\)\\);\\s*\\?>',
        '<\\?php\\s*echo\\s*md5\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*system\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'SCRIPT_FILENAME\'\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*/\\*(\\w{1,40})\\*/\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*===\\s*"[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*/\\*\\1\\*/\\s*\\?>',
        '(include|include_once|require|require_once)\\s*\\(\\s*\\$_SERVER\\[\\s*\'DOCUMENT_ROOT\'\\s*\\]\\s*\\.\\s*\'[\\w/_0%]{0,200}\\.(jpg|gif|jpeg|bmp)\'\\s*\\)\\s*;',
        '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[^]]+\\]\\)\\s*&&\\s*@?preg_replace\\(\'/ad/e\',[^;]{1,200};\\s*\\?>',
        '<\\?php\\s+ob_start\\(\\s*\\);\\s*var_dump\\([^;]+;\\s*\\$output\\s*=\\s*ob_get_clean\\(\\);\\s*\\$fp\\s*=\\s*fopen.{10,100}eval\\(gzinflate\\(base64_decode\\("[^"]{10000,30000}"\\)\\)\\);\\s*\\?>',
        '<\\?php\\s+preg_replace\\("/\\.\\*/e","eval\\(gzinflate\\(base64_decode.{1500,3000}\\)\\)\\);",""\\);\\?>',
        '<\\?php\\s+echo\\s+\\d+[\\+\\-\\*\\/]\\d+;\\$\\w{1,40}=base64_decode.{100,2000}\\)]\\);};\\s*\\?>',
        '(\\$\\w{1,40})\\s*=\\s*[assert\'"\\. ]{7,};\\s*(\\$\\w{1,40})=[eval\'"\\. ]{5,};\\s*@\\1\\("\\2\\(\\\\\\$_(GET|POST|COOKIE|SERVER)\\[[^]]{1,40}\\]\\s*\\)"\\s*\\)\\s*;',
        '<\\?php\\s*\\$f\\s*=\\s*[create_function.\'" ]{15,};if.{10,200}print_r\\(\\s*\\$out\\s*\\);\\s*die\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*class\\s*(\\w{1,40})\\s*\\{\\s*public\\s*\\$data\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*function\\s*__destruct\\s*\\(\\s*\\)\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*data\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*\\(\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*echo\\s*"[^"]+";\\s*\\$payload\\s*=\\s*base64_decode.{900,1500}fputs\\(\\s*\\$f\\s*,\\s*\\$payload\\s*\\);\\s*fclose\\(\\$f\\);\\s*unlink\\(__FILE__\\);\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}="[^;]+"\\s*;\\s*preg_replace\\s*\\(\\s*"/[^/]+/e"\\s*,\\s*\\$_\\s*\\(\\s*"[^"]{1,500}"\\s*\\)\\s*,\\s*0\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*@set_time_limit\\(0\\);\\s*\\$xmlname\\s*=\\s*\'\\w{1,40}\\.xml.{300,1000}\\};eval\\(\\$[O0]{1,20}\\("[^"]{5000,}"\\)\\);\\s*\\?>',
        '<\\?php\\s*@ini_set\\("display_errors.{1600,1900}fwrite\\((\\$\\w{1,40})\\s*,\\s*"<\\?php\\\\n\\$\\w{1,40}\\[1\\]\\\\n\\?>"\\);\\s*fclose\\(\\1\\);\\s*include\\(([^)]{1,50})\\);\\s*unlink\\(\\2\\);\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\}\\s*\\?>\\s*',
        '<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>\\s*<\\?php\\s*error_reporting\\(E_ALL\\);\\$DOMAIN.{2500,4500}enc\\(\\$str\\);fwrite\\(\\$file,\\$str\\);fclose\\(\\$file\\);\\}\\?>\\s*<\\?php\\s*/\\*\\s*\\w{1,40}\\s*\\*/\\s*\\?>',
        '<\\?php\\s*@ini_set\\("log_errors", false\\);@ini_set\\("display_errors.{500,1200}gzuncompress\\(base64_decode\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)\\);\\s*@fclose\\(\\$\\w{1,40}\\);\\s*include\\s*\\$\\w{1,40};\\s*\\};\\s*\\?>',
        'if\\(isset\\(\\$_GET\\[\'bataboom.{100,300}Submit"/></form><\\?php\\s*\\}\\}',
        '\\A<\\?php\\s*/\\*\\w{1,42}\\*/\\s*\\$\\{"\\\\x.{100,4000}?"\\);\\}\\s*/\\*\\w{1,42}\\*/\\s*\\?><\\?php',
        'if\\s*\\(!empty\\(\\$_REQUEST\\[\'ch2\'\\]\\)\\s*&&\\s*\\$_REQUEST\\[\'ch2\'\\]\\s*==.{400,650};fclose\\(\\$fp\\);include\\([^)]+\\);\\s*\\}\\s*\\}',
        '@preg_replace\\(\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*\\.\\s*\\$exif\\[[^\\]]+\\]\\s*,\\s*\'\'\\s*\\);',
        '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\'ch\'\\]\\)\\s*\\{\\s*echo "OK";\\s*exit;\\s*\\}.{100,400}echo\\s*"An error occured";\\s*\\}\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\'\\s*,\\s*strrev\\(\';\\)\\)\\]\\w{1,40}\\[REVRES_\\$\\(edoced_46esab\\(lave\'\\s*\\)\\s*\\);\\s*@\\$\\w{1,40}\\(\\s*\\);',
        'include\\(\'/[0-9a-zA-Z_\\-/]{1,150}/bitrix/images/iblock/ib\\.gif\'\\);',
        '<\\?php\\s*echo\\s*"PHP\\s+Uploader.{200,500}echo "Failed to Upload\\.";\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*&&\\s*exit\\s*;',
        'include\\s*"\\\\x2.{1,300}?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)"\\s*;',
        '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\\w{1,40}\\]\\)\\)\\s*\\{\\s*echo.{100,1000}-->"\\.\\$_FILES\\["\\w+"\\]\\["\\w+"\\];\\}else\\{echo"<b>";\\}\\}\\}\\s*\\?>',
        '<\\?php\\s*ini_set\\("log_errors", false\\);ini_set\\("display_errors", false\\);error_reporting\\(0\\);if\\s*\\(isset\\(\\$_REQUEST.{1,1000};file_put_contents\\(\\$tmp, "<\\?php "\\.gzuncompress\\(base64_decode\\(\\$_POST\\["\\w+"\\]\\)\\)\\);include \\$tmp;\\};\\s*\\?>',
        'if\\s*\\(\\s*!empty\\s*\\(\\s*(\\$_(GET|POST|COOKIE|REQUEST))\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}=\\s*\'\';if\\(!empty\\(\\$_COOKIE\\)\\){foreach.{100,1000}Cookie\'\\s*\\)\\s*!==\\s*false\\s*\\)\\s*header\\(\\$\\w{1,40}\\);\\s*return\\s*strlen\\(\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*\\Z',
        '\\$payload\\s*=\\s*"[^"]{100,9000}"\\s*;\\s*preg_replace\\s*\\(\\s*\'/.*/e\'\\s*,\\s*"[^"]{1,300}"\\s*,\\s*\'\\.\'\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:system|exec|shell_exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'\\s*2>&1\\s*\'\\s*\\)\\s*;\\s*\\}',
        '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\([^)]{1,100}\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:assert|eval)\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"[^;]+;\\s*\\1\\s*\\.=\\s*"[^;]+;\\s*@\\1\\(.{100,3000}"\\)\\)\\)\'\\);',
        'if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*\\{\\s*move_uploaded_file\\(.{100,400}\\$filename\\s*=\\s*\\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\$time\\s*=\\s*time\\(\\)\\s*-\\s*\\d+;\\s*touch\\(\\$filename\\s*,\\s*\\$time\\);',
        '<\\?php\\s*error_reporting\\(0\\);\\s*set_time_limit\\(\\d+\\);\\s*function id2str\\(\\$id\\)\\s*\\{.{1000,3000}curl_close\\(\\$curl\\);\\s*echo\\s*\\$content;\\s*\\?>',
        '\\$user\\s*=\\s*new\\s*CUser;\\s*(\\$arFields)\\s*=\\s*array\\([^)]+\\);\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\1\\);\\s*if\\(intval\\(\\$ID\\)\\s*>\\s*0\\)\\s*echo\\s*\'[^\']+\';\\s*else\\s*echo\\s*\\$user->LAST_ERROR;',
        '(/\\*[^*]{1,30}\\*/)\\s*error_reporting\\(0\\);\\s*@ini_set\\(\\s*\'error_log\'\\s*,\\s*NULL\\s*\\);\\s*@ini_set\\(\\s*\'log_errors\'\\s*,\\s*0\\);\\s*@ini_set\\(\\s*\'display_errors\'\\s*,\\s*\'Off\'\\);\\s*@eval\\(\\s*base64_decode\\(.{100,20000}\\1',
        '<\\?php\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;?\\s*\\?>',
        'wp_load_cachers\\(\\);\\s*function.{1000,1300}strip_tags\\(\\$mdetailes\\(\\)\\);\\s*\\}',
        '<\\?=\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*stripslashes\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>',
        '\\A<\\?php\\s*\\$function\\s*=\\s*create_function\\(.{10,200}?\\);\\s*\\$function\\(\\s*\\);\\s*\\?>\\s*\\Z',
        '<\\?php\\s*function\\s*encode\\(\\s*\\$string\\s*\\)\\s*\\{.{500,800}=\\s*function\\(\\s*\\)\\s*\\{\\s*\'\\.\\$b\\[\'code\'\\]\\.\'\\}\'\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*preg_replace\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){1,4}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*@md5\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_FILES\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*\\$_POST\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=[^;]{1,100};\\s*\\$\\w{1,40}\\s*=\\s*"[^"]{1,500}"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(system|shell_exec|exec|passthru|popen)\\s*\\(\\s*\\[\\s*\'[^\']{1,10}\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*echo\\s*"<pre>"\\s*;\\s*(?:system|exec|eval|assert|shell_exec|passthru)\\(\\$_(?:GET|POST|COOKIE|REQUEST)\\[[^]]{1,20}\\]\\)\\s*;\\s*echo\\s*"</pre>"\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password.{6500,7500}?\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*(?:eval|assert|passthru|exec|system|shell_exec)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;',
        '\\$\\w{1,10}\\s*=\\s*\'[^\']{1,10}\'\\s*\\.\\s*substr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\d+\\s*,\\s*\\d+\\);\\s*\\$\\w{1,10}\\s*=\\s*preg_replace\\(\\s*\\$\\w{1,10}\\s*,\\s*strtr\\(\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\s*,\\s*\\$\\w{1,10}\\)\\s*,\\s*\'[^\']{1,20}\'\\s*\\);',
        '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST);.{100,300}var_dump\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*\\}\\s*\\?>',
        '\\$arr\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*foreach\\s*\\(\\s*\\$arr\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*end\\(\\$\\w{1,40}\\);.{1,100}echo\\s*\\$\\w{1,40};\\s*}\\s*}',
        '<\\?\\s*=\\s*\\(\\s*\\$(\\w{1,20})\\s*=\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]{1,10}\\s*\\]\\s*\\)\\s*\\.@?\\$\\1\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]{1,10}]\\s*\\]\\s*\\)\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\s*===.{100,1000},\\);array_walk\\(\\$\\w{1,40}\\s*,\\s*strval\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\s*,\\s*\'\'\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*var_dump\\((eval|assert|system|shell_exec|exec|passthru)\\(\\$_\\1\\[\'\\w{1,40}\'\\]\\)\\);\\?>',
        '<\\?php\\s*@set_time_limit\\(\\d+\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\[\'\\w{1,40}\'\\]\\)\\)\\s*system\\(base64_decode\\(\\$_\\1\\[\'.\'\\]\\)\\);\\s*\\?>',
        '<\\?\\s*if\\(\\$\\w{1,40}\\s*!=\\s*""\\)\\s*print\\s*Shell_Exec\\(\\$\\w{1,40}\\);\\s*\\?>',
        '<\\?php\\s*/\\*\\s*(.{1,40}?)\\s*\\*/\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\(\\s*\\$\\w{1,40}.{7000,9000}\\);\\s*/\\*\\s*/\\1\\s*\\*/',
        '\\$_(GET|POST|REQUEST|COOKIE)\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\?\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\(\\s*\\$_\\1\\[\\s*"\\w{1,40}"\\s*\\]\\s*\\)\\s*:\\s*null;',
        '<\\?php\\s*\\$\\w{1,40}="\\w{32}";.{20000,30000};\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>',
        '<\\?php\\s*@copy\\(\\$_FILES\\[\'\\w{1,40}\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'\\w{1,40}\'\\]\\);',
        '<\\?php\\s*error_reporting\\(0\\);\\s*if\\(isset\\(\\$_GET\\[\'ms-load\'\\]\\)\\s*&&.{100,1000}\\}\\s*\\}\\s*endif;\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=".{100,1000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"",[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*(\\$\\w{1,10}=["\'][^"\']{0,5}["\'];){10,}.{50,300}eval\\(\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*"[^"]{2000,5000}"\\)\\)\\);\\s*\\?>',
        'if\\(\\$_REQUEST\\["key"\\]\\s*!=\\s*""\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$_REQUEST\\["key"\\]\\s*==\\s*"[^{]+{\\$\\w{1,40}\\s*=\\s*copy\\(\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\.\\s*".{1,100}/restore\\.php"\\s*,\\s*\\$_SERVER\\["DOCUMENT_ROOT"\\]\\s*\\."[^"]{1,100}"\\)\\s*;\\s*if\\(\\$\\w{1,40}\\)\\s*{\\s*die\\(\\s*"ok"\\s*\\)\\s*;\\s*}\\s*else\\s*{\\s*die\\s*\\(\\s*"fail"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\};',
        '<\\?php\\s*(//\\w{1,40})?\\s*\\$\\{"[^"]+"\\}\\["[^"]+"\\]="[^"]+";\\$\\{".+;echo\\$\\{\\$\\w{1,30}};exit\\(\\);\\}\\}\\}\\}\\s*(//\\w{1,40})?\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[\\s*"ms-load"\\s*\\]\\s*\\)\\s*&&.{100,1000}print "Error:n";\\s*\\}\\s*\\}\\s*\\}',
        '\\A<\\?php\\s*\\$\\w{1,40}=\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\'\',.{1000,3000}\'\\);\\s*\\$\\w{1,40}\\(\\);\\s*\\Z',
        'function\\s*sendCcNumber\\(\\s*\\)\\s*\\{.{2000,8000}curl_close\\(\\$ch\\);\\s*\\}',
        '<\\?\\s*if\\(!isBot\\(\\)\\)\\{\\s*if\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*\\{setcookie\\(".{300,7000}\\$botname\\s*=\\s*\\$bot;\\s*return\\s*true;\\s*\\}\\s*return false;\\s*\\}\\s*\\?>',
        'if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '\\$USER->Update\\(1\\s*,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*["\'][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*require\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/bitrix/footer\\.php"\\);',
        '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]+"\\s*,\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z',
        '\\A\\s*<\\?php\\s*/\\*[^*]{32}\\*/\\s*eval\\(base64_decode\\("[^"]{500,2000}"\\)\\);\\s*\\?>\\s*\\Z',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);\\s*global.{100,40000}\\{eval(/\\*[^\\*]+\\*/)?\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\[\'\\w{1,40}\'\\]\\[\\d+\\]\\]\\)\\s*;\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}\\s*\\?>',
        '<\\?php\\s*(?:/\\*.{1,3000}\\*/\\s*)?@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?',
        '<\\?php\\s*(?://header\\(\'Content-Type:text/html; charset=utf-8\'\\);)?\\s*\\$\\w{1,40}=\'\\d+\';\\s*\\$\\w{1,40}=urldecode\\("%.{20000,}\\}\\}\'\\);\\$\\{"[^"]{3,100}"\\}\\["[^"]{3,100}"\\]\\(\\);\\s*\\?>',
        'eval\\(base64_decode\\("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl[^"]+"\\)\\);',
        '<\\?php\\s*\\$\\w{1,40}=gzinflate\\(base64_decode\\(\'[^\']{20000,}\'\\)\\);\\s*preg_replace\\([^\\?]{1,50}\\?>',
        '<\\?php\\s*\\$.{1,100}\\$\\w\\s*=\\s*"[^"]{50000,}";\\s*@\\$\\w\\([^)]+\\);"\\);\\s*\\Z',
        '<\\?php\\s*/\\*[^*]{1,100}\\*/\\s*\\$GLOBALS.{3000,5000}function\\s+\\w{1,40}\\(\\$a\\s*,\\s*\\$b\\){\\s*\\$c=\\$GLOBALS\\[\'\\w{1,40}\'\\];\\$d=pack\\(\'H\\*\',[^)]+\\);\\s*return \\$d\\(substr\\(\\$c, \\$a, \\$b\\)\\);};eval\\(\\w{1,40}\\(\\d+,\\d+\\)\\);};\\?>',
        '<\\?php\\s*/\\*[^*]{1,200}\\*/\\s*\\$auth_pass = ".{32}";\\s*\\$eval=\\("\\?>"\\.gzuncompress\\(base64_decode\\("[^"]{20000,}"\\)\\)\\);\\s*@?eval\\(\\$eval\\);\\s*\\?>',
        '<\\?php\\s*(?:system|passthru|shell_exec)\\(\\s*"\\$\\w{1,40}"\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*@ini_set\\(\'display_errors.{800,1300}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\("\\$\\w{1,40}"\\)\\s*,\\s*\'wp_function\'\\s*\\)\\s*\\);\\s*preg_match\\(\\s*\'\\#gogo.{100,1000}unlink\\([^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\'\\w{1,40}\';\\s*}\\s*',
        '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]{5,100};\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\A\\w{1,50}\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]{100,1000}"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z',
        '\\$z0\\s*=\\s*\\$_REQUEST.{10,300}?(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\1\\(\\);',
        '<\\?php\\s*preg_replace\\s*\\(\\s*"\\|\\.\\*\\|ie"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]+"\\s*\\)\\s*;',
        '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array.{400,1000}?\\(\\d+\\)\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\A<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{20000,}"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z',
        'if\\s*\\(JRequest::getVar\\(\'get_product\',0,\'POST\'\\)\\|\\|JRequest::getVar\\(\'get_product\',0,\'COOKIE\'\\)\\){.{300,1000}?exit\\(\\);}',
        '\\A<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\?>\\s*',
        '<\\?\\s*eval\\(base64_decode\\(\'.{76}\'\\.\\s*\'.{76}\'\\.',
        '<\\?php.{100,2000};include\\s*\\$\\w{1,40}\\(\\$\\{\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\}\\)\\[\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\.\\$\\w{1,40}\\[\\d+\\]\\];\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w+;\\$GLOBALS\\[\'\\w+\'\\]=Array\\(\\);global\\s*\\$\\w{1,40};\\$\\w{1,40}=\\$GLOBALS;\\$\\{"\\\\x[^"]{10,100}"}\\[\'\\w+\'\\]="\\\\x.{4000,7000}\\);\\}\\}\\s*\\?>',
        '\\*/\\s*preg_replace\\s*\\(\\s*"\\\\[^"]{10,30}"\\s*,\\s*"\\\\[^"]{10,110}"\\s*,\\s*"\\\\[^"]+"\\s*\\)\\s*;\\s*/\\*',
        '<\\?php\\s+\\$.{6000,9000}"",\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*""\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>',
        '{\\s*move_uploaded_file\\s*\\(\\s*\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"true"\\s*;\\s*\\}',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*error_reporting\\s*\\(\\s*\\w+\\s*\\)\\s*;.{100,1000}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\'[^\']*\'\\s*\\)\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\*/\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.{10000,15000};\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);\\}\\}\\}\\s*/\\*',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>\\s*<form.{50,200}</form>',
        '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\^\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;',
        'if\\s*\\(\\s*is_file\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*include_once\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$(\\w{1,40})\\s*\\)\\s*\\{.{1500,2500}?include\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*unlink\\("\\{\\$\\w+\\}\\.\\$\\w+"\\);\\s*\\$\\1\\s*=\\s*\'[^\']*\'\\s*;\\s*}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'/\\w+/e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;',
        '{\\s*\\$USER->Authorize\\(\\$_REQUEST\\[\'ID\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);\\s*}',
        '<\\?php.{5000,10000}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;.{1,200}?\\?>',
        '\\$UnixTimeLastEdit\\s*=\\s*"[^"]{1,100}";\\s*\\$MenuAcoAuthor\\s*=\\s*"[^"]{1,100}";.{100,2000}?echo\\s*eval\\s*\\(\\s*base64_decode\\(\\s*\\$SystemJoCode\\s*\\)\\s*\\);',
        '\\$\\w{1,40}\\s*=\'[^\']*\'\\^\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\^\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\s*\\(\\s*\'.\\w{1,30}.e\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;',
        '<\\?php.{1,2000};}else\\{\\$\\w{1,40}="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";move_uploaded_file\\(\\$_FILES.{100,1000}";}}',
        '\\$USER->Authorize\\(\\$_(?:REQUEST|GET)\\[\'\\w+\'\\]\\);\\s*LocalRedirect\\("/bitrix/admin/"\\);',
        '<\\?php\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'if\\s*\\(\\s*@isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*tryyr\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}[^;]+;\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*@?\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '//\\#\\#\\#==\\#\\#\\#\\s*assert\\s*\\(.{1000,5000}\\)\\)"\\);\\s*//\\#\\#\\#==\\#\\#\\#',
        '@\\s*include(_once)?\\s*\\(\\s*\\$_SERVER\\[\\s*"DOCUMENT_ROOT"\\s*\\]\\s*\\.\\s*"/bitrix/.{1,200}?\\.gif"\\s*\\)\\s*;',
        '<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\s*\\(\\s*"\\#Ask\\\\s\\*Jeeves.{2000,4000}\\$_SERVER\\[HTTP_HOST]"\\s*\\)\\s*;\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\)\\s*;\\s*echo\\s*\\$result\\s*;\\s*}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\(\'\\$\\w{1,40}\'\\s*,\\s*".+?\'\\s*\\)\\s*;\\s*@?\\$\\w{1,40}\\("[^"]+"\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*include\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^;]+\\s*;\\s*@?eval\\(\\$\\w{1,40}\\([^)]{5000,}\\)\\);',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;.+?curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*print\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*/\\*\\*[^*]{1,5000}\\*\\*/\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;(\\s*//\\s*Password\\s*)?\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '\\*/\\s*(include|require|include_once|require_once)\\s*/\\*',
        '(<\\s*\\?\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*){3,}',
        '<\\?php\\s*function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*\\)\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\]\\s*:\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=.+eval\\s*\\(\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\?>)?',
        '<\\s*\\?\\s*require\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*[^)]+\\)\\s*;\\s*LocalRedirect\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*([\'"][^"\']*[\'"]\\s*\\.\\s*)+[\'"][^"\']+[\'"];.+?function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*',
        '\\$\\w{1,40}\\s*=\\s*[\'"][^;]+;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*){2,}\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*}\\s*\\[\\s*\\$\\w{1,40}\\s*\\(\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}\\s*\\)\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){2,}}\\[\\$\\w{1,40}\\s*\\((\\$\\w+\\[\\d+\\]\\s*\\.?){2,}\\)]\\);}',
        '<\\?php\\s*class\\s*\\w+\\s*\\{\\s*public\\s*function\\s*__construct\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*\\$\\w{1,40}\\s*,\\s*438\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\w+\\s*;\\s*',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;',
        'define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*class_exists\\s*\\(\\s*[\'"]COM[\'"]\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'PHPINFO_IS\'\\s*,\\s*\\(\\s*!eregi\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\?\\s*1\\s*:\\s*0\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*new\\s*Get_links\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*return_links\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*',
        'class\\s+Get_links\\s*{\\s*var\\s*\\$host\\s*=.+?(return\\s*\'<!--link error-->\';\\s*}\\s*}|\\$data = file_get_contents\\(\\$file\\);\\s*return \\$data;\\s*}\\s*}\\s*})',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*eval\\s*\\(\\s*trim\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*sprintf\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*@error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*base64_decode\\s*\\(\\s*\\w+\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*;\\s*\\?>',
        '<\\?php\\s*echo\\s*[\'"][^\'"]+[\'"];\\s*preg_replace\\s*\\([\'"][^\'"]+[\'"]\\s*,\\s*["][^"]+["]\\s*,\\s*["][^"]+["]\\s*\\);\\s*\\?>',
        '<\\?php\\s*die\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\([^}]+\\s*}\\s*\\?>',
        '(/\\*[^\\*]+\\*/)?if(/\\*[^\\*]+\\*/)?\\s*\\((/\\*[^\\*]+\\*/)?\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*(/\\*[^\\*]+\\*/)?\\s*\\)\\s*(/\\*[^\\*]+\\*/)?\\s*\\)(/\\*[^\\*]+\\*/)?\\s*\\{\\s*(/\\*[^\\*]+\\*/)?\\s*(eval|assert)\\s*(/\\*[^\\*]+\\*/)?\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)(/\\*[^\\*]+\\*/)?;\\s*(/\\*[^\\*]+\\*/)?exit\\s*;(/\\*[^\\*]+\\*/)?\\s*\\}',
        'if\\s*\\(\\s*isset\\(\\s*\\${\\s*[^}]+\\s*}\\s*\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*["\'evalbs64srtprglc\\s\\.]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\${[^}]+}\\s*\\[[^\\]]+\\]\\s*\\);\\s*exit;\\s*}',
        '<\\?php\\s*if\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\${(/\\*[^*]+\\*/)?"_.{1,250}?exit;[^}]+}',
        '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*==["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*system\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*echo\\s*<\\s*<\\s*<\\s*HTML\\s*<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*',
        '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=__LINE__\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*eval\\s*\\(\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*return\\s*;\\s*\\?>',
        '\\*/\\s*["\'](\\\\x2f|/)[\\\\\\-\\*\\sa-zA-Z0-9_/\\.]+?(\\.|\\\\x2e)(p|\\\\x70)(h|\\\\x68)(p|\\\\x70)["\'];\\s*/\\*',
        '<\\?php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"Pragma: hack"\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\(\\s*string\\s*\\)\\s*\\(\\s*filesize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*readfile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;',
        '<\\?php\\s*/\\*[^*]+\\*/\\s*\\$\\w+\\s*=[\'"][^\'"]+[\'"];\\s*\\$\\w+\\s*=\\s*str_rot13\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w+\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*array_map\\s*\\(\\s*"[^"]*"\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*',
        'isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*&&\\s*@preg_replace\\s*\\(\\s*[\'"][^\'"]*e[\'"]\\s*,\\s*[^,]+\\s*,\\s*[\'][^"\']*[\']\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*[\'"]\\s*\\]\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*:["\'][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*foreach\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_start\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*ob_end_flush\\s*\\(\\s*\\)\\s*;',
        'print\\s*[\'"][^\']*["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*UPLOAD_ERR_OK\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*["\'][^"\']*[\'"]\\s*\\]\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*["\'][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}',
        '<\\s*\\?\\s*if\\s*\\(\\s*\\$_FILES\\[\'F1l3\'\\]\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*["\']<\\?php\\s*\\(["\']\\s*;.+?\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;\\s*@fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '\\$cookey\\s*=\\s*"[^"]*"\\s*;\\s*preg_replace\\s*\\(\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^\'"]*["\']\\s*\\)\\s*;',
        'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==\\s*["\'][^"\']*["\']\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '<\\?php\\s*(//header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;)?\\s*\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*.+?;\\${"(\\\\x[0-9a-fA-F]{2,3})+"}\\s*\\["(\\\\x[0-9a-fA-F]{2,3})+"\\]\\(\\);\\s*\\?>',
        '\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\w+\\s*\\(\\s*base64_decode\\s*\\(\\s*[^)]+\\)\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\]\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*ceil\\s*\\(\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*/\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*\\?\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[^{]+{\\s*\\$\\w{1,40}\\s*=\\s*Array\\([^>]+>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*.+?\\s*,\\s*\\$\\w{1,40}\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^;]+;\\s*\\w+\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\.\\s*"[^"]*"\\s*;\\s*Smarty3::redirect\\s*\\(\\s*[^)]+\\s*\\)\\s*;\\s*\\?>',
        '^\\s*<\\?php\\s*header\\s*\\(\\s*\'Location:\\s*https?://[^/]+/\\?a=\\w+&c=\\w+\'\\s*\\)\\s*;\\s*\\?>\\s*$',
        '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*header\\s*\\(\\s*"Location:\\s*http[^"]*"\\s*\\)\\s*;\\s*/\\*\\s*\\w+\\s*\\*/\\s*exit\\s*;\\s*\\?>',
        '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_exists.+?file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*@filemtime\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*@file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\.\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*FILE_APPEND\\s*\\)\\s*;\\s*@touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        '\\$\\w{1,40}-\\s*>\\s*sendCcNumber\\s*\\(\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;',
        'class\\s*Ma\\w+\\s*extends\\s*Mage_\\w+\\s*\\{\\s*public\\s*function\\s*indexAction\\s*\\(\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*.+?\\s*\\}\\s*else\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*,\\s*["\'][^"\']*["\']\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^\'"]+["\']\\s*\\]\\s*\\)\\s*;\\s*echo[^$]+\\$_FILES\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\}',
        '<\\?php\\s*echo\\s*"[^"]*"\\s*;\\s*(passthru|exec|shell_exec|popen|system|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '(\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*)+\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*foreach\\s*\\(.+?\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POST\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}',
        '<\\?php\\s*/\\*\\*\\s*\\*\\s*Plugin\\s*Name:\\s*Login\\s*Wall.+?\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}',
        '<\\?php\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*1\\s*\\)\\s*;\\s*function\\s*str_between.+magento\\s*not\\s*found\'[^\']*\'Content-type:\\s*application/json\'\\s*\\)\\s*;\\s*echo\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*pi\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=["\'][^\'"]+["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@date_default_timezone_set\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\?\\s*l1HXxk0\\s*\\(\\s*\\)\\s*:l11x\\s*\\(\\s*\\)\\s*;\\s*l15Oe\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;.+?break\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*<\\s*0\\s*\\?\\s*abs\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}%=\\$\\w{1,40}\\s*;\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '<\\?php\\s*function\\s+getBot\\(\\s*\\$\\w{1,40}\\s*\\).+if\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?(copy|move_uploaded_file)\\s*\\(\\s*\\$_FILES\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w+\\s*\\(.+?\\)\\);',
        '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']+["\']\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^"\']+[\'"]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*["\'][^\'"]+["\']\\s*;\\s*\\}\\s*\\?>',
        '<\\s*\\?\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@import_request_variables\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*!=\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*;\\s*return\\s*;\\s*\\?>',
        'require_once\\s*\\(\\s*findsysfolder\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*;\\$\\w+=\'[^\']+\';\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*dirname\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*;\\s*clearstatcache\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*return\\s*findsysfolder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\}',
        '<\\?(php)?\\s*\\$\\w+\\s*=(\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*)+\\s*;\\s*(\\s*\\$\\w+\\s*=(\\$\\w+\\(\\s*\\d+\\s*\\)\\s*\\.?\\s*){10,};\\s*){2,}\\$\\w+=\\$\\w+\\s*\\(\\s*["\']+\\s*,\\s*\\$\\w+\\s*\\)\\s*;\\s*@\\$\\w+\\(\\s*\\);\\s*\\?>',
        '<\\s*\\?\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\s*\\(\\s*\\)\\s*;\\s*Echo.+?<input\\s+type="submit" name="\\w+"\\s+value="go!"\\s+/></form>\\s*<\\?php\\s*}\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*E_ALL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*TRUE\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;.+?http_build_query\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*stream_context_create\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*return\\s*file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*[*+/-^]\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*exit\\s*;\\s*\\}',
        'if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*==[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*;',
        '\\$GLOBALS\\[[^]]+\\]\\s*=\\s*\\$_SERVER;\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*["\'][\'"]\\s*;\\s*global.+?\\(\\s*\\$url\\s*,\\s*FALSE\\s*,\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*\\);\\s*return\\s*\\${\\s*\\w+\\(\\s*[^)]+\\)\\s*}\\s*;\\s*}',
        '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"login"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;.+?<\\s*form\\s*enctype\\s*="[^"]*"\\s*method\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"/\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"/\\s*>\\s*<\\s*/form\\s*>',
        '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+\\$password=_\\d+\\(0\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\);',
        '\\#!/usr/bin/env.+?\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*9\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*;\\s*\\}',
        'define\\s*\\(\\s*\'[^\']*\'/\'[^\']*\'\\s*,\\s*DIRECTORY_SEPARATOR\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*realpath\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*[^)]+\\)\\s*;\\s*if\\s*\\(\\s*!file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[^)]+\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[^)]+\\)\\s*;\\s*\\}\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*("[^"]*"\\s*\\.)?\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '<\\?\\s*php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?',
        '<\\?php\\s/\\*\\s*--\\s*enphp.+unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\?>',
        '(\\$\\w+=[^;]+;)+@\\$\\w+\\(@\\$\\w+\\(@\\$\\w+\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[[^]]+\\]\\)\\)\\);die\\(\\);',
        '(\\$arr_word\\[\\d+\\]\\[\\]\\s*=\\s*"\\d+";){10,}',
        '//insta\\w+\\s*(require|include|require_once|include_once)\\(["\'][^\'"]+[\'"]\\);\\s*//insta\\w+',
        '<\\?\\s*php\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*global\\s+\\$\\w.+@\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*FALSE\\s*,\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*\\)\\s*;\\s*return\\s*\\$\\s*\\{\\s*\\w+\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\}\\s*;\\s*\\}',
        '<\\?php\\s*\\$str\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$str\\);\\?>',
        '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*==["\'][^\'"]*["\']\\s*\\)\\s*\\{\\s*echo\\s*\\w+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'upload\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;',
        '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\w+[^)]{1000,}\\)\\s*\\);\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){2,}\\s*\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*return\\s*;',
        'include\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'/includes/_bb_press_plugin.class.php\'\\s*\\)\\s*;\\s*register_activation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*//\\s*M\\s*register_deactivation_hook\\s*\\(\\s*__FILE__\\s*,\\s*array\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*10\\s*,\\s*3\\s*\\)\\s*;\\s*add_action\\s*\\(\\s*\'[^\']*\'\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*echo\\s*eval\\s*\\(base64_decode\\s*\\(\\s*(str_replace\\s*\\(\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*\\s*,)+\\s*[\'"][^\'"]+[\'"]\\s*(\\)\\s*)+;',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*\\.\\s*"[^"]*".+?<\\s*form\\s*method\\s*="[^"]*"\\s*enctype\\s*="multipart/form-data"\\s*>\\s*<\\s*input\\s*name\\s*="[^"]*"\\s*type\\s*="[^"]*"\\s*>\\s*<\\s*input\\s*type\\s*="[^"]*"\\s*value\\s*="[^"]*"\\s*>\\s*<\\s*/form\\s*>\\s*<\\?php\\s*\\}\\s*\\?>',
        '<\\?php\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*Authorize\\s*\\(\\s*1\\s*\\)\\s*;\\s*require_once\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*,\\s*\\d+\\s*\\)\\s*;\\s*strripos\\s*\\(\\s*@sha1\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*\\d+\\s*&&\\s*@\\$\\w{1,40}\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,};\\s*\\$\\w+\\((\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*,\\s*\\$\\w+\\s*,\\s*[\'"]+\\s*\\);',
        '<\\?php\\s*\\$\\w{1,40}="[^"]{3000,}"\\s*;\\s*(\\$\\w+\\.?="[^"]+";\\s*){3,}\\s*@?\\$\\w+(?:\\(\\$\\w{1,40}){3,}\\){3,};\\s*(\\?>)?',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-\\d+\\s*;\\s*\\$\\w{1,40}\\+=\\s*\\d+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*hexdec\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\+\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*function\\s*clear_folder\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*opendir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\).+\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*rmdir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*is_dir\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*;\\s*else\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*htmlspecialchars\\s*\\(\\s*file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}(\\s*//file\\s*end)?',
        'function\\s+css\\(\\$i\\)\\s*{\\s*\\$\\w+\\s*=\\s*"[^"]+";\\s*\\$xml_content=file_get_contents\\(\\$\\w+\\.\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*array\\((\\s*"[^"]+"\\s*,?)+\\);\\s*reset\\(\\$\\w+\\);.+?echo\\s*\\$xml_content;(\\s*exit\\(\\);)?\\s*}\\s*}\\s*}\\s*(css\\(\\s*\'[^\']+\'\\s*\\);)?',
        '<\\?php\\s*\\$\\w+=\'[^\']+\';\\s*\\$\\w+=(\\$\\w+\\{\\d+\\}\\.?){3,};(\\s*\\$\\w+\\s*=(\\$\\w+\\{\\d+\\}\\.?)+;)+\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*[\'"].[\'"]\\s*,?){1,}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(((\\s*[\'"].[\'"]\\s*\\.?)\\s*,\\s*?){1,}\\s*,\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?)+\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\?>',
        '@?file_get_contents\\("[^"]+"\\s*\\.\\s*\\$_SERVER\\[\'HTTP_REFERER\'\\]\\s*\\.\\s*"&\\w+=http://"\\s*\\.\\s*\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/[^"]+"\\);',
        'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '(GIF\\d+a\\+\\s*)?<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\?>',
        'copy\\(\'http://.+?\'\\s*,\\s*\'\\w+\\.php\'\\);exit;',
        '\\$wp_nonce=isset\\(\\$_POST\\[\\$_SERVER{\\$_SERVER{.+?unset\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*echo\\s+\\$wp_auth_check;',
        '/\\s*\\*\\w+\\s*\\*/\\s*@include\\s*"[^"]*"\\s*;\\s*/\\s*\\*\\w+\\s*\\*/',
        '<\\?php(\\s*//.+?$)?(\\s*/\\*[^*]{1,5000}\\*/)?\\s*preg_replace\\s*\\(\\s*"/\\.\\*/e"\\s*,\\s*"[^"]+"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*(\\?>)?',
        '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*(\\$\\w{1,40}\\s*\\.?){2,}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*',
        '<div\\s+id="\\w+">\\s*(<a\\s+href=\'[^\']+\'\\s+title=\'[^\']+\'>[^<]+</a>\\s*){20,}<script>\\s*eval.+?</script>\\s*</div>',
        '<\\?\\s*php\\s*\\(\\s*\\$\\w{1,40}=@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\.\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!=\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}',
        '<\\?\\s*php\\s*eval\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\?>',
        '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*function_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\).+?echo\\s*\\$\\w{1,40}\\s*;\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>',
        '<\\s*\\?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$_(?:GET|POST)\\s*\\[\\s*pass\\s*\\]\\s*==\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;.{1000,5000}/>\\s*</form>\\s*<\\?php\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*success\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}!="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case.+?print\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*->\\s*content\\s*\\)\\s*;\\s*get_search_form\\s*\\(\\s*\\)\\s*;\\s*get_sidebar\\s*\\(\\s*\\)\\s*;\\s*get_footer\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}',
        '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*.+?preg_split\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*-1\\s*,\\s*PREG_SPLIT_NO_EMPTY\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\$\\w{1,40}\\s*=>\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*-3\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*4\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*0\\s*;\\s*\\$\\w{1,40}<\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*echo\\s*\\d+\\+\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\([^;]+;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^;]+;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*base64_decode\\s*\\([^\\]]+\\]\\s*==\\s*base64_decode\\s*\\([^}]+\\{\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*base64_decode\\s*\\(.+?\\)\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\((\\s*\\d+\\s*,\\s*){3,}\\d+\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*\\$\\w{1,20}\\s*=(?:\\$\\w{1,20}\\[\\s*\\d{1,5}\\s*\\]\\s*\\.?\\s*){3,}.+?include[^?]+\\?>',
        '\\$\\w{1,20}\\s*=\\s*[\'"][^\'"]+["\']\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\s*\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\(\\s*\\${\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\}\\[\\s*(\\$\\w{1,20}\\[\\s*\\d+\\s*\\]\\s*\\.?\\s*){3,}\\s*\\]\\s*\\);\\s*}',
        '\\$\\w{1,40}="\\w{1,20}";if\\(!empty\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\){\\$[^@]+@\\$\\w+\\(stripslashes\\(\\$_(REQUEST|GET|POST|COOKIE)\\[\\$\\w+\\]\\)\\);}else\\s*@unlink\\(__FILE__\\);',
        '<\\?php\\s*\\$\\w{1,20}=\\$_POST\\[\\w{1,20}\\];echo\\s*eval\\(\\$\\w{1,20}\\);echo "404 Not Found";\\s*\\?>',
        '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[[\'"]\\w{1,20}[\'"]\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)(/\\*[^*]+\\*/)?\\[[\'"]\\w{1,20}[\'"]\\]\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\["\\w{1,20}"\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?exit(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?',
        '(/\\*[^*]+\\*/)?if(/\\*[^*]+\\*/)?(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?isset\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?{(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?["\'][assert\'".\\s]+["\'];(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?=(/\\*[^*]+\\*/)?\\$\\w{1,20}(/\\*[^*]+\\*/)?\\((/\\*[^*]+\\*/)?\\$_(REQUEST|GET|POST|SERVER|COOKIE)\\[\'\\w{1,20}\'\\](/\\*[^*]+\\*/)?\\)(/\\*[^*]+\\*/)?;(/\\*[^*]+\\*/)?exit;(/\\*[^*]+\\*/)?}(/\\*[^*]+\\*/)?',
        '\\$\\w{1,}\\s*=\\s*[\\s_.GET"\']+;\\s*if\\s*\\((!empty|isset)\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*preg_replace\\(\\s*[^,]+\\s*,\\s*[\\s"e.\'Val]+\\(\\s*\\$\'\\s*\\.\\s*\\$\\w+\\s*\\.\\s*\'\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\)[\'"]\\s*,\\s*[\'"][\'"]\\);',
        '<\\?php\\s*if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\) && \\(md5\\(\\$_POST\\[\'\\w+\'\\]\\) == \'\\w{32}\'\\)\\)\\s*{\\s*\\$sc = \\(empty\\(\\$_POST\\[\'\\w+\']\\)\\).+<br/>Security Code: <br/><input name="\\w+" value=""/>\\s*<br/>Name:\\s*<br/><input name="name" value=""/>\\s*<br/>\\s*<input type="submit" value="Sent" />\\s*</form>\\s*</body>\\s*</html>\';',
        '<\\?php\\s*\\${"\\\\x[^"]+"}\\["[^"]+"\\]=.+?\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\?>',
        '<title>\\s*ol\\s+Erivfvhz',
        'if \\(!defined\\(\'ALREADY_RUN.+eval\\s*(/\\*\\w+\\*/)?\\s*\\(\\s*\\w+\\s*\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\s*\\);\\s*}',
        '(\\$\\w{1,20}\\s*=\\s*\'[^\']+\'\\s*;\\s*){6,}.+(\\$\\w{1,20}\\[\\s*[\'"]?\\d+[\'"]?\\s*\\]\\s*\\.?\\s*){5,}\\);',
        'if\\(\\$\\w+===0\\){@\\${\\w+}\\(\\$\\w+\\);}',
        'if\\(isset\\(\\$_COOKIE\\[[^]]+]\\)\\s*&&\\s*isset\\(\\$_COOKIE\\[[^]]+\\]\\)\\)\\s*{.+include\\(\\$f\\);\\s*}',
        'echo\\s+file_get_contents\\(\'index\\.html(\\.bak)+\'\\);',
        '/\\*(\\w+)\\*/\\s*@(include|require|include_once|require_once)\\s*"[^"]+";\\s*/\\*\\1\\*/',
        '\\A\\s*<\\?echo\\s+\\d+\\s*[+*/-]\\s*\\d+;\\?>\\Z',
        '<\\?php\\s*(\\$arrUrlId\\[\'[^\']+\'\\]=\'[^\']+\';\\s*)+',
        'if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["test_url"\\]\\s*\\)\\s*\\)\\s*{\\s*echo "file test okay";\\s*}.+\\$f\\s*=\\s*\\$a\\("",\\s*\\$array_name\\(\\$string\\)\\);\\s*\\$f\\(\\);',
        '<\\?php\\s+(\\$\\w+=base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\);)+eval\\(\\$\\w+\\(\\$_POST\\[base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)\\]\\)\\);.+base64_decode\\(("[a-zA-Z0-9=/]+"|\\s|\\.|chr\\(\\d+\\))+\\)]\\);\\s*};\\s*\\?>',
        'ini_set\\(\'display_errors\',\'Off\'\\);\\s*error_reporting\\(\'E_ALL\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'u\'\\]\\)\\s*&&\\s*isset\\(\\$_POST\\[\'n\'\\]\\)\\)\\s*move_uploaded_file\\(\\$_FILES\\[\'u\'\\]\\[\'tmp_name\'\\],\\$_POST\\[\'n\'\\]\\);\\s*setcookie\\(\'server\',1,time\\(\\)\\+1e6\\);\\s*\\$s=\\$_SERVER;\\s*if\\(\\$server!=1\\s*&&\\s*\\$s\\[\'HTTP_REFERER\'\\]\\s*&&\\s*strpos\\(\\$s\\[\'HTTP_REFERER\'\\],\\$s\\[\'HTTP_HOST\'\\]\\)===false\\s*&&\\s*\\$_COOKIE\\[\'server\'\\]!=1\\)\\s*{\\s*\\$server=1;\\s*eval\\(file_get_contents\\(base64_decode\\(\'\\w+\'\\)\\.\\$s\\[\'HTTP_HOST\'\\]\\)\\);\\s*}',
        '(\\$\\w{1,30}\\s*=\\s*[^;]+;){1,}\\s*@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w+\\(\\$_POST\\[[^\\]]+\\]\\)\\)\\);\\s*die\\(\\s*\\);',
        'if\\(isset\\(\\$_POST\\[.+@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(@\\$\\w{1,30}\\(\\$_POST.+<h2>Error 404</h2>\\s*</body>\\s*</html>',
        'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*[\'"](\\w+)[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*@?eval\\(\\s*stripslashes\\(\\s*\\$_POST\\[\\s*["\']\\1["\']\\s*\\]\\s*\\)\\s*\\);\\s*};',
        '<?php\\s*\\$jquery_start\\s*=\\s*true;.*?\\$jquery_end\\s*=\\s*true;.*?>',
        'RewriteEngine\\s+On\\s*(RewriteCond\\s*%{HTTP_REFERER\\}\\s*\\.\\*[^.]+\\.\\*\\$\\s*\\[NC(,OR)?\\]\\s*)+RewriteRule\\s*\\.\\*\\s*http://[^[]+\\[R,L\\]',
        'RewriteEngine\\s+On\\s*RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?br=\\$1\\s+\\[L\\]',
        '<IfModule mod_rewrite\\.c>\\s*RewriteEngine On\\s*RewriteCond %{HTTP_REFERER}\\s+\\^\\.\\*\\([^)]+\\)\\\\.\\(\\.\\*\\)\\s*RewriteCond\\s*%{HTTP_USER_AGENT}\\s*\\^\\.\\*\\(msie\\|opera\\)\\s*\\[NC\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!/index\\.php\\s*RewriteRule\\s*\\(\\.\\*\\)\\s*/index\\.php\\?query=\\$1\\s*\\[QSA,L\\]\\s*</IfModule>',
        'RewriteEngine\\s+on\\s*RewriteCond %{HTTP_ACCEPT} "text/vnd\\.wap\\.wml\\|application/vnd\\.wap\\.xhtml\\+xml"\\s*\\[NC,OR\\].+?RewriteCond\\s*%{HTTP_USER_AGENT}\\s*!windows-media-player\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+http[^]]+\\[L,R=302\\]',
        'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s*\\^\\.\\*Android\\.\\*\\$\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\$[^[]+\\[L,R=302\\]',
        'RewriteEngine\\s+on\\s+RewriteCond\\s+%{HTTP_USER_AGENT}\\s+acs.+?RewriteRule\\s+\\^\\(\\.\\*\\)\\$[^\\[]+\\[L,R=302\\]',
        '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^<]+</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*</script>\\s*</body>',
        '<html>\\s*<head>\\s*<script type="text/javascript" src="http://ajax\\.googleminiapi\\.com/angular\\.min\\.js">\\s*</script>\\s*<META HTTP-EQUIV="REFRESH" CONTENT="1;URL=[^"]+">\\s*</head>\\s*<body>\\s*</body>\\s*</html>',
        '<script>\\s*window\\.top\\.location\\.href="http://[a-zA-Z0-9-._ +"]{1,100}?"\\s*</script>',
        'DirectoryIndex\\s*index\\.php\\s*RewriteEngine On\\s*RewriteBase\\s*/\\w+/\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*index\\.php\\.\\* -\\s*\\[L\\]\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-d\\s*RewriteCond\\s*%{REQUEST_FILENAME}\\s*!-f\\s*RewriteRule\\s*\\^\\(\\.\\*\\)\\s*index\\.php\\?id=\\$1',
        '\\A<script\\s+type="text/javascript">\\s*location\\.replace\\("http://[^"]+"\\);\\s*</script>\\s*\\Z',
        '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://.+?\\s*r = Math\\.floor\\(Math\\.random\\(\\) \\* 10000\\);\\s* .+?document\\.write\\("<img src=\'" \\+ l \\+ "\'>"\\);\\s*</script>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*</html>\\s*',
        '<html>\\s*<head>\\s*<meta http-equiv="refresh" content="\\d+;\\s*url=http://[^"]+">\\s*</head>\\s*<body>\\s*<h1>Loading...</h1>\\s*</body>\\s*',
        '\\A(?:\\s*<\\?php\\s*@?include(?:_once)?\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\?>){3,5}\\s*(<\\?php\\s*/\\*\\*\\s+\\*\\s+CodeIgniter)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,60}\\);\\s*foreach\\(\\s*\\2\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s\\1\\s*\\[\\3\\];\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*strrev\\([^)]{20,60}\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\4\\s*\\([^)]{20,60}\\)\\s*\\);\\s*\\5\\(\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=[^\\?]{1000,}[\'"][\'"]\\.\\$[\\w]{1,40};\\$[\\w]{1,40}\\((?:\\1\\[\\d+\\]\\.?){5},\\s*\\$[\\w]{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)',
        '<\\?php\\s*\\$\\{[\'"][^\\?]{1000,60000}eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\[\\w{1,40}\\]\\]\\);\\s*\\}\\s*exit\\(\\);\\s*\\}\\s*(?:\\?>)?\\s*(<\\?|\\Z)',
        '\\A\\s*<\\?php\\s+[^\\[]{1,600}\\s*function\\s+\\w{1,40}\\(\\s*\\$ip,\\s*\\$array\\) \\{[^`]{60000,}<\\?php\\s+@?chdir\\(\\s*\\$lastdir\\s*\\);\\s*c99shexit\\s*\\(\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\w{1,40}[\'"]?;\\s*function\\s+(\\w{1,40})\\s*\\([^\\?]{99,200}\\?[^\\?]{60000,}=\\s*array\\((?:\'[^\']\'=>\'[^\']\'\\s*,?\\s*){50,70}\\);\\s*eval(?:/\\*\\w{1,40}\\*/)?\\(\\s*\\1\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\);\\s*(?:\\?>)?\\s*(<\\?|\\Z)',
        '\\A\\s*<\\?php\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e[\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>',
        '<\\?(?:php)?\\s*\\$USER->Authorize\\([\'"]1[\'"]\\);(?:\\s*//\\s*[^/]{0,39})?\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"].{300,450}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*(\\$\\w{1,40})\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\3\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\4\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '/\\\\x65"\\s*,\\s*"\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)"',
        '\\A<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\?>\\s*\\Z',
        '(<\\?php\\s*)?if\\s*\\(\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*(\\?>)?',
        '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\${.+?;\\s*@\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\?>',
        '@(require|include|include_once|require_once)\\([\'"][^/]+/\\d+[\'"]\\);',
        '<\\?php\\s*@include_once\\("index\\.php"\\);\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*"[preg_replace\\s\\.\\"]+";\\s*\\$\\w+\\("/\\[discuz\\]/e",\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],"[^\\"]+"\\);',
        '<\\?php\\s*\\$\\w+=\\".+?\\";\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\${(\\$\\w+\\[\\d+\\]\\.?)+};\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*(\\$\\w+\\[\\d+\\]\\.?)+;if\\s*\\(!empty\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\$GLOBALS\\[.+?echo\\s+(\\$\\w+\\[\\d+\\]\\.?){10,};',
        '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0444\\);',
        '<\\?php\\s*\\$\\w+\\s*=\\s*"\\w+";\\s*if\\(isset\\(\\$_REQUEST\\[\\$\\w+\\]\\)\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\$\\w+\\]\\)\\);\\s*exit\\(\\);\\s*};\\s*\\?>\\s*',
        '<\\?php eval\\("[^"]+"\\.\\$_REQUEST\\[\'.\'\\]\\."[^"]+"\\);\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\(\\s*\\$www\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\)\\s*&&\\s*@preg_replace\\(\\s*\'.ad.e\'\\s*,\\s*\'@\'\\s*.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$www\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*exit;\\s*}',
        '<\\?php\\s+\\$[a-z].+?strtoupper.+?isset.+?eval\\s*\\(\\s*\\${\\s*\\$[a-z0-9]+\\s*}\\s*\\[\\s*\'[a-z0-9]+\'\\s*\\]\\s*\\);\\s*}\\s*\\?>\\s*',
        'if\\s*\\(\\$_REQUEST\\[.param1.\\]&&\\$_REQUEST\\[.param2.\\]\\)\\s*{\\$f.+?array\\(\\$_REQUEST\\[.param2.\\]\\);.+?array_filter.+?OK.;\\s*Exit;}',
        'if\\s*\\(\\$_FILES\\[.F1l3.+?\\$_POST\\[.Name.\\]\\);\\s*echo\\s*.OK.; Exit;}',
        '<\\?php global \\$[a-z0-9]+; \\$[a-z0-9]+=array\\(.+?\\)\\);\\};unset\\(\\$[a-z0-9]+\\);',
        '<\\?php\\s*\\@preg_replace\\(./\\(\\.\\*\\)/e.+?, ..\\);',
        '<\\?php\\s+\\$GLOBALS.+?\\[\\d+\\]\\]\\);}exit\\(\\);\\}\\s+\\?>',
        '<\\?php\\s+\\$sF="\\w+_.+?\\)\\);\\}\\?>\\s*',
        '<\\?php\\s+\\$qV="stop_.+?\\]\\);\\}\\?>\\s*',
        '\\A\\s*<\\?(?:php)?\\s*require\\(\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]\\.[\'"]/bitrix/header\\.php[\'"]\\);[^`]{60,80}\\$user\\s*=\\s*new\\s+CUser;\\s*\\$arFields\\s*=\\s*Array\\([^\\;]{350,400};\\s*\\$ID\\s*=\\s*\\$user->Add\\(\\$arFields\\);\\s*[^\\\']{170,200}\\s*\\?>\\s*\\Z',
        '<\\?php\\s+include(?:_once)?\\s*\\([\'"][^\'"]{1,40}\\.(png|gif|jpg|jpeg|ico)[\'"]\\);\\s*\\?>\\s*\\Z',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,100}[\'"][\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{2000,4000}[\'"]\\)\\)[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,100}[\'"];\\s*\\s*(\\$\\w{1,40})\\s*=\\s*[\'"](.).{0,40}\\3e\\w?[\'"];\\s*\\1\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\);\\s*(?:\\Z|\\?>)',
        '\\A\\s*(<\\?php)\\s*@?eval\\s*(?:\\(\\s*(?:base64_decode|gzuncompress|gzinflate|str_rot13)\\s*){0,6}\\(\\s*[\'"][^\'"]{1000,60000}[\'"]\\s*\\)\\s*\\);(\\s*\\/\\*\\*\\s+\\*\\s+Front\\sto\\sthe\\sWordPress\\sapplication\\.)',
        '\\A\\s*(<\\?php)\\s+/\\*[^\\?]{1,80}Not\\s+Found[^\\?]{1,80}\\?>\\s*\\*/[^\\?]{1000,1500}\\?/[^\\$]{1,40}\\s*\\$\\w{1,40}\\s*=\\s*strrev[^\\?]{100,400}\\?>\\s*\\1',
        '\\A\\s*<\\?php\\s+(?:(?:(?:else)?(?:if)?)\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\)\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*){1,2}if\\s*\\(isset\\s*\\(\\2\\)\\s*\\)\\s*\\{\\s*@?eval\\s*(\\(\\s*str_rot13|\\(\\s*base64_decode|\\(\\s*gzinflate){1,3}\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*\\}\\s*(?:\\Z|\\?>)',
        '\\A\\s*<\\?php(?:\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\s*\\{return\\s*str_replace\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\}){3}[^\\?]{200,1500}[\'"]\\)\\);[\'"]\\);\\s*\\$\\w{1,40}\\([\'"]ZXZhbChiYXNlNjRfZGVjb2Rl[^\'"]{1500,5000}[\'"]\\);\\s*(?:\\?>|\\Z)',
        '(</body>\\s*)<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{400,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)',
        '\\A\\s*<\\?php\\s*(?:/\\*\\*[^/]{1,600}/)?\\s*@?preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,\\s*str_replace\\([\'"][^\\)]{800,1500}\\)\\s*,\\s*[\'"]\\w{1,40}[\'"]\\s*\\);\\s*(?:\\?>)?\\s*\\Z',
        '\\A\\s*<\\?php\\s*header\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@?set_time_limit\\(\\d+\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*){2}\\s*\\$[O0]{5,12}\\s*=\\s*urldecode\\([\'"][^>]{5000,6000}[\'"]\\)\\);\\s*\\?>(<\\?php\\s/\\*\\*\\s+\\*)',
        '(<\\/body>)\\s*<\\?php\\s*eval\\(base64_decode\\([\'"]ZXJyb3JfcmVwb3J0aW5n[^\'"]{600,800}[\'"]\\)\\);\\s*\\?>\\s*(</html>)',
        '\\A\\s*<\\?php\\s*function[^`]{1000,1500}[\'"];\\s*preg_replace\\(\'/\\.\\*/e\',"(\\\\x\\w{2}){40,78}[\'"],\'\\.\'\\);\\s*\\?>\\s*\\Z',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\[[\'"]\\w{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<form\\s*action\\s*[^\\?]{1,600}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*\\s+\\*)',
        '(\\*/\\s*)@?(?:require_once|include|include_once|require)\\(\\s*[^;]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|js)[\'"]\\s*\\);(\\s*/\\*\\*\\s+\\*)',
        '\\A\\s*<\\?php(?:\\s*echo\\s*["\']<[^;]{1,200}[\'"];){0,5}\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]\\w{0,9}up\\w{0,9}[\'"]\\]\\s*(?:=|!)=\\s*[\'"]\\w{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{1,200}\\s*else\\s*\\{?\\s*echo\\s*[\'"][^;]{1,80}[\'"];\\s*\\}?\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s+\\$_\\[\\]=@!\\+_;\\s*\\$__=@\\${_}>>\\$_;[^`]{1,400}\\$_=\\$\\s*\\$_\\[\\$__\\+\\s*\\$__]\\s*;\\$_\\[@-_\\]\\(\\$_\\[@!\\+_\\]\\s*\\);\\s*\\?>',
        '\\A\\s*<\\?php\\s*ignore_user_abort\\s*\\((1|true)\\)\\s*;\\s*set_time_limit\\s*\\(0\\)\\s*;\\s*if\\s*\\(\\s*@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*,\\s*basename\\s*\\(\\s*\\$_FILES[^`]{1,200}type\\s*=\\s*[\'"]submit[\'"]\\s*value\\s*=\\s*[\'"]\\w{0,40}[\'"]s*>\\s*</form>\\s*[\'"];\\s*\\Z',
        '\\A\\s*<\\?php(?:\\s*echo\\s*[^`]{1,250};){0,3}\\s*if\\s*\\(\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '(public\\s*function\\s*\\w{1,40}\\(\\)\\s*{\\s*)@?eval\\(\\$_POST\\[[\'"]\\w[\'"]\\]\\);(\\s*\\}\\s*\\})',
        '<\\?php\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\][^`]{1,200}\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^`]{0,40}gagal[^`]{0,40}[\'"]\\s*;\\s*\\}\\s\\}\\s*else\\s*\\{\\s*[^`]{0,200}\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*@?(?:include|include_once|require|require_once)\\s*\\(?\\s*[\'"]https?://[^`]{1,200}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip)[\'"]\\s*\\)?\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[[\'"]\\w{1,4}[\'"]\\]\\)\\)\\s*\\{\\s*echo\\s*[\'"]<form[^`]{200,400}\\}\\s*\\}\\s*\\?>\\s*(<\\?php\\s*/\\*\\*)',
        '\\A\\s*<\\?php\\s*if\\(isset\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\)\\{\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*\\$\\1\\s*=\\s*\\(?\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\s*\\)\\s*;\\s*(system|shell_exec|passthru|exec|popen)\\(\\$\\1\\);\\s*echo\\s*[\'"][^"]{1,40}[\'"];\\s*die;\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\([\'"]?aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWw[^\\)]{1,160}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*===\\s*[\'"][^\'"]{24,40}[\'"]\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?([^\'"]{1,40})[\'"]?\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\1\\s*\\[\\s*[\'"]?\\2[\'"]?\\s*\\]\\s*;\\s*preg_replace\\s*\\(\\s*[\'"](.)[^`]{0,40}\\4e[\'"]\\s*,\\s*\\3\\s*,\\s*[\'"]\\w{1,10}[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\)\\s*\\(\\$\\w{1,40}\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\)\\s*\\.@?\\$_\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w[\'"]\\]\\s*\\);\\s*\\?>',
        '(</body>\\s*</html>)\\s*<\\?php\\s*\\$\\w{1,12}\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\(isset\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\$\\w{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*system\\(\\$_REQUEST\\[\\$\\w{1,40}\\]\\);\\s*\\}\\s*\\?>\\s*\\Z',
        '<\\?(?:php)?(?:\\s*(?:(\\s*?echo)?\\s*(ini_get|ini_restore)\\([\'"](?:open_basedir|safe_mode)[\'"]\\);\\s*){0,4}\\s*include\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);){1,2}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,12}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*(\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*if\\s*\\(isset\\(\\$_POST\\[([\'"]\\w+[\'"])\\]\\s*\\)\\s*\\)\\s*@eval\\(\\s*\\$_POST\\[\\1\\]\\);\\s*(?:\\?>|\\Z)',
        '\\$\\s*\\{\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\}\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*=\\s*[^`]{1300,1600}\\]\\}\\);\\}catch\\(Exception\\$e\\)\\{\\}echo\\$\\w{1,40};define\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{1,4}[\'"]\\);\\}',
        '<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}\\]\\}=trim\\(urldecode\\(\\$_REQUEST\\["f"\\]\\)\\);\\$\\{\\$\\{[^`]{1000,4000}"\\]\\}\\)\\{exit\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\}\\);\\}else\\{@header\\("[^"]{1,80}"\\);\\}\\}\\s*\\?>',
        '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}[^\\x00-\\x7F]{20,25}";[^`]{300,500}mail\\(\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^"]{1,40}"\\}\\["[^"]{1,40}"\\]\\},\\$\\{\\$\\{"[^\'"]{1,40}"\\}\\["[^\'"]{1,40}"\\]\\}\\);\\s*\\?>',
        '\\A<\\?php\\s*\\$\\{[\'"][^`]{1000,4000}[\'"]\\]\\};if\\(@?file_exists\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\)and\\s*empty\\(\\$_REQUEST\\[[\'"][^`]{1000,4000}\\]\\}\\)\\{exit\\(\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}else\\{@?header\\([\'"][^\'"]{1,200}[\'"]\\);\\}\\}\\s*\\?>',
        '\\$\\{[\'"][^`]{1000,8000}\\]\\}\\(\\$\\{\\$\\{["\'][^\']{1,40}["\']\\}\\[["\'][^\']{1,40}["\']\\]\\}\\);break;\\}CASE\\s+\\d+:\\{call_user_func_array\\(["\'][^\']{1,40}["\'],array\\(\\$_REQUEST\\[["\'][^\']{1,40}["\']\\]\\)\\);break;\\}\\}\\}\\}',
        '<\\?php\\s*\\$\\{[\'"][^`]{1000,8000}if\\(preg_match\\(["\']/["\']\\.\\$\\{\\$\\{["\'][^"\']{1,40}["\']\\}\\[["\'][^"\']{1,40}["\']\\]\\}\\.["\']/["\'],\\$_SERVER\\[["\'][^"\']{1,40}["\']\\]\\)\\)\\{header\\(["\'][^"\']{1,80}["\']\\);die\\(["\']<[^"\']{1,300}["\']\\);\\}\\}\\}\\s*\\?>',
        '\\A\\s*<\\?php[ ]{100,1000}/\\*[^\\*]{1,40}\\*/\\s*\\$\\w{1,40}\\s*=\\s*\\d+;\\s*if[^\\>]{3000,4000}\\s*\\$[I1l]{1,12}\\s*=\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\);\\s*\\$[I1l]{1,12}\\([\'"]/[I1l]{1,12}/\\w[\'"],\\s*\\w{1,40}\\(\\d+,\\s*\\d+\\),\\s*"[I1l]{1,12}[\'"]\\s*\\);\\s*\\};\\s*\\?><\\?php',
        '\\A\\s*<\\?php\\s+(?:Error_Reporting\\(0\\);)?\\s*\\$\\w{1,40}=[\'"][^\'"]{7000,8000}[\'"];\\s*preg_replace\\([\'"]/\\.\\*/e[\'"],[\'"][^"\']{1,120}[\'"][^\'"]{1100,1600}[\'"][^\'"]{1,40}[\'"],[\'"]\\.[\'"]\\);\\s*return;\\s*\\?>\\s*\\Z',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*"e/\\*\\./";\\s*preg_replace\\(strrev\\(\\1\\),"[^"]{2000,12000}","\\."\\);\\s*\\?>\\s*\\Z',
        '<\\?php\\s*\\$\\{[\'"][^`]{500,2000}\\?>[""];file_put_contents\\([\'"][^\'"]{1,20}\\.php[\'"],\\$\\{\\$\\{[""][^\'"]{1,40}[""]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>',
        '<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}(\\$\\w{1,40})=base64_decode\\(\\$\\{\\$\\w{1,40}\\}\\[\\d+\\]\\);(\\$\\w{1,40})=create_function\\(\\s*[\'"][\'"],\\1\\);\\2\\(\\);\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*isset\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*\\(\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{4000,5500}\\)\\);\\s*\\}\\s*\\}\\s*\\}(?:\\s*\\/\\/[^/]{1,40}){3}\\s*\\?><\\?php',
        '(\\$\\w{1,40})\\s*=\\s*range\\(\\s*\\d+,\\s*\\d+\\s*\\);\\s*(\\$\\w{1,40})\\s*=(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10};\\s*\\2\\s*\\(\\s*\\$\\{\\s*(?:\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\.?\\s*){4,10}\\s*\\}\\[\\s*chr\\s*\\(\\s*\\1\\[\\d+\\]\\d*\\)\\s*\\]\\s*\\);\\s*(?:\\?>)\\s*\\Z',
        '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]\\w{1,40}[\'"]\\s*\\])\\s*\\)\\s*\\)\\s*@?(system|exec|passthru|shell_exec|popen)\\s*\\(\\s*\\1\\s*\\s*\\)\\s*;\\s*\\?>',
        'error_reporting\\(0\\);\\s*\\$strings = "as";.+?\\)\\);\'\\)\\);',
        '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*(?:str_rot13|base64_decode|gzinflate)?\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"]?\\s*\\w{1,40}\\s*[\'"]?\\s*\\]\\s*\\)?\\s*\\)\\s*;?\\s*(?:\\?>)?\\s*\\Z',
        '\\$auth_pass="\\w{32}";\\s*function\\s+\\w{2,30}\\(\\$\\w{2,30}\\)\\s*{\\s*\\$YM\\s*=\\s*\\d+;.+"\\)\\)\\);',
        '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);.+x[a-fA-F0-9]+"\\)\\)\\);\\s*}',
        '//\\#\\#\\#=CACHES START=\\#\\#\\#\\s*error_reporting\\(0\\);\\s*assert_options\\(ASSERT_ACTIVE\\s*,\\s*1\\);\\s*.+//\\#\\#\\#=CACHES END=\\#\\#\\#',
        '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){2,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*.+die\\(\\$\\w{2,30}\\);\\s*}\\s*}\\s*}',
        '(\\$\\w{1,20}\\s*=\\s*"(\\\\x[a-fA-F0-9]{2}){10,1100}";\\s*)+\\$\\w{2,30}\\s*=\\s*(\\$\\w{1,30}\\(){3,}".+\\$\\w{1,30}\\(\\$\\w{1,30}\\);\\s*include_once\\(\\s*\\$\\w{1,30}\\s*\\);',
        'if\\s*\\(\\s*\\$_REQUEST\\[\\s*[\'"]\\w{1,20}[\'"]\\s*\\]\\s*\\)\\s*{\\s*//\\s*debug\\s*message.+?preg_replace\\("/\\w{1,30}/e", "[eval\'"\\.]+\\s*\\(\'"\\.\\$_REQUEST\\[[\'"]\\w{1,20}[\'"]\\]\\."\'\\)"\\s*,\\s*[\'"].+?[\'"]\\s*\\);',
        '//\\#\\#\\#====\\#\\#\\#\\s*@error_reporting\\(E_ALL\\);\\s*@ini_set\\(["\']error_log["\'],NULL\\);.+?\\"\\)\\);\'\\);\\s*\\$\\w{1,20}\\(\\$\\w{1,20}\\);\\s*//\\#\\#\\#====\\#\\#\\#',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\)\\s*{\\s*\\$\\w{1,30}\\s*=\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\'\\w{1,30}\'\\]\\s*;\\s*\\$\\w{1,30}\\s*=\\s*fopen\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,30}\'\\]\\s*,\\s*\'w\\+\'\\)\\s*;\\s*fwrite\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*}',
        '(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+"\\s*;\\s*(\\$\\w{2,20})\\s*=\\s*"[\\\\xa-zA-Z0-9]+";.+?\\)\\)\\).(\\1\\(\\2\\(){3,}.+\\1\\(\\2\\("[\\\\xa-zA-Z0-9]+"\\)\\)\\);\\s*}',
        'add_action\\(\\s*\'wp_head\',\\s*\'(\\w+)\'\\s*\\);\\s*function\\s*\\1\\(\\)\\s*{\\s*if\\s*\\(\\s*\\$_GET\\[\'\\w+\'\\]\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\( !username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$(\\w+)\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$(\\w+)\\s*=\\s*new\\s*WP_User\\(\\s*\\$\\2\\s*\\);\\s*\\$\\3->set_role\\(\\s*\'administrator\'\\s*\\);\\s*}\\s*}\\s*}',
        '<\\?php\\s*function\\s*_verifyactivate_widgets\\(\\)\\{.*?}\\s*function\\s*_get_allwidgets_cont\\(\\$\\w+,\\$\\w+=array\\(\\)\\){.*?}\\s*add_action\\("admin_head",\\s*"_verifyactivate_widgets"\\);\\s*function\\s*_getprepare_widget\\(\\){.*?}\\s*add_action\\("init",\\s*"_getprepare_widget"\\);\\s*.*?\\?>',
        'if\\(!empty\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\]\\)\\s*&&\\s*\\(md5\\(\\$_POST\\[\'\\w+\'\\]\\)\\s*==\\s*\'[0-9a-f]{32}\'\\)\\)\\s*{\\s*\\$security_code\\s*=\\s*\\(empty\\(\\$_POST\\[\'security_code\'\\]\\)\\)\\s*\\?\\s*\'\\.\'\\s*:\\s*\\$_POST\\[\'security_code\'\\];\\s*\\$security_code\\s*=\\s*rtrim\\(\\$security_code,\\s*"/"\\);\\s*@move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\],\\s*\\$security_code\\."/"\\.\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\s*\\?\\s*print "<b>Message sent!</b><br/>"\\s*:\\s*print\\s*"<b>Error!</b><br/>";\\s*}\\s*print\\s*\'<html>\\s*<head>[^\']*\';(//\\d+)?',
        'if\\s*\\(isset\\(\\$_GET\\[\'\\w+\'\\]\\)\\)\\s*{\\s*header\\(\\s*\'Content-Type: image/jpeg\'\\s*\\);\\s*readfile\\(\'[^\']+\'\\);\\s*exit\\(\\);\\s*}\\s*header\\(\'Location: [^\']+\'\\);\\s*exit\\(\\);',
        '(if\\s*\\(@\\$_GET\\[\'\\w+\'\\]==\\d+\\)\\s*{exit\\(\'\\d+\'\\);})\\s*if\\s*\\(!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\s*&&\\s*!empty\\(\\$_GET\\[\'(\\w+)\'\\]\\)\\)\\s*{\\s*if\\s*\\(!\\$(\\w+)\\s*=\\s*fopen\\(\\$_GET\\[\'\\2\'\\],\\s*\'a\'\\)\\)\\s*{exit;}\\s*if\\s*\\(fwrite\\(\\$\\4,\\s*file_get_contents\\(\\$_GET\\[\'\\3\'\\]\\)\\)\\s*===\\s*FALSE\\)\\s*{exit;}\\s*fclose\\(\\$\\4\\);\\s*exit\\(\'OK\'\\);\\s*}',
        'if\\(!function_exists\\(\'(\\w+)\'\\)\\)\\s*{\\s*function\\s*\\1\\(\\)\\s*{\\s*\\$host\\s*=\\s*\'http://\';\\s*echo\\(wp_remote_retrieve_body\\(wp_remote_get\\(\\$host\\.\'ui\'\\.\'jquery\\.org/jquery-1\\.6\\.3\\.min\\.js\'\\)\\)\\);\\s*}\\s*add_action\\(\'wp_footer\',\\s*\'\\1\'\\);\\s*}',
        'if\\s*\\(stristr\\(\\$_SERVER\\[\'HTTP_USER_AGENT\'\\],\\s*\'(google|yandex)\'\\)\\)\\s*\\{echo\\s*\\("<a href=\'[\\w/]+\' ?(style=\'[^\']+\')>\\w+</a>\\s*<br>"\\);}\\s*@?include\\(\\$_REQUEST\\[\'\\w+\'\\]\\);',
        'function\\s*error_handler\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*,\\s*array\\s*\\(\\s*[\'"][\'"]\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\s*\\(\\s*[\'"]error_handler[\'"]\\s*\\)\\s*;',
        'array_map\\s*\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'if\\s*\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\)\\s*\\)\\s*{\\$\\w+\\s*=\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\(\\s*["\']\\w+["\']\\s*,\\s*["\']["\']\\s*,\\s*@\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\)\\s*;\\s*}',
        '@?array\\s*\\(\\s*\\(\\s*string\\s*\\)\\s*stripslashes\\s*\\(base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\)\\s*\\)\\s*=>2\\s*\\),\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*["\']\\w+["\']\\s*\\]\\s*\\);',
        '\\$PASS=".{32}";\\s*function\\s*\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*\\d+;\\s*\\$\\w+\\s*=\\s*array\\(\\);\\s*\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*=\\s*0;\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);.+?eval\\(\\w+\\(\\$_\\w+\\("[^"]+"\\)\\)\\);',
        '@?error_reporting\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*if\\s*\\(count\\(\\$_POST\\)\\s*<\\s*2\\)\\s*{\\s*die\\(PHP_OS.+\\$\\w+\\s*<\\s*strlen\\(\\$\\w+\\);\\s*\\$\\w+\\+\\+\\)\\s*\\$\\w+\\s*\\.=\\s*chr\\(ord\\(\\$\\w+\\[\\$\\w+\\]\\)\\s*\\^\\s*2\\);\\s*return\\s*\\$\\w+;\\s*}',
        '\\$hash\\s*=\\s*"\\w+";//\\w+\\s*\\$search\\s*=\\s*\'\';.+?\\$2\\(\\$3\\(urldecode\\(\'\\$1\'\\)\\)\\)", \\$search\\."\\.@"\\.\\$wp_file_descriptions\\[\'\\w+\\.css\'\\]\\);',
        '\\$\\w{1,40}\\s*=\\s*str_ireplace\\("\\w+"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*"[^"]+"\\s*;\\s*function\\s*\\w+\\(\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*{\\s*array_map\\(.+?;user_error\\(\\$ugsceyysfy,E_USER_ERROR\\);',
        '\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*\\$[O0]+=urldecode\\("[^"]+"\\);\\$\\w+=\\$\\w+\\{\\d+\\}.+?KSkpOw=="\\)\\);\\s*\\?>',
        '<\\?php\\s*eval\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*chr\\(\\d+\\)\\s*\\]\\s*\\)\\;\\s*\\?>',
        'echo\\(\'<form\\s+method="post"\\s*enctype="multipart/form-data"><b>UPLOAD FILE:</b>\\s*<input type="file" size="25" name="upload"><br><b>FILE NAME:</b> <input type="text" name="filename" size="25"> <input type="submit" value="UPLOAD"></form>\'\\);\\s*if\\(isset\\(\\$_FILES\\[\'upload\'\\]\\)\\s*and\\s*isset\\(\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*if\\(copy\\(\\$_FILES\\[\'upload\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_POST\\[\'filename\'\\]\\)\\)\\s*{\\s*echo\\(\'[^\']+\'\\.\\$_POST\\[\'filename\'\\]\\);\\s*}\\s*else\\s*{\\s*echo\\(\'[^\']+\'\\);\\s*}\\s*}',
        '\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*\\$_SERVER;\\s*function\\s+\\w+\\(\\$\\w+\\)\\s*{\\s*\\$\\w+\\s*=\\s*"";\\s*global\\s*\\$\\w+;\\s*for\\(\\$\\w+=intval\\(\'\\w+\'\\);.+?\\${\\w+\\([^}]+}\\s*\\s*=\\s*@?\\${\\w+\\([^}]+}\\(\\$\\w+,\\s*FALSE,\\s*\\${\\w+\\([^}]+}\\);\\s*return\\s*\\${\\w+\\(\\s*[^}]+};\\s*}',
        '\\$\\w{1,40}="\\s*";\\$\\w=substr\\(0,1\\);for\\(\\$i=0;\\$i<\\d+;\\$i=\\$i\\+\\d+\\)\\s*{\\$\\w+\\.=chr\\(bindec\\(str_replace\\(chr\\(9\\),1,str_replace\\(chr\\(32\\),0,substr\\(\\$d,\\$i,\\d+\\)\\)\\)\\)\\);}eval\\(\\$s\\);',
        '<\\?php\\s*\\$([a-zA-Z0-9-_]+)=base64_decode\\("[^"]+"\\);\\s*eval\\(\\s*"return\\s*eval\\(\\\\"\\$\\1\\\\"\\s*\\);\\s*"\\s*\\)\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*\\d{1,10};\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\);\\s*global\\s*\\$\\w{1,30}\\s*;\\s*\\$\\w{1,30}\\s*=\\s*\\$GLOBALS;\\s*\\$\\{".{5000,25000}eval(?:\\s*/\\*[^*]{1,50}\\*/)?\\s*\\(\\s*\\$\\w{1,30}\\[\\s*\\$\\w{1,30}\\[\\s*\'\\w{1,30}\'\\s*\\]\\[\\s*\\d+\\s*\\]\\s*\\]\\s*\\);\\s*\\}\\s*exit\\(\\s*\\);\\s*\\}+',
        'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*\\)\\s*{\\s*extract\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\s*;\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*[\'"]\\w+[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w+\\s*\\(\\s*\\)\\s*;\\s*}',
        'function\\s*fs_login_session\\s*\\(\\)\\s*{\\s*session_start\\(\\);\\s*\\$_SESSION\\[\'login\'\\]=rand\\(\\d+,\\d+\\);\\s*\\$_SESSION\\[\'wall\'\\]\\s*=\\s*rand\\(\\d+,\\d+\\);\\s*\\$type\\s*=\\s*rand\\(\\d+,\\d+\\);',
        '(\\$\\w{1,40}\\[chr\\(\\d+\\)\\]\\(\\w+\\("[a-zA-Z0-9_/=]+"\\)\\);\\s?){3,}\\s*if\\s*\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*\\|\\|\\s*isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\s*OR\\s*strpos\\(\\$\\w+\\s*,\\s*\\$\\w+\\)\\)\\s*{',
        '<\\?php\\s*\\$\\w+\\s*=\\s*"[base64_decode".\\s]+";\\s*assert\\(\\$\\w+\\(\'[^\']+\'\\)\\);\\s*\\?>',
        '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\(\\s*\'\',\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\$\\w+="[^"]+";if\\(isset\\(\\$_POST\\["[^"]+"]\\)\\)\\${\\${"[^"]+"}\\["[^"]+"\\]}=base64_decode.+?else{echo"[^"]+";exit;}if\\(mail\\(\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]},\\${\\${"[^"]+"}\\["[^"]+"\\]}\\)\\)echo"[^"]+";else echo"[^"]+";',
        '\\$app=JFactory::getApplication\\(\\);\\s*\\$option5=\\$app.+\\(\\$layout5==\'default\'\\)\\){echo\\s*base64_decode\\(\'[^\']+\'\\);\\s*}',
        'print\\s*\'<form\\s*enctype=multipart/form-data\\s*method=post><input\\s*name=\\w+\\s*type=file><input\\s*type=submit\\s*name=g>\\s*</form>\';\\s*if\\(\\s*isset\\(\\s*\\$_POST\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*{\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*\\)\\s*\\)\\s*{\\s*@?copy\\(\\$_FILES\\[\'\\w+\'\\]\\[\'tmp_name\'\\]\\s*,\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\);\\s*}\\s*}\\s*exit;',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?else{echo"<b>\\w+";}}}',
        '\\$hostname = gethostbyaddr\\(\\$_SERVER\\[\'REMOTE_ADDR\'\\]\\);\\s*\\$blocked_words = array\\([^)]+\\);\\s*foreach\\(\\$blocked_words as \\$word\\)\\s*{.+!==\\s*false\\) {\\s*header\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\);\\s*exit;\\s*}',
        '\\$\\w{1,40}=strrev\\(\'edoced_46esab\'\\);\\$\\w+=gzinflate\\(\\$\\w+\\(\'[^\']+\'\\)\\);create_function\\(\'\',"}\\$\\w+//"\\);',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"<font color=\\#000000>\\[uname\\].+?echo\\s*\\$subject;',
        '<\\?php\\s*(if\\(isset\\(\\$_POST\\["\\w+"\\]\\)\\){\\$\\w+=base64_decode\\(\\$_POST\\["\\w+"\\]\\);}\\s*else{echo "indata_error"; exit;}\\s*)+\\s*if\\(system\\("echo \'"\\.\\$MessageBody\\."\' \\| mail -s \'"\\.\\$MessageSubject\\."\' "\\.\\$MailTo\\.""\\)\\){\\s*echo "sent_ok";\\s*}\\s*else{echo "sent_error";}',
        '\\${"[^"]+"}\\["[^"]+"]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";\\${"[^"]+"}\\["[^"]+"\\]="[^"]+";(\\$\\w+="[^"]+";){2,}\\${\\$\\w+}.+"\\)\\);return;',
        '@(require|include)_once\\(("[^"]*"\\s*\\.?\\s*|chr\\(\\d+\\)\\s*\\.?\\s*){10,}\\);',
        '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\\$_REQUEST\\[\\1\\(\\d+\\)\\],\\1\\(\\d+\\)\\);exit;}(/\\*\\w+\\*/)?}',
        '/\\*\\w{1,30}\\*/if\\(!function_exists\\(\'(\\w+)\'\\)\\){(/\\*\\w{1,30}\\*/)?\\$GLOBALS\\[\'\\w+\'\\]=Array\\([\\s.preg_replace\']+\\);\\s*function\\s*\\1\\(\\$i\\){\\$a=Array\\(\'(GS)\'.+?\'eval;\\3\',\\s*\'params\':\\s*\\[\'\\3\'\\]}',
        '<\\?php\\s*\\$(\\w+)\\s*=\\s*base64_decode\\("[^"]+"\\);\\s+eval\\("return\\s+eval\\(\\\\"\\$\\1\\\\"\\);"\\)\\s+\\?>',
        '\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,\\d+,strpos\\(\\$absolutepath,\\$localpath\\)\\);\\$\\w+=\\$root_path\\.\'/\\w.+touch\\(dirname\\(\\$\\w+\\)\\s*,\\s*time\\(\\)\\s*-\\s*mt_rand\\(\\d+\\*\\d+\\*\\d+\\*\\d+, \\d+\\*\\d+\\*\\d+\\*\\d+\\)\\);\\s*}',
        'error_reporting\\(0\\);\\s*eval\\("if\\s*\\(\\s*isset\\(\\s*\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\s*&&\\s*\\(md5\\(\\\\\\$_REQUEST\\[[\'"]ch[\'"]\\]\\)\\s*==\\s*[\'"]\\w+[\'"]\\s*\\)\\s*&&\\s*isset\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\)\\s*{\\s*eval\\(stripslashes\\(\\\\\\$_REQUEST\\[[\'"]\\w+[\'"]\\]\\)\\);\\s*exit\\(\\);\\s*}"\\s*\\);',
        '(\\$\\w+)=[preg_replace\'.\\s]+;\\s*(\\$\\w+)\\s*=.*?\\1\\(["\']\\2["\']\\s*,.*?,\\s*["\']\\w+["\']\\);',
        'error_reporting\\(0\\);@?ini_set\\(["\']display_errors["\']\\s*,\\s*0\\);\\$var=\\s*\\$_SERVER\\[["\']PHP_SELF["\']\\]\\."\\?";\\$form\\s*=["\']<form\\s*enctype="multipart/form-data"\\s*action=["\']["\']\\.\\$var\\.["\']["\']\\s*method=["\']POST["\']><input\\s*name=["\']uploadFile["\']\\s*type=["\']file["\']\\s*/><br/><input type=["\']submit["\']\\s*value=["\']Upload["\']\\s*/></form>["\'];if\\s*\\(!empty\\(\\$_FILES\\[["\']uploadFile["\']\\]\\)\\)\\s*{\\$self=dirname\\(__FILE__\\);move_uploaded_file\\(\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']tmp_name["\']\\]\\s*,\\s*\\$self\\.DIRECTORY_SEPARATOR\\.\\$_FILES\\[["\']uploadFile["\']\\]\\[["\']name["\']\\]\\);\\$time\\s*=\\s*filemtime\\(\\$self\\);print\\s*["\']OK["\'];\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}',
        '\\$localpath\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$absolutepath\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$root_path\\s*=\\s*substr\\(\\$absolutepath,\\s*0,\\s*strpos\\(\\$absolutepath, \\$localpath\\)\\);\\s*\\$xml\\s*=\\s*\\$root_path\\s*\\.\\s*\'/xm1rpc\\.php\'.*?\\$chr1\\s*=\\s*\\$chr2\\s*=\\s*\\$chr3 =\\s*"";\\s*\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*\\s*strlen\\(\\$input\\)\\);\\s*return\\s*\\$output;\\s*}',
        '\\A\\s*(<\\?php\\s)\\s{50,}(\\/(?:\\*|/)[^\\n/]{1,40}(?:\\n|/))\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\(]{1,40}\\([^\\)]{10000,}\\)\\s*\\)[^\\n]{1,40};\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*\\2',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\?]{1,200}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '<\\?(?:php)?\\s*if\\s*\\(\\s*[^\\w]?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\}]{40,200}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\\\\\'"\\s\\.aceglpr_]{12,80}\\s*;\\s*@?\\1\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[^\\}]{1,40}\\s*\\}\\s*(?:\\?>|\\Z)',
        'if\\(isset\\(\\$_REQUEST\\[\'?\\w{1,40}\'?\\]\\)\\)\\s*assert\\(stripslashes\\(\\$_REQUEST\\[\\w{1,40}]\\)\\);',
        '<\\?(?:php)?\\s*if\\s*\\(\\s*realpath\\s*\\(\\s*\\$_SERVER\\[[\'"]?SCRIPT_FILENAME[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*__FILE__\\s*\\)\\s*\\{\\s*echo\\s*\\(?[\'"][^\\(]{0,39}php_uname\\(\\s*\\)[^\\(]{40,250}\\s*if\\s*\\(\\s*\\$_POST\\[[^\\}]{20,250}\\s*\\}\\s*else(?:if)?\\s*\\{\\s*echo\\s*[^;]{1,40}\\s*;(?:\\s*\\}\\s*){3}\\s*(?:\\?>|\\Z)',
        '<\\?(?:php)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*\\);\\s*\\2\\(\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("PD9waHAgDQovL0xPRw0K[^"]{3000,4000}"\\)\\s*\\);\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*&&\\s*@?md5\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        'error_reporting\\((?:0|false)\\);\\s*if\\s*\\(\\s*eregi\\s*\\(\\s*[\'"]mainlink\\|\\w{1,40}[\'"],\\s*@?\\$_SERVER\\[[\'"]HTTP_REFERER[\'"]\\]\\s*\\)\\s*&&\\s*!\\$_COOKIE\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\s*\\{\\s*@?setcookie\\(\\s*[\'"]\\1[\'"],\\s*[\'"](\\w{1,40})[\'"]\\s*\\);\\s*\\}',
        '/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*[^\\?]{700,1500}/\\*\\s*[^\\w]{40,80}\\s*\\*/\\s*function\\s*fiy\\(\\)\\s*\\{\\s*linnk\\(\\);\\s*\\}\\s*(\\?>)\\s*\\Z',
        '(<\\?php)\\s*[^\\[]{0,99}\\s*foreach\\(\\s*\\[(?:,?\\d+){1,9}\\]\\s*as\\s*(\\$\\w{1,40})\\s*\\)[^\\?]{800,1500}\\2\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"\\s\\.creat_funio]{15,200}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*[\'"]{2},\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\);\\s*\\3\\(\\);\\s*(?:exit\\(\\s*\\);)?\\s*\\}',
        '<\\?(?:php)?\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://[^\\)]{3,}\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(\\$wp_\\w{1,9})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_FILES\\[[\'"](wp_\\w{1,9})[\'"]\\]\\)\\)\\s*\\{\\s*\\$wp_\\w{1,40}\\s*=\\s*basename\\(\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\\$]{1,40}\\$_FILES\\[[\'"]\\2[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],\\s*\\1([^\\?]{200,300})\\?path\\s*=\\s*\\1[^\\;]{1,200};',
        '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){1,5};\\s*){1,5}\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*\\$\\w{1,40}\\(\\s*[\'"][^\'"]{14000,16000}[\'"]\\s*\\)\\s*\\);\\s*echo\\s*[\'"]\\{\\s*\\$\\{\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\}\\s*\\}[\'"];\\s*(?:\\?>|\\Z)',
        '\\$\\w{1,40}\\s*=\\s*\\$_COOKIE;\\s*\\$[a-z]+\\s*=\\s*\\$[a-z]+\\[\\s*[a-z]+\\s*\\];\\s*if.+?\\$[a-z]+\\(\\s*\\)\\s*;\\s*}',
        '<\\?(?:php)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{30000,}[\'"];\\s*[^\\%]+%\\d+\\)\\s*\\)\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*@?gzinflate[^\\{]{40,100}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"]\\$\\w{1,40}[\'"],\\1\\);\\s*\\2\\([\'"][^\'"]{40,99}[\'"]\\);\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?eval\\("\\?>"\\s*\\.\\s*base64_decode\\("[^"]{15000,}"\\)\\s*\\);\\s*\\?>\\s*(<\\?php\\s+\\/)',
        '<\\?php\\s+@?eval\\("\\?>"\\.base64_decode\\("(PD9waHANCiAgICRkaXppbj|PD9waHANCi8vPCEt)[^"]{99,999}"\\)\\s*\\);\\s*\\?>',
        '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/',
        '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\((\\s*\\$\\w+\\[\\s*\\d+\\s*]\\s*\\.?)+\\)\\s*;\\s*if\\s*\\(\\s*isset[^\\{]+\\{\\s*eval\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}',
        'function\\s*\\w{1,40}\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{0,39}[\'"];\\s*(\\$\\w{1,40})\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*new\\s*MLClient\\(\\2\\);\\s*[^\\?]{1,600}\\}\\s*else\\s*\\{\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{0,39}[\'"];\\s*\\}\\s*return\\s*\\1;\\s*\\}\\s*(\\?>)\\Z',
        '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev|urldecode)\\s*\\(){0,5}\\s*[\'"][^\'"]{15,600}jHlWmpGf0vFDI1gBalH[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*"\\?>"\\s*\\.\\s*base64_decode\\("PD9w[^"]{100,}"\\)\\);\\s*\\?>\\s*(<(?:!DOCTYPE)?\\s*html>|<\\?php\\s*/\\*\\*)',
        '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"][^\'"]{1,40}[\'"]\\)?\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|urldecode)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,20}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,150}[\'"];)?\\s*if\\s*\\(\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)\\]\\s*[^\\w]{1,2}=[^`]{200,600}\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)',
        '(;)\\s*@?eval\\s*\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);\\s*/(?:/|\\*)[\'"]\\);',
        '<SCRIPT\\s+Language\\s*=\\s*VBScript\\s*>\\s*(?:<!--)?\\s*DropFileName\\s*=\\s*[\'"]svchost\\.exe[\'"]\\s*WriteData\\s*=\\s*[\'"][^\\?]{64000,}</SCRIPT>\\s*(?:<!--[^\\r]{1,615})?',
        '\\A\\s*<\\?php\\s*\\$[0O_]{1,40}\\s*=[^`]{36000,38000};@?eval\\((\\$[0O_]{1,40})\\);unset\\(\\1,\\$url_format,\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40},\\$[0O_]{1,40}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'\']{1,60}[\'"]\\}\\[[\'"][^\'\']{1,60}[\'"]\\]\\(\\);\\?>',
        'if\\s*\\(\\s*filesize\\s*\\(\\s*(MAGENTO_ROOT)\\s*\\.\\s*[\'"]/includes/config\\.php[\'"]\\)\\s*!=\\s*\\d+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\([^\\$]{1,400}copy\\(\\s*\\3\\s*\\.\\s*[^,]{1,40}\\s*,\\s*\\1[^\\}]{1,400}\\s*\\}',
        '\\$ip\\w{0,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\`]{200,600}\\s*magento[^\\?]{1,1500}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\1\\s*\\);',
        '<\\?php\\s*@?(?:include|include_once|require)\\(\\s*[^;\\?]{1,80}\\.(?:xlsx|doc|docx|pdf|gif|jpg|png|ico|sql|zip|jpeg|gz|log|key)[\'"]\\s*\\);\\s*\\?>',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][^`]{25000,35000}(\\$\\w{1,40})\\s*=\\s*["\'\\.strev\\s]{10,40};\\s*@?eval[^\\(]{0,9}\\(\\s*\\2\\s*\\(\\s*@?preg_replace\\s*\\(\\s*[^,]{1,40}\\s*,\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s*)if\\s*\\(?\\s*empty\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\)\\s*\\)?\\s*\\{\\s*@?mail\\s*\\(\\s*base64_decode\\(\\s*[\'"]\\w{1,40}[\'"]\\s*\\),\\s*[\'"][^\'"]{0,40}Shell[^\'"]{0,40}[\'"]\\s*\\.\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*\\.\\s*[^\\}]{1,200}\\s*\\}',
        '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JGRvICA9ICRfR0VUWydkbyddOw0KaWYoJGRvPT0gJ2l0Jyl7DQokZG9zaGVsbC[^\'"]{500,1000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*[^\\$]{1,99}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{300,600}\\s*(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\s*\\.?\\s*){5,10};\\s*\\$\\w{1,5}\\(\\s*(\\$\\w{1,5}),\\$\\w{1,5}\\s*\\.\\s*\\$\\w{1,5}\\(\\$\\w{1,5}\\)\\);\\s*include\\(\\2\\);\\s*\\1\\(\\2\\);\\s*\\}\\s*(\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\s*[\'"]\\s*\\.\\s*base64_decode\\([\'"][^\'"]{50000,}[\'"]\\s*\\)\\s*\\);\\s*(\\?>|\\Z)',
        '<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]{1,3000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*&&\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\2[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\);\\s*(?:exit;)?\\s*\\}\\s*\\?>',
        '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*;\\s*(\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*exit;\\s*\\}\\s*\\?>',
        '(\\*/)\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\[]{1,200}<form[^;]{1,400}</form>";\\s*if\\s*\\(\\s*[^\\{]{1,400}\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*[^{]{1,400}\\s*\\{[^\\}]{1,400}\\s*\\}\\s*\\}\\s*exit;\\s*\\}',
        '(\\$\\w{1,40})\\s*=\\s*MAGENTO_ROOT\\s*\\.\\s*[\'"]/includes/config\\.php[\'"];\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\1\\)\\s*&&\\s*\\(\\s*filesize\\(\\1\\)\\s*==\\s*\\d+\\)\\s*\\)\\s*\\{\\s*include\\s*\\1;\\s*\\}\\s*else\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*[^\\?]{1,600}\\s*\\1;\\s*\\}',
        '\\A\\s*<\\?php\\s+[^\\(]{1,40}php_uname\\(\\)[^\\$]{1,400}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php echo\\s*\'[^\']+\';@preg_replace\\(\'/\\[\\w+\\]/e\',\\$_REQUEST\\[\'\\w+\'\\],\'error\'\\);\\?>',
        '\\A\\s*<\\?php\\s*echo\\s*\\(?[\'"]\\s*<form\\s*[^>]{1,49}\\s*method\\s*=\\s*[\'"]post[\'"][^\\$]{100,200}\\s*if\\s*\\(\\s*@?\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,99}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^\\?]{1,200}\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s+(\\$btt)\\s*=[^\\?]{200,400}\\s*if\\s*\\(\\s*!is_user_logged_in\\(\\)\\s*[^\\w]{1,3}\\s*get_option\\s*\\(\\s*[\'"]ame_ip[\'"]\\s*\\)\\s*[^\\w]{1,3}\\s*\\$ip\\s*&&\\s*\\1\\s*[^\\w]{1,3}\\s*(?:false|0)\\s*\\)\\s*\\{[^\\}]{1,99}\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)(?:\\s*==\\s*[\'"]\\w{1,40}[\'"])?\\s*\\)?\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\1\\[[\'"]\\w{1,40}[\'"]\\]\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s+)if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\)\\s*&&\\s*isset\\(\\$_REQUEST\\[\'password[^\\?]{1000,4000}?(?:WP_V\\w?CD|WP_CD)\\s*[\'"]\\s*;\\s*\\}\\s*die\\([\'"]?[\'"]{0,39}[\'"]?\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*!@?(\\$\\w{1,40})\\s*!=\\s*false\\s*\\|\\|\\s*!@?\\1\\s*!=\\s*null\\s*\\)\\s*[^j]{5000,6000}\\s*file_put_contents\\([^,]{9,99},\\$[li]{1,40}\\)\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*endif\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\$\\w{1,40}\\s*=\\s*true\\s*;\\s*\\}\\s*\\?>',
        '//\\w{1,40}\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[^\\)]{400,1700},\\s*[\'"]\\.[\'"]\\);\\s*//\\w{1,40}',
        '@preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){11,40}[\'"]\\s*,\\s*[\'"]\\\\(x65|145)\\\\(x76|166)\\\\(x61|141)\\\\(x6c|154)(?:\\\\\\w{2,3}){80,99}[\'"]\\s*,\\s*[\'"](?:\\\\\\w{2,3}){99,110}[\'"]\\);',
        '\\A\\s*<\\?php\\s+\\$[O_0]{1,40}\\s*=[^`]{21000,27000}\\$[O_0]{1,40}\\.\\$[O_0]{1,40},\\$[O_0]{1,40}\\);\\}[\'"]\\);\\$\\{[\'"][^\'"]{27,29}[\'"]\\}\\[[\'"](?:\\\\x4f|\\\\x30|\\\\x5f|117|060|137){1,40}[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(?:/\\*[^\\*]{0,39}\\*/)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmKGZ1bmN0aW9uX2V4aXN0cygnb2Jfc3RhcnQ[^\'"]{2500,2700}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]http(s)[^"\']*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(\\?>)?',
        '<\\?php\\s*header\\s*\\(\\s*"Cache-Control:[^"]*"\\s*\\)\\s*;.{1,1000}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\|\\|preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*4\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^;]+"\\s*;\\s*\\$\\w{1,40}=@?\\$\\w{1,40}\\(.+?\\)\\s*;\\s*@?\\$\\w{1,40}\\(\\s*"[^"]+"\\);',
        '\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"c[^;]+;\\$\\w{1,40}=@\\$\\w{1,40}\\([^@]+@\\$\\w{1,40}\\("[^"]{2000,}"\\s*,\\s*\\$\\w+\\);',
        '<\\?php\\s*\\#\\d{1,32}\\#\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"<script.{10,200}?"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\#/\\d{1,32}\\#\\s*\\?>\\s*',
        'error_reporting\\(0\\).{100,1000}?sprintf\\("%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\(\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\("\\s*"\\s*\\s*,\\s*\\$\\w{1,40}\\([^)]{1,300}\\)\\);\\s*\\$\\w{1,40}\\(\\s*\\);',
        '\\$droot=\\$_SERVER\\[\'DOCUMENT_ROOT\'\\];\\s*\\$link="<\\?php\\s*setcookie.{500,}?unlink\\(\\s*\\$path\\s*\\.\\s*"/footer\\.php"\\s*\\);\\s*rmdir\\s*\\(\\s*\\$path\\s*\\);',
        'if\\(!empty\\(\\$_COOKIE\\[_\\w{1,40}\\(\\d+\\)\\]\\)\\)\\s*die.{2000,5000}?\\{\\s*eval\\(\\$GLOBALS\\[\'_\\w{1,40}_\'\\]\\[\\d+\\]\\(\\$_REQUEST\\["\\w{1,40}"\\]\\)\\)\\s*;\\s*}\\s*\\}\\s*//\\#\\#\\#=\\#\\#\\#',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$GLOBALS\\s*\\[\'\\w{1,40}\'\\]\\s*=\\s*Array\\(\\s*\\);global\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$GLOBALS.{4000,}?\\$\\w{1,40}\\s*\\[\\d+\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*(\\$\\w{1,40}\\{\\s*\\d+\\s*\\}\\s*\\.\\s*)+\'.{1,300}?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\(\\s*\\)\\;',
        '@?error_reporting\\(0\\);@?(?:include|include_once)\\(urldecode\\("%[^"]{2,200}"\\)\\);',
        '\\$_S=".{3000,20000}\\);\\$\\w{1,40}=strrev\\([^)]+\\)[^(]+\\("[^)]+\\);\\$\\w{1,40}=\\$\\w{1,40}\\(\'\\$_S\',\\$_X\\);\\$\\w{1,40}\\(\\$_S\\);',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{["\']_(?:GE|PO|CO|SE|RE)[^)]+\\}\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\s*\\{[^)]+\\}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}',
        'if\\(\\s*isset\\(\\s*\\$_POST\\[\\s*\'Submit\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*\\$filedir\\s*=\\s*""\\s*;\\s*\\$maxfile\\s*=\\s*\'\\d+\';\\s*\\$userfile_name\\s*=\\s*\\$_FILES\\[\'image\'\\]\\[\'name\'\\];.{300,}?Submit" value="Submit"></form>\';\\s*}',
        'echo\\s*\\(\\s*php_logo_guid\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*@?copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*fl\\s*\\]\\s*\\[\\s*[^]]+\\]\\s*,\\s*\'[^\']+\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^;]+;\\s*@\\$\\s*\\{\\s*a\\s*\\}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*\'.{500,6000}\';\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']+\'\\s*,\\s*\'\'\\s*,[^)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\$\\w{1,40}\\s*\\(\\);',
        '<\\?php\\s*(?:eval\\((?:\\$\\w{1,40}\\(){1,3}"[^"]+"\\){1,3};\\s*){4,}',
        '\\$\\w{1,40}=\'[^;]+;\\$\\w{1,40}=(?:\\$\\w{1,40}\\[\\d+\\]\\.?){4,};if\\(isset\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\){eval\\(\\$\\w{1,40}\\(\\$\\{(?:\\$\\w+\\[\\w+\\]\\.?)+\\}\\[(?:\\$\\w+\\[\\w+\\]\\.?)+\\]\\)\\);\\}',
        '<\\?php\\s*function\\s*strcode\\(\\$str\\s*,\\s*\\$passw=""\\)\\s*{\\s*\\$salt.+?lmp_client\\(strcode\\(base64_decode\\("[^"]{1,100}"\\)\\s*,\\s*\'\\w{1,100}\'\\)\\);\\s*\\?>',
        '(?:include|include_once)\\s*(?:\\(\\s*)?["\']\\\\x2f(?:ho|va).{1,200}(php|jpg|png|txt|jpeg)["\']\\s*(?:\\)\\s*)?;',
        'if\\s*\\(isset\\(\\$_REQUEST\\[\'action\'\\]\\).{5000,}?@file_get_contents_tcurl\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*stripos\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*extract\\s*\\(\\s*theme_temp_setup\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*phpinfo\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '<script\\s*language\\s*="php"\\s*>\\s*\\$\\w{1,40}\\s*=\\s*.{1,1000}\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;\\s*<\\s*/script\\s*>',
        'if\\s*\\(\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==["\'][^\'"]{0,500}["]\\s*\\)\\s*\\)\\s*\\{\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@?array_map\\s*\\(\\s*\\([^)]+\\)\\s*,\\s*\\(\\s*array\\s*\\)\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*HTTP_X\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '<\\?php\\s*if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*.{0,8000}\\$\\w{1,40}\\s*=\\s*new\\s*OneG\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*(?://debug\\s*message\\s*)?echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_GET\\[[\\s\\.\\w\']+]\\s*\\)\\s*\\)\\s*{\\s*copy\\s*\\([^)]+\\)\\s*;\\s*exit;\\s*}\\s*\\?>',
        'eval\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*;',
        '(?:include_once|include|require|require_once)\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'/bitrix/[^\']*\\.(?:gif|jpg|jpeg|png|ico)\'\\s*\\)\\s*;',
        'if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</body>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*\'</html>\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*"[^"]*"\\s*\\.\\s*@\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};',
        '<\\?php\\s*(?:\\$\\w{1,30}\\s*=[^;]+;\\s*){2,}error_reporting\\(0\\);\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(.+echo\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\$_GET\\s*\\[\\s*"[^"]*"\\s*\\]\\s*;\\s*switch\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*case\\s*"[^"]*":\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*break\\s*;\\s*\\}\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*Header\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*ord\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\?>',
        '<\\?php\\s*(?:\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){2,3}@eval\\(.{12000,14000}\\)\\)\\s*;\\s*/\\*,\\*/',
        '\\$rq\\s*=\\s*\\$_GET;\\s*\\$sid\\s*=\\s*"\\w+";.{2000,3000}?echo\\s*"<a\\s*href=\\\\\\\'\\$link\\\\\\\'>\\$name</a><br>";\\s*}\\s*}\\s*}',
        '<\\?\\s*((if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*copy\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\})\\s*|\\s*(if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*(print|echo)\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\})){2,}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*array_map\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*/\\*[^*]+\\*/\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;',
        '<\\?php\\s*if\\s*\\(\\s*\\$_REQUEST\\["array.{10,300}is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"(?:true|ok|1)"\\s*;\\s*\\}(?:\\s*\\?>)?',
        '<\\?php\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*ASSERT_WARNING\\s*;\\s*.{1000,8000}\\)\\s*\\);\'\\s*\\);\\s*\\$\\w+\\(\\$\\w+\\);\\s*\\?>',
        'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'.{300,2000}switch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\{\\s*case\\s*\'upload\':\\s*echo\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*break\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}',
        '\\$(\\w{1,40})\\s*=[^;]+;\\s*\\$\\1\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE)\\s*\\[[^]]+\\]\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*="create_function"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;',
        '\\$server\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).{100,300}exec\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*substr_replace\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*0\\s*,\\s*1\\s*\\)\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}',
        '<\\?php.{7100,9000}if\\s*\\(\\$\\w{1,10}\\s*->\\s*is_robots\\(\\)\\)\\s*\\{\\s*\\$\\w{1,10}\\s*\\[\\s*\'cache_code\'\\s*\\]\\s*=\\s*\\$\\w{1,10}\\s*->\\s*code\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>',
        '<\\?php\\s*//\\s*\\w{300,}\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        'preg_replace\\s*\\(\\s*[\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\s*\\]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;',
        '\\(\\s*\\$(\\w{1,40}\\s*)=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*@?preg_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*(\'[^\']*\'\\s*\\.\\s*)?str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*,\\s*\'\\w+\'\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*imagecreatefrompng\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*imagepng\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*imagedestroy\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\'blink\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{.+fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40}\\s*=\\s*"[^;]+;\\s*){2,}\\$\\w+\\(\\$\\w+\\([^)]+\\)\\s*\\)\\s*;\\s*}',
        '<\\?php\\s*@ini_set\\(\'display_errors\'\\s*,\\s*\'0\'\\);\\s*error_reporting\\(0\\);\\s*if\\s*\\(!\\$npDcheckClassBgp\\)\\s*{.+include\\("{\\$eb}\\.\\$algo"\\);\\s*unlink\\("{\\$eb}\\.\\$algo"\\);\\s*\\$npDcheckClassBgp = \'aue\';\\s*}\\s*\\?>',
        '<\\?php\\s*file_put_contents\\s*\\(\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*unlink\\s*\\(\\s*__FILE__\\s*\\)\\s*;\\s*(\\?>)',
        '<\\?php\\s*function\\s*get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*eval\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"].{1,200}[\'"];\\s*){2,}\\$\\w{1,40}\\s*=.{1,1000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+(\\$\\$\\w{1,40}\\s*=\\s*[^;]+;.+?$\\s*)+(\\$\\w{1,40}\\s*=\\s*["\'][^;]+;\\s*)+\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\([^)]+\\)\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*=\\s*["\'][^"\']*["\']\\s*;\\s*(//\\s*sha1\\s*\\(\\s*md5\\s*\\(\\s*pass\\s*\\))?\\s*\\)\\s*\\$\\w{1,40}\\s*=[^;]+;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\([^;]+;\'\\);\\$\\w{1,40}\\([^;]+;\\s*(\\?>)?',
        'error_reporting\\(0\\);\\s*\\$name\\s*=\\s*\'[^\']+\'\\s*;\\s*\\$text=.+fopen \\(\\s*"\\$name"\\s*,\\s*"w"\\);\\s*fwrite\\(\\s*\\$fp\\s*,\\s*\\$text\\s*\\);\\s*fclose\\(\\s*\\$fp\\s*\\);\\s*}',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*redirect\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*die\\s*\\(\\s*\\)\\s*;',
        '<\\?php\\s*error_reporting\\(0\\);.{1,200}?\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\("\\$root_path"\\."[^"]+"\\);\\s*\\?>',
        'print\\s*"<form enctype=multipart/form-data[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*gogogo\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;',
        '\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*=["\'][^\'"]*["]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*["\'][^"\']*["\']\\s*\\)\\s*;.+\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][^"\']*[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*["\'][^"\']*["\']\\s*,\\s*[^)]+\\)\\s*\\)\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*Array\\s*\\(\\s*[^\\)]+\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]*[\'"]\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\Z',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}\\s*;',
        '\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*\\?\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\\\)?\'[^\']*\'\\s*\\]\\s*\\)\\s*:1\\s*\\)',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*file_put_contents\\s*\\(\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\3\\s*,\\s*\'(w|a)\\+?\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(echo\\s*\\$\\w{1,40}\\s*;)?\\s*(exit\\s*\\(0?\\)\\s*;)?\\s*\\}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'([^\']*)\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\2\'\\s*\\]\\s*;\\s*(eval|assert)\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*(exit\\(0?\\);\\s*)?\\}',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>.+?<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\^"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*[^)]+,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*create_function\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*ArrayIterator\\s*\\(\\s*array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*iterator_apply\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;',
        '@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\]\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*="[^;]+;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s*\\$\\w{1,10}\\s*=\\s*\'[^;]+;\\s*\\$\\w{1,10}\\s*\\.=.+eval\\(\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\);\\s*\\?>\\s*\\Z',
        'if\\(isset\\(\\$_(GET|POST)\\[\'\\w{1,10}\'\\]\\)\\){echo\'<form method="post" enctype="multipart/form-data"><input type="file".+\\.php\'\\);echo\'ok\';}exit;}',
        '(\\$\\w{1,10}\\s*=\\s*"[^;]+;\\s*)+\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\((\\$\\w{1,10}\\(){5,}.+\\)\\)\\)\\)\\s*,\\s*\\$\\w{1,10}\\);\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\);\\s*include_once\\(\\s*\\$\\w{1,10}\\s*\\);',
        'if\\s*\\(isset\\(\\s*\\$_GET\\[\'\\w{1,10}\'\\]\\)\\)\\s*{\\s*header\\(\'Content-Type:\\s*text/html;\\s*charset=windows-1251\'\\);\\s*\\$\\w{1,10}=\\$_GET\\[\'\\w{1,10}\'\\];\\s*echo\\s*eval/\\*\\*/\\(\'\\?>\'\\.join\\("",file\\("[^"]+"\\)\\)\\.\'<\\?\'\\);\\s*die;\\s*}',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*;\\s*\\$\\w{1,10}\\[1\\]\\(\\s*\\$\\w{1,10}\\[2\\]\\s*\\);\\s*exit;\\s*}',
        '@\\$_\\[\\]=@!\\+_\\s*;.+?\\$_\\[\\s*@-_\\s*\\]\\s*\\(\\s*\\$_\\[\\s*@!\\+_\\s*\\]\\s*\\)\\s*;',
        '\\$login\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$pass\\s*=\\s*"[^;]+;(\\s*//.+?$)?\\s*\\$md5_pass\\s*=\\s*"[^;]*;(\\s*//.+?$)?\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{30000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'eval\\(base64_decode\\("CmlmICghZGVmaW5lZCg[^"]+"\\)\\);',
        '<\\?=\\s*(eval|assert)\\(\\s*file_get_contents\\(\\s*"https?://[^)]+\\)\\s*\\)\\s*;?\\s*\\?>',
        '(\\$\\w+\\s*=\\s*"[^;]+?;\\s*){5,}.+CURLOPT_RETURNTRANSFER\\s*, TRUE\\s*\\)\\s*;\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*\\$\\w{1,10}\\(\\s*\\$\\w{1,10}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,10};\\s*}',
        '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\'[^)]*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_replace.+?\\s*file\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*die\\s*;\\s*\\}',
        '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"edoced_46esab"\\s*\\)\\s*;\\s*include_once\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;',
        'eval\\(gzuncompress\\(base64_decode\\(\'eF6FVG1vokAQ.+\'\\)\\)\\);',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*1\\s*;\\s*exit\\s*;.+?\\$login\\s*=\\s*"[^"]*"\\s*;\\s*\\$pass\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']{1000,}\'\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\\w+\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*tmp_name\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\w+\\s*\\]\\s*\\[\\s*name\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*;\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*print\\s*"<title>404 Not Found</title><h1>404 Not Found</h1>"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '<html>\\s*<head>\\s*</head>\\s*<body>\\s*<style\\s*type\\s*="[^"]*">.+?<\\s*/style\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*pack\\s*\\(\\s*\'H\\*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$zip\\s*=\\s*new\\s*ZipArchive\\s*\\(\\s*\\)\\s*;\\s*\\$zip_status\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*open\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*===\\s*true\\s*\\)\\s*\\{.+\\."\\)"\\);\\s*}\\s*;\\s*\\?>',
        '<\\?php\\s*\\$archive_path\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$extract_path\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!file_exists.+}\\s*}\\s*echo\\s*"OK"\\s*;\\s*\\?>',
        'foreach\\s*\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\s*\\)\\s*\\{\\s*\\$Keys\\s*\\.\\s*=\\s*chr\\s*\\(\\s*bindec\\s*\\(\\s*\\$\\w{1,40}\\s*\\*\\s*\\d+\\s*-\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*@?(eval|echo)\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*,\\s*stripslashes\\s*\\(\\s*\\$_(POST|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\w+\\.zip\';\\s*\\$extract_path = \'[^\']+\';\\s*.+touch\\(\\s*\\$extract_path\\s*\\.\\s*\\$value\\s*,\\s*filemtime\\(\\$archive_path\\s*\\)\\s*\\);\\s*}\\s*}\\s*echo\\s*"Ok!";\\s*\\?>',
        'function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*for\\s*\\(.+?eval\\(\\w+\\("[^)]+\\)\\);',
        'if\\(count\\(\\$_GET\\)>0\\){\\$c_=0;\\$c0=explode\\(\'&\',\\$_SERVER\\[\'QUERY_STRING\'\\]\\);.+?}}}}if\\(\\$c_==1\\){unset\\(\\$_GET\\[\\$c1\\]\\);\\$c4=false;\\$c5=\'\';\\$c6=\'\';include \'class-wp-filesystem-admin\\.php\';exit\\(0\\);}};',
        '\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*/\\*[^*]+\\*/.+if\\(\\s*crc32\\(\\$\\w+\\)\\s*==\\s*\\$\\w+\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*create_function\\(\'\\$\\w+\',\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\("[^"]+"\\);\\s*}',
        '@require\\(\'\\./images/\\d+\'\\);',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.+?@arsort\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        'public\\s*function\\s*getConfigOpt\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@file_get_contents\\s*\\(\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*return\\s*@unserialize\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        '\\$color\\s*=\\s*"\\#df5";.+?ololo_VERSION.+\'\\)\\)\\);\\s*exit;',
        'assert\\s*\\(\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^]]+\\]\\s*\\)\\s*\\)\\s*;',
        'if\\s*\\(\\s*copy\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'tmp_name\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;',
        '(var_dump|print|echo|die)\\(\\s*(shell_exec|exec|popen|system)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@define\\s*\\(\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@include_once\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urldecode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\);',
        '^\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*$',
        'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\s*\\[\\s*\'sort\'\\s*\\]\\s*\\)\\s*\\){\\s*\\$string\\s*=\\s*\\$_REQUEST\\[\'sort\'\\];\\s*\\$array_name\\s*=\\s*\'\';\\s*\\$alphabet.+?exit\\s*\\(\\s*\\);\\s*}',
        '(include|include_once)\\(\\s*\\$path\\s*\\.\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*;\\s*die\\s*;',
        'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*p\\s*\\]\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*g\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}',
        'if\\s*\\(\\s*@?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*\\(\\s*\\$\\w{1,40}=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*c\\s*\\]\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*f\\s*\\]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_rot13\\s*\\([^)]+\\)\\s*;\\s*\\1\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '<\\s*center\\s*>\\s*<\\s*h5\\s*>[^<]+<\\s*/h5\\s*>\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*<\\s*/center\\s*>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\'[^;]+;\\s*@eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*\'[^;]+;(\\$\\w{1,40}\\s*=\\s*(\\$\\w{1,40}\\[\\d+\\]\\.?){3,};)+.+?;\\${(\\$\\w{1,40}\\[\\d+\\]\\.?)+}\\(\\);}',
        '\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*=__FILE__\\s*;\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*="[^"]*"\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\(\\$_REQUEST\\[\'\\w+\']\\s*\\)\\s*\\)\\s*die\\(\\s*pi.+eval\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\["[^"]+"\\s*\\]\\s*\\)\\s*;\\s*}\\s*exit\\(\\s*\\);\\s*}',
        '@copy\\s*\\(\\s*["\']https?://[^"\']+["\']\\s*,\\s*["\'].+?\\.ph\\w+["\']\\s*\\)\\s*;',
        '//\\s*installbg\\s*\\$\\w{1,40}=\'[^\']+\';\\s*require\\("\\$\\w{1,40}"\\);\\s*//\\s*installend',
        '<\\?\\s*include\\s*\\(\\s*\'/.+?/bitrix/images/iblock/ib\\.php\'\\s*\\)\\s*;\\s*\\?>',
        '\\$USER->Authorize\\s*\\(\\s*1\\s*\\)',
        'class\\s*lTransmiter\\s*{\\s*var\\s*\\$version.+return \\$this->raise_error\\(\'<!--ERROR: Unable to use transport\\.-->\'\\);\\s*}\\s*}',
        '\\$path\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\s*\\.\\s*\'/upload/\\w+/\'\\.SITE_ID.+?fclose\\(\\$fp\\);\\s*include_once\\(\\$path\\."/footer\\.php"\\);\\s*}',
        '<\\s*\\?\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*assert_options\\s*\\(\\s*ASSERT_ACTIVE\\s*,\\s*1\\s*\\)\\s*;.+?\\$\\w{1,40}\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '\\.\\s*\'</div>\';\\s*\\$\\w+\\s*=\\s*\'PGRpdi[^\']+\';\\s*echo\\s+base64_decode\\(\\$\\w+\\);',
        '<\\?php\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*="[^"]*"\\s*;\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=.+?Smarty3::redirect\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*true\\s*,\\s*true\\s*,\\s*\\$\\s*\\{\\s*\\$\\s*\\{\\s*"[^"]*"\\s*\\}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\}\\s*\\)\\s*;\\s*\\?>',
        'if\\s*\\(\\s*md5\\(\\s*reset\\(\\s*\\$_COOKIE\\s*\\)\\s*\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*count\\(\\s*\\$_COOKIE\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$_sessions_debug_data.+?unlink\\(\\s*\\$_session_debug_stream\\s*\\);\\s*}',
        '<\\?php\\s*error_reporting\\(\\d+\\);\\s*\\$filename\\s*=\\s*"\\w+";\\s*\\$task_id="\\w+";\\s*if\\(\\s*!file_exists\\(\\$filename\\)\\s*&&\\s*function_exists\\(\\s*"parse_url"\\s*\\)\\s*&&\\s*function_exists\\(\\s*"socket_create"\\s*\\).+?\\$f\\s*=\\s*@fopen\\(\\s*\\$filename\\s*,\\s*"w"\\s*\\);\\s*fclose\\(\\$f\\);\\s*}\\s*socket_close\\(\\s*\\$fp\\s*\\);\\s*}\\s*\\?>',
        '{\\${@(eval|assert)\\(\\s*base64_decode\\(\\s*\\$_(GET|GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[^]]+\\s*\\]\\s*\\)\\s*\\)\\s*}}',
        '\\("/usr/local/apache/bin/httpd -DSSL","/sbin/syslogd","\\[eth0\\]","/sbin/klogd',
        'add_filter\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*10001\\s*\\)\\s*;\\s*function\\s*_bloginfo\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*is_single\\s*\\(\\s*\\)\\s*&&\\s*\\(\\s*\\$\\w{1,40}\\s*=@eval\\s*\\(\\s*get_option\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '<\\?php\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*@?(assert|eval)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*error_reporting\\(\\s*E_ALL\\s*&\\s*.E_NOTICE\\s*\\);.+?exit\\s*\\(\\s*">\\|1\\|<"\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*header\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\'[^)]+\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<form.+?</form>',
        '<\\?php\\s*echo\\s*[^;]+;\\s*\\$\\w{1,40}\\s+=[^;]+;\\s*@\\s*\\$\\w{1,40}\\s*\\([^;]+;[\'"]\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*(echo[^;]+;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*//[^)]+\\);\\s*(?:\\$[O0_]+=(?:\'[^\']+\'|\\d+);\\s*){2,10}.+"]\\(\\);\\?>',
        '@assert\\(@base64_decode\\(@str_rot13\\(\\$_POST\\["data"]\\)\\)\\);\\?>',
        '\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\$\\w{1,40}\\s*=\\s*Array\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*([\'"][^\'"]*[\'"]\\s*\\.?\\s*){15,}\\)\\s*\\)\\s*\\);',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^\'"]*["\']\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}=\\s*explode\\s*\\(\\s*["][^"\']*["\']\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*["\'][^"\']*["\']\\s*\\]\\s*\\)\\s*;\\s*@die\\s*\\(\\s*\\$\\w+\\[\\d+\\]\\(\\$\\w+\\[\\d+\\]\\)\\);\\s*}\\s*\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'PGRpdi[^\']*\'\\s*;\\s*echo\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;(\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*)+\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'function\\s*_parseReqRoute\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*JRequest::getVar\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*AND\\s*md5\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*if\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*get_magic_quotes_gpc\\s*\\(\\s*\\)\\s*\\?\\s*stripslashes\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*:\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*return\\s*true\\s*;\\s*\\}\\s*\\}\\s*\\}',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*rtrim\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\?\\s*print\\s*"[^"]*"\\s*:\\s*print\\s*["\'][^"\']*["\']\\s*;\\s*\\}\\s*/\\*[^\\*]+\\*/\\s*print\\s*[\'"][^\']+[\'"]\\s*;',
        'if\\s*\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*{\\s*eval\\(\\s*stripslashes\\(\\s*\\$_REQUEST\\[\\s*\\\\\\\'.\\\\\\\'\\s*\\]\\s*\\)\\s*\\);\\s*die\\(\\s*\\);\\s*}',
        'if\\s*\\(\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*[\'"]1[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\?>.+?scandir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*=\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\{\\s*echo\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}',
        'function\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;.+?;\\s*eval\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]+"\\s*(\\)\\s*)+;',
        '<\\?phps\\*@?assert\\(@?base64_decode\\(@?str_rot13\\(\\$_POST\\["data"\\]\\)\\)\\);\\?>',
        '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*iconv\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*file_get_contents\\s*\\(\\s*"http://[^"]*"\\s*\\)\\s*\\)\\s*;',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\}',
        'ignore_user_abort\\s*\\(\\s*true\\s*\\)\\s*;\\s*set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*NULL\\s*\\)\\s*;\\s*@ini_set\\s*\\(\\s*\'[^\']*\'\\s*,\\s*0\\s*\\)\\s*;\\s*function\\s*getURL.+?getURL\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;\\s*\\}\\s*\\}\\s*',
        '\\$\\w{1,10}\\s*=\\s*Array\\s*\\(\\s*str_rot13\\s*\\([^;]+;\\s*\\$\\w{1,40}\\s*=\\s*Array\\s*\\([^;]+;\\s*@\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*chr\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;',
        '<\\?php\\s*@assert\\s*\\(\\s*str_rot13\\s*\\(\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        'if\\s*\\(\\s*md5\\s*\\(\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*print\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\}',
        '<\\?php\\s+\\$\\w+\\s*=\\s*\\$_SERVER\\[[^]]+\\]\\s*\\.\\s*["\'][^"]+["\']\\s*;\\s*include\\s*\\$\\w+\\s*\\.\\s*["\'][^"]+["\'];\\s* Smarty3::redirect\\([^)]+\\);\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*eval\\s*\\(\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*;',
        '<\\?(php)?\\s*@?preg_replace\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s* \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*"[^"]*"==\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*if\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*\\?>',
        '(?:\\$\\w{1,40}\\s*=\\s*[^;]{1,100}\\s*;\\s*){3,}@\\$\\w+\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\$_(?:GET|POST|COOKIE|REQUEST|SERVER)\\[[^\\]]+\\]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*die(\\(\\))?\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*&&\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*fputs\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*"[^"]*"\\s*;\\s*\\}',
        '(include|include_once)\\s*(\\()?\\s*"\\\\x2f[^.]+\\.(p\\\\x68p|\\\\x70h\\\\x70|\\\\x70hp|p\\\\x68\\\\x70|\\\\x70\\\\x68p)"\\s*(\\))?\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}',
        '\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}-\\s*>\\s*super_query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*,\\s*true\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\(\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\+86400\\s*\\)\\s*<\\s*time\\s*\\(\\s*\\)\\s*\\)\\s*\\|\\|!\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=@file_get_contents\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*query\\s*\\(\\s*"[^"]*"\\s*\\.\\s*PREFIX\\s*\\.\\s*"[^"]*"\\s*\\.\\s*time\\s*\\(\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*safesql\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\.\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*@file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*\\}',
        'if\\s*\\(\\s*preg_match\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$_SERVER\\s*\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*curl_init\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_URL\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*1\\s*\\)\\s*;\\s*curl_setopt\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*CURLOPT_CONNECTTIMEOUT\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*curl_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        '//Footer-Template.+?//Footer-Template',
        '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=[^\\}]{1,99}\\}\\s*return\\s*\\2\\s*;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([\'"][^\'"]{1,99}[\'"]\\);\\s*@?eval\\(\\s*(?:\\4|\\3)\\s*\\.\\s*[\'"][^\'"]{60000,}[\'"]\\s*\\.\\s(?:\\4|\\3)\\s*\\);\\s*(?:\\?>|\\Z)',
        '(\\$subject)\\s*=\\s*[\'"]Amazon\\s+LogIn\\s*Info[^\'"]{1,40}[\'"];\\s*mail\\(\\$\\w{1,40},\\s*\\1,\\s*\\$\\w{1,40}\\);\\s*header\\([\'"]Location:',
        '\\A\\s*<\\?(?:php)?\\s*[^\\?]{1,200}=\\s*@?file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*\\s*@?(?:eval|assert|system)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\(?\\s*\\$\\w{1,40}\\s*\\)?(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '(\\$\\w{1,40})\\s*=\\s*@?create_function\\s*\\(\\s*[\'"]\\s*[\'"]\\s*,\\s*@?str_rot13\\s*\\(\\s*[\'"]\\s*@?riny\\s*\\(\\s*\\$\\w{1,40}\\[\\s*[^\\w]{0,2}\\w{1,40}[^\\w]{0,2}\\s*\\]\\s*\\)\\s*;\\s*[^\\w]{0,2}\\s*\\)\\s*\\)\\s*;\\s*@?\\1\\(\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s+/\\*[^\\*]{1,99}\\*/\\s+\\?>\\s*<\\?php\\s*\\$\\w{1,40}\\s*=[^\\?]{1,99}function\\s+(\\w{1,40})\\s*\\([^\\?]{200,999}(\\$\\w{1,40})\\s*=\\s*\\1\\(\\s*[\'"]\\s*[\'"][\\.\\,][^\\?]{21000,26000},\\2\\)[^\\)]{0,9}\\)\\s*;\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqFVm1vE0cQ.itbK6I.4oR7N47lVoQ4raUkTv0SQVl02pzX9jWX2[^\\)]{999,2000}["\']\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!defined\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*define\\(\\s*[\'"]\\1[^@]{99,999}\\}function\\s*([^\\(]{1,40})\\(&\\$[^=]{1,40}=[\'"][^\'"]*[\'"]\\)\\{global[^\\?]{999,9999}\\.=\\2\\((\\$\\2)(?:\\)){3,6}[\'"],[\'"]\\w{16,48}[\'"]\\.\\(\\3=[\'"][^\'"]{1,999}[\'"]\\)\\);\\s*return\\s+true;\\s*\\?>\\w{16,40}',
        '\\A\\s*(<\\?php\\s*)@?unlink\\s*\\(\\s*__FILE__\\s*\\);[^>]{1,300}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,20}->user_login;\\s*(\\$\\w{1,9})\\s*=\\s*get_user_by\\s*\\([\'"]login[\'"],\\s*\\2\\s*\\);[^\\}]{9,99}wp_set_current_user\\s*\\(\\s*(\\3->ID)\\s*\\);\\s*wp_set_auth_cookie\\s*\\(\\s*\\4\\s*\\);[^\\}]{1,99}exit\\s*\\(\\);?\\s*\\}?',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*(?:ZXZhbCAoIGJhc2U2NF8|ZXZhbCAoYmFzZTY0Xw|ZXZhbChiYXNlNjRf|QGV2YWwoYmFzZTY0X|QGV2YWwgKGJhc2U2NF8|QGV2YWwgKCBiYXNlNjRf|QGV2YWwoIGJhc2U2NF8)[^?]{50,999}\\)\\s*\\)\\s*;?\\s*\\?>',
        '\\A\\s*<\\?php\\s*(?:@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*\\w{1,9};\\s*mv\\s+\\w{1,9}\\.ico\\s+\\w{1,9}\\.php;\\s*[\'"]\\s*\\);\\s*){1,9}(\\$\\w{1,40})\\s*=[^;]{1,50};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,20}@\\w{1,7}\\.\\w{2,6}[\'"]\\s*;[^?]{1,50}mail\\s*\\(\\2,\\$\\w{1,20},\\1\\s*\\);?\\s*(?:\\?>|\\Z)',
        '<\\?php\\s+(?:\\$\\w{1,40}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\)\\s*(?:\\.\\s*[\'"][^\'"]{0,40}[\'"])?){2,25};\\s*){1,5}[^,]{49,99},\\s*@?array\\s*\\([^;]{1,99};\\s*@?(?:include|include_once|require)\\s*\\(\\s*\\$\\w{1,40}\\);\\s*@?unlink\\(\\s*\\$\\w{1,40}\\s*\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s+)(?:shell_exec|exec)\\s*\\(\\s*[\'"]/bin/bash[^\\>]{1,20}-i\\s+>&\\s+/dev/tcp/[\\d+\\.]{1,20}/\\d{1,6}\\s+\\d>&\\d[\'"][\'"]\\s*\\)\\s*;?',
        '\\A\\s*(<\\?php\\s*)(\\$\\w{1,9})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|REQUEST)\\[[\'"]?\\d+[\'"]?\\];\\s*if\\s*\\(?\\s*(?:md5)?\\s*\\((?:\\s*\\.?\\s*\\2\\s*){1,9}\\)\\s*[^\\w]{2,3}\\s*[\'"]\\w{0,40}[\'"]\\s*\\)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|REQUEST)\\[\\2\\]\\s*\\)\\s*;?',
        '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\(0\\);\\s*ini_set\\s*\\([\'"]display_errors[\'"],0\\);\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9000,13000}[\'"]\\)\\)\\);(\\$\\w{1,40})[^\\?]{9,150}mail\\(\\1[^\\)]+\\);\\s*print\\s*\\([^\\)]+\\);?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(?:echo|print)\\s*[\'"][^\'"]+[\'"];\\s*\\?>\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?:\\/\\/[^\\s]{1,99}\\s+-O\\s+\\w{1,40}\\.php[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp|cnJvcl9yZXBvcnRpbmcoMCk|cm9yX3JlcG9ydGluZygwKQ)[^\'"]{50,1000}(?:X2V4aXN0cygnc2hlbGxfZXhlYw|ZXhpc3RzKCdzaGVsbF9leGVj|eGlzdHMoJ3NoZWxsX2V4ZWM)[^\'"]{400,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}(?:cmxfZXhlY|dXJsX2V4ZWM|Y3VybF9leGVj)[^\'"]{9,200}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,300}[\'"]\\s*\\)\\s*\\)\\s*;?',
        '\\A\\s*<\\?php\\s[ ]{200,}[^\\?]+\\?>\\s*(<\\?php\\s+//\\sSilence\\sis\\sgolden\\.?\\s*(?:\\?>|\\Z))',
        'RewriteCond\\s*%{HTTP_USER_AGENT}\\s+android\\|[^\\[]{199,400}\\s*\\[NC,OR\\]\\s+RewriteCond\\s*%{HTTP_USER_AGENT}\\s+\\^\\(\\d+[^\\$]{999,1999}RewriteRule\\s+\\^\\$\\s+http://\\w{1,9}\\.\\w{1,6}/redirect\\.php\\s+\\[R,L\\]',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\[[\'"]\\\\x44\\\\117\\\\103\\\\125[^\'"]{5,99}[\'"]\\]\\s*\\.\\s*[\'"]\\\\x2f\\\\143\\\\x6f\\\\x72[^\'"]{1,99}[\'"];\\s*include\\s*\\1\\s*\\.\\s*[\'"]\\\\x[^\'"]{1,40}[\'"]\\s*;\\s*Smarty\\d*::redirect\\([\'"]\\\\x[^\'"]{1,99}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[^\\$]{1,20}?\\1\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{9,300}(?:PT0gIlpldVMi|PSAiWmV1UyI|ICJaZXVTI|IlpldVMi)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*[^/]{1,9}\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:aWYgKGlzc2V0|aWYoaXNzZXQ|IGlmIChpc3NldA)[^\'"]{1500,1900}(?:bWFpbCg|YWlsKA|aWwo)[^\'"]{20,300}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNpdUs1u00AQfpWNlYMdrDhO89dEOZTKolEpQYkBoRp[^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9000}(?:IUBpbmNsdWRlX29uY2UoYg|ZighQGluY2x1ZGVfb25jZShi|KCFAaW5jbHVkZV9vbmNlKGI)[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{999,3500}(?:PHRpdGxlPldvcmRwcmVzcyBDb250ZW50IEZpbGU|dGl0bGU\\+V29yZHByZXNzIENvbnRlbnQgRmlsZQ|aXRsZT5Xb3JkcHJlc3MgQ29udGVudCBGaWxl)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,19}[\'"]\\]\\s*=[^%]{15000,19000}\\]\\},FILTER_VALIDATE_IP,FILTER_FLAG_IPV4\\)\\)\\{if\\(ip2long\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\\?]{999,1500}\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,29}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}=[\'"][\'"];\\}\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,9})\\s*=\\s*chr\\s*\\(99\\)\\s*\\.\\s*chr\\(104\\)\\s*\\.\\s*chr\\s*\\(114\\)\\s*;\\s*\\$\\w{1,9}\\s*=\\s*\\1\\s*\\(\\d+\\)\\.[^\'"]{9,600}\\$\\w{1,9}\\s*=\\s*\\$\\w{1,9}\\s*\\(\\s*[\'"]\\s*["\'],\\s*\\$\\w{1,9}\\s*\\);\\s*@?\\$\\w{1,9}\\s*\\(\\s*\\);\\s*(?:\\Z|\\?>)',
        '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd[ ]\\/tmp;\\s*wget\\s+-O\\s+(\\w{1,9})\\s+https?:\\/\\/[^;]{1,99};\\s*chmod\\s+777\\s+\\2[^>]{1,99}>\\s*\\/dev\\/null\\s*\\d>&\\d\\s*&[\'"]\\s*\\)\\s*;?',
        '\\A\\s*(<\\?php\\s+)@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]\\s*riny[^\\$]{1,9}\\$_\\w{1,6}\\[\\w{1,9}\\]\\s*\\)\\s*;\\s*[\'"]\\s*\\)\\s*\\)\\s*;?',
        '\\A\\s*(<\\?php\\s+)[^)]{0,20}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]cd\\s*/tmp;\\s*(?:w?get|lwp-download|fetch|lynx|curl)\\s+[^\\w]{0,2}\\w{0,9}\\s*https?://[^;]+/([\\w]{1,40})(\\.txt)\\s*;\\s*perl\\s+(?:/tmp/)?\\2\\3\\s*;\\s*rm\\s+[^\\w]{1,2}\\w{1,2}\\s*\\2\\3\\s*;?[^)]{0,20}\\)\\s*;?',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)',
        '<!\\-\\-(\\w{4,9}\\-\\->)\\s*<script>\\s*var\\s*(\\w{1,9})\\s*=\\s*document\\.createElement\\(\\s*["\']iframe[\'"]\\s*\\)[^:]{9,60}src[\'"],\\s*[\'"]https?://[^/]{2,40}/[\\w]+\\.php[\'"]\\s*\\);[^/]{9,160}?\\2\\.style\\.\\w{4,5}\\s*=\\s*[\'"]-\\d+px[^!]{9,99}?getElementById\\([^\\)]{1,40}\\)\\.appendChild\\(\\2\\);\\s*</script>\\s*<!\\-\\-/\\1',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{9,300}(?:Y3VybF9leGVjKC|dXJsX2V4ZWMo|cmxfZXhlYyg)[^\'"]{1,30}(?:ZXZhbC|dmFsKA|YWwo)[^\'"]{1,20}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?eval\\(gzinflate\\(base64_decode\\(base64_decode\\([\'"][^\'"]{999,2500}[\'"]\\)\\)\\)\\);?\\s*\\?>\\s*\\Z',
        '\\A\\s*(<\\?php\\s+)[^\\(]{1,99}\\s*(?:exec|shell_exec)\\s*\\(\\s*[\'"]\\s*if\\s+curl\\s*(?:127\\.0\\.0\\.1|localhost)\\s+-o\\s+/dev/null\\s+2>/dev/null;\\s+then curl\\s+-o\\s*-\\s*https?://[^\\)]{1,99}\\)\\s*;?\\s*(?:echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*;?)?',
        '\\A\\s*<\\?php\\s+echo\\s+base64_decode\\s*\\([\'"][^\'"]{1,40}[\'"]\\);\\s*@include(?:_once)?\\s*\\(\\s*[\'"]https?:\\/\\/[^\\)]+[\'"]\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*;?([^\\@]{1,20}\\@version[^\\@]{9,99}@package\\s*Joomla)',
        '(\\{)\\s*(\\$\\w{1,40})\\s*=\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\(\\s*@\\$_COOKIE\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*@?\\3\\s*\\(\\s*.?[\'"](.).{0,40}\\5e\\w?.?[\'"]\\s*,\\s*\\4\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;?\\s*\\}',
        '\\A\\s*<\\?php\\s*@?error_reporting\\s*\\([^\\)]+\\);\\s*(\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;)+\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:Y2xhc3M|IGNsYXNz)[^\'"]{5000,9999}(?:aWYgKChpbmNsdWRl|ZiAoKGluY2x1ZGU|ICgoaW5jbHVkZQ)[^\'"]{1,2000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]?>[\'"]\\.base64_decode\\s*\\(\\s*[\'"](?:PD9waH|IDw\\/cGhw|PD8|IDw\\/)[^\'"]{200,1000}(?:dW5saW5rKA|bmxpbmso|bGluayg)[^\'"]{200,1500}[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]FZe1rsbKkkbf5UbnyIGZNJrA8JuZ7WRkZmY[^\'"]{4499,5000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php[ ]{200,}\\s*(?:\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*[^\\)]+\\s*\\);\\s*){1,5}(\\$\\w{20,99})\\s*=\\s*[\'"](?:ZXZhb|IGV2YW)[^"\']+["\'];\\s*if\\s*\\(\\s*\\!function_exists\\s*\\(\\s*[\'"](\\w{1,40})[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\2\\s*\\([^\\?]{100,500}\\(\\s*\\$\\w{1,40}\\s*,[^\\?]+\\1\\s*\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]ZXJyb3JfcmVwb3J0aW5nKDApO[^\'"]{1,600}(?:PHRpdGxlPg|dGl0bGU|aXRsZT4|SFRUUF9SRUZFUg|VFRQX1JFRkVS|VFBfUkVGRVI)[^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?',
        '\\A\\s*(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:QGN1cmxfc2V0b3B0|Y3VybF9zZXRvcHQ)[^\'"]{1,600}(?:ZXZhbA|dmFs|YWwo)[^\'"][^\'"]{1,600}[\'"]\\s*\\)\\s*\\)\\s*;?',
        '<IfModule\\s+mod_rewrite\\.c>[^\\?]+?google\\|yahoo\\|msn\\|aol\\|bing[^\\*]+?index\\.php\\s+\\[L\\]\\s*</IfModule>',
        '(\\$\\w{1,40})=new\\s+\\w{1,40}\\(\\);(\\$\\w{1,40})=new\\s+Loader\\(\\1\\);\\1->set\\([\'"]\\w{1,40}[\'"],\\2\\);\\$\\w{1,40}=new\\s+DB\\([^\\}]{1,600}?\\}\\}if\\(file_exists\\([\'"](\\w{1,40}[\'"\\.ph]{5,9})[\'"]\\)\\)\\{include(?:_once)?\\s*\\(?[\'"]\\3[\'"]\\)?;\\}',
        '\\A\\s*<\\?PhP\\s*EVaL\\s*\\(\\s*BAsE64_DEcODe\\s*\\(\\s*[\'"][^\'"]{1,99}X3Bhc3Mg[^\'"]{1,99}dGlvbiA9ICdGaWxlc01hbic7Ci[^\'"]{99,999}(?:IDQwNCBOb3QgRm91bmQ|NDA0IE5vdCBGb3VuZA)[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s+=\\s+[\'"][^\'"]{9999,}[\'"];@eval\\((?:gzinflate|gzuncompress)\\(base64_decode\\(\\1\\)\\)\\);?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+/\\*[\\*]*\\*/\\s*@?eval\\(base64_decode\\([\'"][^\'"]{1,9}ZnVuY3Rpb25fZXhpc3Rz[^\'"]{1,500}KCRHTE9CQUxTWy[^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqlW.tvE9e2.leGqPc0hpDMjMceG5TT[^\'"]{8800,9999}[\'"]\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(<\\?php\\s*)@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]\\w{0,40}(?:cnJvcl9yZXBvcnRpbmcoMCk|ZXJyb3JfcmVwb3J0aW5nKDAp)[^\'"]{1,300}(?:VFBfVVNFUl9BR0VOVC|VFRQX1VTRVJfQUdFTlQ|SFRUUF9VU0VSX0FHRU5U)[^\'"]{1,999}(?:cmVnX21hdGNo|cHJlZ19tYXRjaA|ZWdfbWF0Y2g)[^\'"]{1,999}(?:aXQoKTs|eGl0KCk7|ZXhpdCgp)[^\'"]{1,300}[\'"]\\)\\s*\\)\\s*;',
        '(/)\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2e\\w?.?[\'"]\\s*,\\s*[\'"][^\'"]+[\'"]\\s*,\\s*[\'"][\'"]\\s*\\)\\s*;?\\s*(/)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,600}(?:Pgo8dGl0bGU|Cjx0aXRsZT4|PHRpdGxlPg|IDx0aXRsZT4)[^\'"]{1,1500}IFByaXYgU2hlbGw[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '<\\?php[ ]{200,}(?:\\s*(?:\\$\\w{1,40})\\s*\\=\\s*(?:[\'"\\s\\.base64_dco]{13,99}|[\'"\\s\\.gzuncompres]{12,99})\\s*;){2}@?eval(/[^/]{0,40}/)\\(\\1\\$\\w{1,40}\\1\\(\\1\\$\\w{1,40}\\([\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};?\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s*)\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\2(?:\\s*\\)\\s*){1,6};?\\s*\\}',
        '\\A\\s*<\\?php\\s+@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:[\'"]\\s*\\.\\s*[\'"])?e\\w?.?[\'"]\\s*,[^\\),]+\\)\\s*\\)\\s*\\)\\s*\\s*;[^\\;]{0,40};\\s*(?:\\?>|\\Z)',
        '<script\\s+language\\s*=\\s*[\'"]php[\'"]\\s*>\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\](?:\\s*\\)\\s*){1,6};?\\s*</script>',
        '(<\\?php\\s*)if\\s*(?:\\(\\s*md5)?\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\.\\s*@?\\2\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*;',
        '<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNptll1vE0cUhv.KYKWqDSb[^\'"]{1499,1999}["\']\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(\\{)\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*@?\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*(\\})',
        '(?:\\$\\w+\\s*=\\s*[\'"][\\w\\\\]+?[\'"]\\s*\\^\\s*[\'"][\\w\\\\]+?[\'"];\\s*)+\\$\\w+\\(\\$\\w+\\s*,\\s*[\'"][\\w\\\\]+?[\'"]\\^[\'"][\\w\\\\]+?[\'"]\\s*,\\s*[\'"]\\w+[\'"]\\);(?://\\w{16,64})?',
        '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*file_put_contents\\s*\\(\\s*[\'"]([^\'"]+)[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*[\'"]\\2[\'"]\\s*\\)\\s*;\\s*(?:|\\?>|\\Z)',
        '<\\?php\\s*//[\\#]{3}=[\\#]{3}\\s*error_reporting[^\\?]{4000,6000}?/[\\#]{3}=[\\#]{3}\\s*\\?>',
        'function\\s+(\\w{1,40})\\(\\)\\s*\\{\\s*if\\s*\\(\\s*stripos\\s*\\(\\s*@\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*(\\w+)\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{[^&]+add_action\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*\\w+\\s*\\)\\s*,\\s*["\']\\1["\']\\s*\\)\\s*;',
        '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]+\\]\\s*;\\s*if\\s*\\(\\s*!is_user_logged_in\\s*\\(\\s*\\)\\s*\\)\\s*\\{\\s*(wp_set)_current_user\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\2_auth_cookie\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s+(?:\\s*@\\w{1,40}\\([^\\)]{1,40}\\);\\s*){2,9}if\\s*\\(?\\s*isset\\s*\\(\\s*\\$_(?:G|P|C|S|R)[^\\{]{1,600}\\{\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\(?\\)?;\\s*(?:\\?>|\\Z)',
        'if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(wp_func_jquery)\'\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*\\)\\s*\\{\\s*\\$host\\s*=\\s*\'https?://\'\\s*;[^\\}]{1,999}(?:\\}\\s*if\\s*\\(\\s*[^\\{]{1,40}\\s*\\)\\s*\\{)?\\s*\\}?\\s*\\}?\\s*(add_action\\(\'wp_)footer\'\\s*,\\s*\'\\1\'\\);\\s*\\}(?:\\s*else\\s*\\{\\s*\\2head\',\\s*\'\\1\'\\);\\s*\\}\\s*\\})?',
        'function\\s+(\\w{1,40})\\(\\)\\s*\\{[^=\\}]+(\\$\\w{1,40})\\s*=\\s*(\\$wpdb->)get_results\\([\'"][^\'"]*FROM\\s+\\3users[^\'"]*[\'"]\\);[^\\{]+foreach\\s*\\(\\s*\\2[^\\}]+\\$\\w{1,40}\\s*>=\\s*8\\s*\\)[^\\}]+(\\$\\w{1,40})\\[\\]\\s*=\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*return\\s+\\4\\;\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\(\\);\\s*(?:print_?r?|echo)\\(\\5\\);',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^&]{999,6000}/\\\\x74(?:i|\\\\x69)(?:t|\\\\x74)(?:l|\\\\x6c)(?:e|\\\\x65)\\\\x3e[^`]+\\)\\);return\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{9,18}[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\};\\}echo\\s*\\(?\\s*[\'"][^;]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)',
        '<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]\\s*>\\s*document\\.write\\(\\s*[\'"]\\\\u00[^\'"]{999,5000}[\'"]\\)\\s*<\\s*/script>\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}c2l4X2dldHB3dWlkKC[^\'"][^\'"]{1,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,999}Y3NzL2ltYWdlcy9pLnR4dC[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHANCmhlYWRlcignTG9jYXRpb246IHRva2Vu[^\'"]{999,1999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(<\\?php\\s*echo\\s*[^\'"]{1,40}\\s*;\\s*@)eval(\\(\\$_POST\\[\\w+\\]\\);\\s*\\?>)',
        '(<\\?php\\s+)eval\\(base64_decode\\([\'"]DQplcnJvcl9yZXBvcnRpbmcoMCk7[^\'"]{1,600}cmVmZXJl[^\'"]{1,999}eGl0[^\'"]{1,500}[\'"]\\)\\);',
        '\\A\\s*(<\\?php\\s+)error_reporting\\s*\\(0\\)\\s*;(?:\\s*ini_set\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*;\\s*){1,2}if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^\\{]{1,99}\\{\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{60000,}[\'"];\\s*\\2\\s*=\\s*ereg_replace\\([^\\)]{1,40}\\s*\\2\\s*\\)\\s*;\\s*@?eval\\(base64_decode\\(\\2\\)\\);\\s*die\\(\\);\\s*\\}',
        '(protected\\s+function\\s+send\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{)\\s*[^\\}]{1,500}\\s*(\\$\\w{1,40})\\s*=\\s*(\\2|\\3)->getCcNumber\\(\\);[^>]{1,200}\\5->getCcExpMonth\\(\\);[^/]{200,400}(\\$\\w{1,40})\\s*=\\s*[\'"][\\w=]{4,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*base64_decode\\(\\s*\\6\\s*\\);[^\\{]+if\\s*\\(\\s*isset\\(\\4\\)\\)\\s*\\{\\s*@?mail\\(\\s*\\7\\s*,[^;]{1,40};\\s*\\}(\\s*\\})',
        'if\\s*\\(is_object\\(\\$_SESSION\\["__default"\\]\\["user"\\]\\)\\s*&&\\s*!\\(\\$_SESSION\\["__default"\\]\\["user"\\]->id\\)\\)\\s*{echo\\s*"\\s*<script\\s*language=JavaScript\\s*id=onDate\\s*>\\s*</script>\\s*<script\\s*language=JavaScript\\s*src=[^>]+>\\s*</script>\\s*"\\s*;?\\s*\\}\\s*;?',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*is_file\\(\\s*[\'"]/[^\'"]+\\.php[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*include(?:_once)?\\s*\\(\\s*[\'"]/[^\'"]+/wp\\-[\\w\\-]{1,20}\\.php[\'"]\\s*\\);\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?(?:php)?\\s*if\\(!function_exists\\([\'"]?\\w{1,40}[\'"]?\\)\\)\\{function\\s+(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w+=array\\([^&]{999,3000}(\\$\\w{1,40})=[\'"]\\1[\'"];(\\$\\w{1,40})=\\2\\([^\\)]{1,40}\\);(\\$\\w{1,40})=\\3\\([\'"][\'"],\\2\\(\\$\\w{1,40}\\)\\);\\4\\(\\);\\}?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]JG[^\'"]{1,40}PWV4cGxvZGUo[^\'"]{16000,32000}O2V2YWwo[^\'"]{1,99}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(\\{)\\s*@?copy\\(\\s*["]https?://[^"\']+["]\\s*,\\s*["\'][^\\$][^.]+\\.php["\']\\s*\\);',
        '(?<!@)eval\\s*\\(\\s*base64_decode\\s*\\("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0[^\'"]{999,5000}[\'"]\\)\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZa1DuzIFkU.Z.6VAzNpNEGbGduYPJmZ2V[^\'"]{3000,3400}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+system\\([^\\)]{1,99}\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}/sok[\'"]\\)\\s*;\\s*system\\(["\']mkdir\\s+[^\\)]{1,40}com_jooomlas[\'"]\\)\\s*;(?:\\s*system\\([^\\)]{1,99}\\)\\s*;\\s*){1,9}echo\\s*\\(?\\s*[\'"][^\'"]*[\'"]\\s*\\)?\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+[^\\$]*(?:\\$[0_O]{1,12}\\s*=\\s*[\'"]\\d+[\'"]\\s*;\\s*){2,5}(\\$[0_O]{1,12})\\s*=\\s*\\(?[\'"][^\'"]{20,80}[\'"]\\)?\\s*;\\s*(\\$[0_O]{1,12})\\s*=\\s*\\1[\\{\\[]\\d+[\\}\\]]\\.[^`]{34500,37000}@eval\\(\\$[0_O]{1,12}\\);unset\\([^\\)]{60,99}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"][^\'"]+[\'"]\\}\\[[\'"][^\'"]+[\'"]\\]\\(\\);\\s*(?:\\?>|\\Z)',
        '(\\$GLOBALS\\[[^\\]]{1,40}\\])=Array\\(base64_decode\\([^\\?]{999,3000}[\'"]<\\?php\\s*\\$\\w{1,9}\\[\\d+\\]\\s*\\?>[\'"]\\);\\1\\[\\d+\\]\\(\\$\\w{1,9}\\);\\s*include(?:_once)?\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;\\s*@\\1\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*\\)\\s*;',
        'eval\\(base64_decode\\(\'(?:JGY9|JGYgP)[^\'"]+?\'\\)\\);',
        '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"\\s]{20,80}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][\'"];\\s*foreach\\([^\\)]{1,40}\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*\\1\\[[^\\?]{999,1500}\\s*(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\([\'"\\s\\.creat_funio]{20,190}\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3\\s*\\([^\\)]{1,40}\\)\\s*\\)\\s*;\\s*\\4\\(\\);\\s*exit\\(\\);\\s*\\}',
        '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\([\'"]whoami[\'"]\\);\\s*\\?>(?:\\s*[^\\?]{0,40}\\s*<\\?php\\s+phpinfo\\s*\\(\\);\\s*\\?>)?\\s*\\Z',
        '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZWNobyc8Zm9ybSBhY3Rpb249IiIgbWV0aG9kPSJwb3N0[^\'"]{1,500}KEBjb3B5[^\'"]{1,500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoJGF1dGg[^\'"]{9999,15000}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*(?:[\'"][^\'"]{20,80}[\'"],?){99,150}\\);\\s*@?eval\\s*\\(\\s*[\'"]\\\\x65\\\\x76(?:\\\\x61|\\\\x69)\\\\x6C[^\'"]{99,999}(?:\\\\x29){4}\\\\x3B[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\s*\\(\\s*base64_decode\\s*\\([\'"](?:aWYgKCRfR0VUWy|aWYgKCRfUE9TVF)[^\'"]{99,3000}[\'"]\\)\\s*\\)\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)?\\s*\\.?\\s*\\(?\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*\\/\\*[^\\*]{1,99}\\*/\\s*\\?>',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_(GET|POST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*[^\\w]{2,3}\\s*\\1\\s*\\)\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$_\\2\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\);\\s*exit;\\s*\\}[^\\}]{1,99}\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"](?:QGV2YWwoJF9QT1NUW|ZXZhbCgkX1BPU1R)[^\'"]{1,99}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(?:(?:print|echo)\\s*[^;]{1,99}?\\s*;)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNq1WvtvE9e2.leG[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*error_reporting\\(0\\);\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\w{1,40}[^`]{29000,33000}\\$this-\\s*>\\s*\\w{1,40}\\s*=\\s*(\\$\\w{1,40})\\s*;\\s*\\1\\s*%\\s*=\\s*\\$\\w{1,40}\\s*;\\s*return\\s*\\1\\s*;\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]=[\'"][^\'"]{3,12}[\'"];\\$\\{\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)[^]]{9,49}\\]\\}=[\'"][^\'"]{99,500}\\\\x31\\\\x30\\\\x34\\\\x2e\\\\x31\\\\x33\\\\x31\\\\x2e\\\\x31\\\\x35\\\\x34\\\\x2e\\\\x31\\\\x35\\\\x34[^\'"]+[\'"];@?exec\\([\'"](?:p|\\\\x70)(?:e|\\\\x65)(?:r|\\\\x72)(?:l|\\\\x6c)[^\'"]{1,99}[\'"]\\);',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\([\'"]PD9waHANCnNlc3Npb25fc3Rhcn[^\'"]{999,1500}[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*[^\\$]{1,600}(\\$\\w{0,9}pass)\\s*=\\s*[\'"][\'"]*[\'"];\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*([^\\}]{1,40})\\s*\\][^\\{]+\\{\\s*@?mail\\s*\\(\\s*[\'"][^\'"]*[\'"]\\s*,\\s*[\'"][^\'"]*[\'"]\\s*,\\s*__FILE__\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\1\\s*\\.\\s*[\'"][^\'"]*[\'"]\\s*\\.\\s*\\$_POST\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s*/\\*[^`]{3000,5000}?\\*/\\s*@?eval\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*rawurldecode\\s*\\(\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eNqtW.tzE2W..[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){2,9}\\s*\\$_\\w{1,20}=__FILE__;\\s*\\$\\w{1,40}=[\'"][^\'"]{60000,}[\'"];\\s*@?eval\\(\\$[O0]{6,12}\\([\'"]JF9[^\'"]{1,999}[\'"]\\)\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"]?__FILE__[\'"]?\\s*;\\s*\\$[0_oO]{1,9}\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+[^\\$]{1,200}\\s*(\\$\\w{1,9}(?:code|payload|evi?l))\\s*=\\s*[\'"][^\'"]{30000,60000}[\'"]\\s*;\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*\\(?\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s+)(?:\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*;\\s*){1,9}(\\$\\w{1,40})\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*(?:,\\s*\\$\\w{1,40}\\s*)?\\)\\s*;\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{[^\\}]{1,40}\\}\\s*else\\s*[^\\}]{1,40}\\}',
        '\\A\\s*<\\?php[^\\$]{1,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*(?:strrev)?\\s*\\(?\\s*(?:[\'"(?:\\s\\.base64_dco]{15,40}|[\'"\\s\\.aceglpr_]{15,40})\\s*\\)?\\s*;){1,2}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]+[\'"]\\s*;[^\\?]+,\\s*[^\\$]{1,199}\\1[^;]+;\\s*exit\\(\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*[\'"]\\w{20,80}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{999,25000}[\'"]\\s*;\\s*@?eval\\s*\\(\\s*\\1\\s*\\(\\s*\\2\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{20,80}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*str_i?replace\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\\}]{999,25000}\\}[^\\$]{0,40}\\s*(\\$\\w{1,40})\\s*=\\s*\\2\\s*\\(\\s*\\3\\s*\\)\\s*;\\s*trigger_error\\s*\\(\\s*\\4\\s*,[^\\)]{1,40}\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}LyogV1NPI[^\'"]{9999,}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*[^x]{1,600}preg_replace\\(\\s*[\'"](?:\\\\\\w{2,3}){5,40}[\'"]\\s*,\\s*[\'"]\\\\(?:x65|145)\\\\(?:x76|166)\\\\(?:x61|141)\\\\(?:x6c|154)[^,]+,[^\\)]{1,9}\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]DQov(?:Kioq){1,40}KlwNCnwqICAgIFZCQSBTSEVM[^\'"]{60000,}[\'"];\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+\\/\\*[^\\*]{0,16}\\*/\\s*@?eval\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*(?:gzuncompress|gzinflate)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{20000,40000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"][^\\*]{99,999}@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\(?:x65|101))\\w?.?[\'"]\\s*,[^\\)]+\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"][^%]{30000,50000},sprintf\\([\'"]%[^\\^]+preg_match\\(\\s*[\'"].\\^[^\\$]{1,9}\\$\\{\\$\\{[\'"](?:\\\\(?:x47|107)|G)[^%]+[\'"]\\s*;\\s*\\}\\s*exit\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40};\\s*[^:]{1,600}://[^/]{1,40}/[^`]{9000,15000}];for\\((\\$[O_0]{1,40})\\s*=\\s*0;\\1<\\$[O_0]{1,40};\\$[O_0]{1,40}\\+\\+\\)\\{(\\$[O_0]{1,40})\\s*\\.=\\s*\\$[O_0]{1,40}\\[\\$[O_0]{1,40}\\[[^\\]]{1,9}\\]\\(0,\\$[O_0]{1,40}\\)];}return\\s*\\2;}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?(?:php)?\\s*(?:(?:/(?:\\*|/)[^\\n/]{0,20}(?:/|\\n))|\\s+)\\s*\\$[O0]{6,12}=urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*((\\$GLOBALS\\[)[\'"][O0]{6,12}[\'"]\\])\\.?=\\.?(?:(?:\\1\\{\\d+\\})?\\.?\\$[O0]{6,12}\\{?\\d*\\}?\\.?){2,10};){1,8}[^\\)]{20,80}@?eval\\(\\2[\'"][O0]{6,12}[\'"]\\]\\([\'"][^\'"]{400,3000}[\'"]\\)\\s*\\);(?:\\w{1,40};)?\\?>',
        '\\A\\s*<\\?php\\s*[^\\?]{1000,60000}\\s*\\?>\\s*((<\\?php\\s+/\\*\\*\\s+\\*\\s+@package\\s+Joomla\\.Site))',
        '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoIWRlZmluZWQoIlBIUF9FT0w[^\'"]{10000,60000}[\'"]\\)\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,40}cGhwX3VuYW1lKCk[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?eval\\s*\\([\'"][^\'"]{0,20}[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*[^\\$]{1,40}(?:(?:\\s*\\$\\w{1,9}\\s*=(?:\\s*\\.?\\s*chr\\(\\d+\\))+;)|(?:\\s*(\\$\\w{1,9})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[^\\]]{1,40}\\]\\s*;\\s*)){3,9}\\s*\\$\\w{1,9}\\s*\\([^;]{1,40}\\1\\s*\\)\\s*\\)\\s*;\\s*@?include(?:_once)?\\s*\\(\\s*(\\$\\w{1,9})\\s*\\)\\s*;\\s*@?\\$\\w{1,9}\\(\\s*\\2\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '<\\?php\\s+@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYobWQ1KCRfUE9TVFsncGFzc3[^\'"]+[\'"]\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '<\\?\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\((\\s*\'[\\w=]+\'\\s*\\.?)+\\)\\);\\s*\\?><\\?\\s*function\\s*(_\\d+)\\((\\$\\w+)\\)\\{(\\$\\w+)=Array\\((\\s*\'[\\w=]+\'\\s*\\.?,?)+\\);return\\s*base64_decode\\(\\4\\[\\3\\]\\);}\\s*\\?><\\?php\\s*\\$password=\\2\\(\\d+\\);\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\2\\(\\d\\),\\2\\(\\d\\),\\2\\(\\d\\)\\);\\s*\\?>',
        'if\\s*\\(strpos\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\s*,\\s*\'[^\']+\'\\)\\s*!==\\s*false\\)\\s*{\\s*error_reporting\\(0\\);\\s*ini_set\\(\'display_errors\',\\s*0\\);\\s*set_time_limit\\(0\\);.+add_filter\\( \'wp_title\',\\s*\'\\w+\'\\s*\\);\\s*}\\s*}',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]{200,}"\\s*;\\s*(\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*[\'"][^;]+;\\s*)+preg_replace\\(\\s*[\'"][^;]+;\\s*\\?>',
        '\\$GLOBALS\\[\'\\w+\'\\];global\\$\\w+;\\$\\w+=\\$GLOBALS;\\${[\'"](\\\\x[a-f0-9A-F]+)+[\'"]}\\[[\'"]\\w+[\'"]\\]="(\\\\x[a-f0-9A-F]+)+";.+?\\]\\){eval\\(\\$\\w+\\[\\$\\w+\\[["\']\\w+["\']\\]\\[\\d+\\]\\]\\);}exit\\(\\);}',
        '<\\?php\\s*eval\\(base64_decode\\("IGVycm9yX.+="\\)\\);',
        'error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/SESS_\\w{32}\\.php"\\);',
        '\\$var= \\$_SERVER\\[\'PHP_SELF\'\\];\\s*\\$form =<<<HTML\\s*<form enctype="multipart/form-data" action="\\$var" method="POST">\\s*<input name="uploadFile" type="file"/><br/>\\s*<input type="submit"\\s+value="Upload"\\s*/>\\s*</form>\\s*HTML;\\s*if \\(!empty\\(\\$_FILES\\[\'uploadFile\'.+?print\\s*"OK";\\s*}\\s*else\\s*{\\s*print\\s*\\$form;\\s*}',
        '<\\?php\\s*error_reporting\\(0\\);ini_set\\("display_errors", 0\\);\\$localpath=getenv\\("SCRIPT_NAME"\\);\\$absolutepath=getenv\\("SCRIPT_FILENAME"\\);\\$\\w+=substr\\(\\$\\w+,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once\\(\\$root_path\\."/\\w+.zip"\\);\\s*\\?>',
        'set_time_limit\\(0\\);\\s*ignore_user_abort\\(\\);\\s*if\\s*\\(\\s*filesize\\(\\s*"\\.htaccess"\\s*\\)\\s*>\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*fopen.+?\\(\\s*sys_get_temp_dir\\(\\)\\s*\\.\\s*"/\\$\\w+"\\s*\\);\\s*}',
        'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?hl=\\$1\\s+\\[L\\]',
        '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"https?[^"]+"\\s*\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\s*"\\w+\\.php"\\s*,\\s*"w\\+"\\s*\\);\\s*fwrite\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*fclose\\(\\s*\\$fo\\s*\\);\\s*(\\?>)?',
        'if\\s*\\(\\s*md5\\(\\s*@?\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*\\s*\\(\\s*\\$_=\\s*@\\$_REQUEST\\[\\s*\\w+\\s*\\]\\)\\s*\\.\\s*@?\\$_\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*\\w+\\s*\\]\\s*\\);',
        '\\$\\w{1,40}=\\$_(GET|POST|COOKIE|REQUEST|SERVER);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\[\\s*\\w+\\s*\\];\\s*if\\s*\\(\\s*\\$\\w+\\s*\\)\\s*{\\s*\\$\\w+=\\s*\\$\\w+\\s*\\(\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\[\\s*\\w+\\s*\\]\\s*\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(""\\s*,\\s*\\$\\w+\\s*\\);\\s*\\$\\w+\\s*\\(\\s*\\);\\s*}',
        '\\$\\w{1,40}\\s*=\\s*\'\\w+\';\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*===\\s*\\$\\w+\\s*\\)\\s*@?eval\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*exit;\\s*}\\s*if\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\){\\s*phpinfo\\(\\s*\\);\\s*}',
        '@?array_filter\\(\\s*/\\*\\w+\\*/\\s*array\\(\\s*/\\*\\w+\\*/@?\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*(/\\*\\w+\\*/)?"\\w+"/\\*\\w+\\*/}\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER){\\s*/\\*\\w+\\*/[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*/\\*\\w+\\*/\\s*\\);',
        '@?filter_var\\s*\\(\\s*\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]/\\*\\w+\\*/\\s*}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\(\\s*(/\\*\\w+\\*/)?[\'"]\\w+[\'"]\\s*=>\\s*@?\\$_(GET|POST|REQUEST|SERVER|COOKIE){\\s*(/\\*\\w+\\*/)?\\w+(/\\*\\w+\\*/)?\\s*}\\s*\\)\\s*\\);',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[["\']\\w+["\']\\]\\)\\)\\s*{(/\\*\\w+\\*/)?@?extract\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\);\\s*(/\\*\\w+\\*/)?@?die\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*(/\\*\\w+\\*/)?}',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*(\\s*/\\*\\w+\\*/)?@?preg_replace\\(\\s*[\'"]/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*,\\s*[\'"][\'"]\\s*\\);\\s*(/\\*\\w+\\*/)?\\s*}',
        'if\\s*\\(\\s*strpos\\(\\s*strtolower\\(\\s*\\$_SERVER\\[\\s*\'REQUEST_URI\'\\s*\\]\\s*\\)\\s*,\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*include\\s*\\(\\s*getcwd\\s*\\(\\s*\\)\\s*\\.\\s*\'/\\w+\\.php\'\\s*\\);\\s*exit;\\s*}',
        '\\$query\\s*=\\s*isset\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\)\\?\\s*\\$_SERVER\\[\'QUERY_STRING\'\\]:\\s*\'\';\\s*if\\s*\\(false\\s*!==\\s*strpos\\(\\$query,\\s*\'[\\w-]+\'\\)\\)\\s*{\\s*__\\w+_\\w+\\(\\);.+?stream_context_create\\(\\$options\\);\\s*\\$contents\\s*=\\s*@file_get_contents\\(\\$url,\\s*false,\\s*\\$context\\);\\s*}\\s*}\\s*}\\s*return\\s*\\$contents;\\s*}',
        '\\$user_agent_to_filter\\s*=\\s*array\\(\\s*\'\\#Ask.+?\\$ch\\s*=\\s*curl_init\\(\\s*\\);\\s*curl_setopt\\(\\$ch,\\s*CURLOPT_URL,\\s*"https?://.+?\\?useragent=\\$_SERVER\\[\\s*HTTP_USER_AGENT\\s*\\]&domain=\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]"\\);\\s*\\$result\\s*=\\s*curl_exec\\(\\s*\\$ch\\s*\\);\\s*curl_close\\s*\\(\\s*\\$ch\\s*\\);\\s*echo\\s*\\$result;\\s*}',
        '\\$\\w{1,40}\\s*=\\s*getenv\\("SCRIPT_NAME"\\);\\s*\\$\\w+\\s*=\\s*getenv\\("SCRIPT_FILENAME"\\);\\s*\\$\\w+\\s*=\\s*substr\\(\\$\\w+,\\s*0,\\s*strpos\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*\'/xm1rpc\\.php\';\\s*if\\s*\\(!file_exists\\(\\$\\w+\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(filesize\\(\\$\\w+\\)\\s*<\\s*3000\\)\\s*\\|\\|\\s*file_exists\\(\\$\\w+\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*filemtime\\(\\$\\w+\\)\\s*>\\s*60\\s*\\*\\s*60\\s*\\*\\s*1\\)\\)\\s*{\\s*file_put_content.+?\\$enc1\\s*=\\s*\\$enc2\\s*=\\s*\\$enc3\\s*=\\s*\\$enc4\\s*=\\s*"";\\s*}\\s*while\\s*\\(\\$i\\s*<\\s*strlen\\(\\$\\w+\\)\\);\\s*return\\s*\\$\\w+;\\s*}',
        '<\\?(php)?\\s*@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w*\'\\]\\s*\\(str_rot13\\s*\\(\'\\w*\\s*\\(\\s*\\$_\\w*\\["\\w*"\\]\\s*\\);\'\\s*\\)\\s*\\);\\s*\\?>',
        '\\$\\w{1,40}="create.+?return\\([^}]+};for\\(\\$\\w+=-\\d+;\\+\\+\\$\\w+<\\d+;\\$\\w+\\(\'\',\'}\'\\.\\$\\w+\\[\\s*\\$\\w+\\s*\\]\\s*\\.\\s*\'{\'\\)\\);};unset\\(\\$\\w+\\);',
        '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\((?:\\s*\\$\\w+\\[\\s*\\d+\\s*\\]\\s*\\.?)+\\)\\s*;.+?eval\\s*\\(\\s*\\$\\w+\\s*\\w+\\s*\\(\\s*\\$\\s*\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'if\\(\\s*!empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\)\\){\\s*extract\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\);\\$(\\s*\\w+\\s*)\\s*=\\s*\\$\\w+\\(\\s*\'\'\\s*,\\s*\\$\\w+\\(\\$\\w+\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*\\$\\w+\\)\\s*\\)\\s*\\);\\s*\\$\\1\\(\\s*\\);\\s*}',
        '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'\\w+\'\\s*\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\'\\w+\'\\]\\s*\\)\\s*\\)\\s*\\);',
        '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z0-9/=_]+";\\s*\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\s*\\);\\s*)+\\$\\w+\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$*.+?\\$\\w+\\(\\);',
        '<\\?php\\s*(\\$\\w+\\s*=\\s*"[a-zA-Z_=/0-9\\?]+";\\s*)+\\s*(\\$\\w+\\s*=\\s*(str_replace|\\$\\w+)\\s*\\(\\s*"\\w+"\\s*,\\s*""\\s*,\\s*"\\w+"\\);\\s*)+\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\'\'\\s*,\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\("[^"]+"\\s*,\\s*""\\s*,\\s*.+?\\$\\w+\\(\\);',
        '<\\?php\\s+function\\s+\\w+\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*\'[base64decode_\\.\']+\';\\s*\\$\\w+\\s*=\\s*gzinflate\\(\\$code\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(ord\\(\\$\\w+\\[\\$i\\]\\)-1\\);\\s*}\\s*return\\s+\\$\\w+;\\s*}eval\\(\\w+\\("[^"]+"\\)\\);\\?>',
        '<\\?php\\s*echo\\s*\'<b><br><br>\'\\.php_uname\\(\\s*\\).+echo\\s*\'<b>Upload[^<]+</b><br><br>\';\\s*}\\s*}\\s*\\?>',
        '<\\?php\\s*add_action\\(\\s*\'wp_head\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*function\\s+\\w+\\(\\)\\s*{\\s*if\\s*\\(\\s*md5\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\)\\s*==\\s*\'\\w+\'\\s*\\)\\s*{\\s*require\\(\\s*\'wp-includes/registration\\.php\'\\s*\\);\\s*if\\s*\\(\\s*!username_exists\\(\\s*\'\\w+\'\\s*\\)\\s*\\)\\s*{\\s*\\$user_id\\s*=\\s*wp_create_user\\(\\s*\'\\w+\',\\s*\'\\w+\'\\s*\\);\\s*\\$\\w+\\s*=\\s*new\\s+WP_User\\(\\s*\\$user_id\\s*\\);\\s*\\$user->set_role\\(\\s*\'\\w+\'\\s*\\);\\s*}\\s*}\\s*}\\s*\\?>',
        'error_reporting\\(E_ALL\\);\\s*\\$\\w+\\s*=\\s*\'\';\\s*\\$\\w+\\s*=\\s*\'RewriteEngine On.+if\\s*\\(file_exists\\(\'index\\.php\'\\)\\)\\s*{\\s*file_put_contents\\(\'index\\.php\'\\s*,\\s*str_replace\\(array\\(\\$\\w+,\\$\\w+\\),\\s*\'\'\\s*,\\s*file_get_contents\\(\'index\\.php\'\\)\\)\\);\\s*}',
        '<\\?php\\s*\\$\\w+\\s*=\\s*"[assertevl"\\.]+"\\s*;\\s*\\$\\w+\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);',
        '<\\?php\\s*\\$password=.+?if\\s*\\(!empty\\s*\\(\\$_FILES\\[\'\\w+\'\\]\\)\\)\\s*{\\s*move_uploaded_file.+?<input type="submit" name="login" value="go!" /\\s*></form>\\s*<\\?php\\s*}\\s*\\?>',
        '<\\?php\\s*if\\(\\s*isset\\(\\s*\\$_(REQUEST|GET|POST|COOKIE|SERVER)\\["\\w+"\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}\\s*\\$f\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*\\$id=\\$f;\\s*\\$current\\s*=\\s*file_get_contents\\("[^"]+"\\);\\s*file_put_contents\\(\\$\\w+\\s*,\\s*\\$\\w+\\);',
        '<\\?php\\s+@?eval\\(\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\["\\w+"\\]\\);\\?>',
        '/\\*[^*]+\\*/\\s*(\\$\\w+\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*){3,10}\\$\\w+\\s*=\\s*\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\^\'[^\']+\'\\)\\)\\);\\s*\\$\\w+\\(\\s*\\);',
        'if\\s*\\(\\s*\\$_REQUEST\\["\\w+"\\]\\s*\\)\\s*{\\s*@assert\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\)\\);\\s*//[\\w\\s]+\\s*echo\\s*"[\\w\\s]+";\\s*exit\\(\\s*\\);\\s*}',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\){@\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\(stripslashes\\(\\$_(GET|POST|COOKIE|REQUEST)\\["\\w+"\\]\\)\\);};',
        '<IfModule\\s+mod_rewrite\\.c>\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\) \\[OR\\]\\s*RewriteCond\\s+%{HTTP_REFERER}\\s+\\(google\\|yahoo\\|msn\\|aol\\|bing\\)\\s*RewriteRule \\^\\.\\*\\$\\s+index\\.php\\s+\\[L\\]\\s*<\\/IfModule>',
        'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\|avantgo\\|bada.+?zeto\\|zte\\\\-\\)\\s*\\[NC\\]\\s+RewriteRule\\s*\\^\\$\\s+http://.+?\\[R,L\\]',
        '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\s*!=\\s*""\\)\\s*{\\s*\\$\\w+=base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*@eval\\("\\\\\\$\\w+\\s*=\\s*\\$\\w+;"\\);\\s*}\\s*\\?>',
        'if\\(isset\\(\\$_REQUEST\\["(\\w+)"\\]\\)\\)\\s*\\$_REQUEST\\["\\1"\\]\\(\\$_REQUEST\\["\\w+"\\]\\);',
        'if\\s*\\(\\$_SERVER\\[\'QUERY_STRING\'\\]\\s*==\\s*\'index\'\\)\\s*{\\s*echo\\s*\'<form\\s*action=""\\s*method=post\\s*enctype=multipart/form-data><input\\s*type=file\\s*name=uploadfile><input\\s*type=submit\\s*value=Upload></form>\';\\s*\\$uploaddir\\s*=\\s*\'\';\\s*\\$uploadfile\\s*=\\s*\\$uploaddir\\.basename\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'name\'\\]\\);\\s*if\\s*\\(copy\\(\\$_FILES\\[\'uploadfile\'\\]\\[\'tmp_name\'\\],\\s*\\$uploadfile\\)\\)\\s*{\\s*echo\\s*"<h3>OK</h3>";\\s*exit;\\s*}else{\\s*echo\\s*"<h3>NO</h3>";\\s*exit;\\s*}\\s*exit;\\s*}',
        '\\$GLOBALS\\[\'_(\\d+)_\'\\]=Array\\(base64_decode\\(.*?if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_(\\d+)\\(\\d+\\)\\]\\)\\){\\$_\\d+=\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[_\\2\\(\\d+\\)\\]\\);\\$GLOBALS\\[\'_\\1_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}echo \\$_\\d+;exit;}',
        'error_reporting\\(0\\);\\s*ini_set\\(\\s*"display_errors"\\s*,\\s*0\\)\\;\\s*include_once\\(\\s*sys_get_temp_dir\\(\\s*\\)\\s*\\.\\s*"/SESS_[a-f0-9]{32}"\\);',
        '\\$url\\s*=\\s*".*?";\\s*if\\s*\\(isset\\(\\$_SERVER\\[\'HTTP_REFERER\'\\]\\)\\s*AND\\s*!isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*{\\s*setcookie\\("\\w+",\\s*"1",\\s*time\\(\\)\\+\\d+\\);\\s*\\$urls\\s*=\\s*array\\("google\\.",\\s*"yandex\\.",\\s*"yahoo\\.",\\s*"aol\\.",\\s*"msn\\.",\\s*"rambler\\.",\\s*"mail\\.",\\s*"ya\\.",\\s*"bing\\.",\\);\\s*for\\s*\\(\\$i=0;\\s*\\$i\\s*<\\s*count\\(\\$urls\\);\\s*\\$i\\+\\+\\)\\s*if\\s*\\(strpos\\(\\$_SERVER\\[\'HTTP_REFERER\'\\],\\s*\\$urls\\[\\$i\\]\\)!==false\\)\\s*exit\\(\'<script>document\\.location\\.href\\s*=\\s*"\'\\.\\$url\\.\'";</script>\'\\);\\s*}',
        '<\\?(php)?\\s*\\$\\w+\\s*=\\s*@?\\$_SERVER\\["HTTP_USER_AGENT"\\].+?@eval\\(\\s*\\$\\w+\\[\\w+\\]\\s*\\);\\s*echo\\s*"[^"]+";\\?>',
        'error_reporting(0);\\s*ini_set(\\s*"display_errors"\\s*,\\s*0)\\;\\s*include_once(sys_get_temp_dir()\\."/SESS_[a-f0-9]+");',
        'eval\\(strrev\\(file_get_contents\\(\'[\\-\\w.]+\'\\)\\)\\);',
        '\\(\\$\\w+\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\)\\s*&&\\s*@preg_replace\\(\'/\\w+/e\'\\s*,\\s*\'@\'\\s*\\.\\s*base64_decode\\(\\s*"[\\w=+/]+"\\s*\\)\\s*\\.\'\\s*\\(\\s*\\$\\w+\\s*\\)\'\\s*,\\s*\'\\w+\'\\s*\\);',
        'arr2html\\(\\$_REQUEST\\[\'\\w+\'\\]\\);',
        '\\$(\\w+)="create_";global\\s+\\$(\\w+);\\s*\\$\\2=array\\(\'\\$\\2[\\d+]=array_pop(\\$\\2);\\$(\\w+)=\\3\\(\\d+\\);\\$\\2[\\d+]=\\$\\3\\(\\$\\2[\\d+]\\);.?\\$\\2[\\d+]=gzuncompress\\(.+?\\);if\\(function_exists\\(\\$\\1\\.=\'function\'\\)&&!function_exists\\(\'\\3\'\\)\\){\\s*function\\s+\\3\\(\\$\\w+,\\$\\w+=\\d+\\){global\\s+\\$\\2;.?;\\$\\1.?;unset\\(\\$\\2\\);',
        '<\\?php\\s*if\\(!\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){\\s*header\\(\'HTTP/1\\.1 404 Not Found\'\\);\\s*exit\\(\\);.+?}\\s*\\?>',
        '//\\#\\#\\#=CACHE START=\\#\\#\\#.*?//\\#\\#\\#=CACHE END=\\#\\#\\#',
        '<\\?php\\s*eval\\("(\\\\x?[\\w]+){6,}.+(\\\\x?[\\w]{3,})"\\);\\s*\\?>$',
        '<\\?php\\s*\\$\\w+\\s*=\\s*Array\\((\'\\w+\'=>\'\\w+\',?\\s*){20,}\\s*\\);\\s*function\\s*\\w+\\(\\$\\w+,\\s*\\$\\w+\\){\\$\\w+.+?base64_decode.+eval\\(\\w+\\(\\$\\w+,\\s*\\$\\w+\\)\\);\\?>',
        '(\\$\\w+\\s*=\\s*(chr\\(\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*[\\^\\+\\-/\\*]\\s*(\\d+|ord\\(["\']\\w+["\']\\))\\s*\\)\\.?)+;\\s*){2,}.+?exit\\(\\${\\w+\\(',
        '(\\$\\w+)="base64_decode";assert\\(\\1\\(\'[\\w=]+\'\\)\\);',
        'error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*if\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'1\'\\){echo\\s*\'200\';\\s*exit;}\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)==\'\\w+\'\\)eval\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);',
        'if\\s*\\(\\$mode==\'upload\'\\)\\s*{\\s*if\\(is_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\]\\)\\)\\s*{\\s*move_uploaded_file\\(\\$_FILES\\["filename"\\]\\["tmp_name"\\],\\s*\\$_FILES\\["filename"\\]\\["name"\\]\\);\\s*echo \\$_FILES\\["filename"\\]\\["name"\\];\\s*}\\s*}',
        '<html>\\s*<head>\\s*<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">\\s*<title>\\w+</title>\\s*</head>\\s*<body>\\s*<\\?php\\s*print \'<h1>.*?</h1>\';\\s*echo ".*?";.*?echo\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*echo\\s*"<form method=\\\\"post\\\\"\\s*enctype=\\\\"multipart/form-data\\\\">.*?if\\s*\\(\\s*@is_uploaded_file\\(\\s*\\$_FILES\\["\\w+"\\]\\["\\w+"\\]\\s*\\)\\)\\s*{\\s*.*?move_uploaded_file\\(\\$_FILES\\["\\w+"\\]\\["tmp_name"],.*?\\$_FILES\\["\\w+"\\]\\["name"\\]\\);.*?echo\\s*"<a\\s*href=\\\\"\\$\\w+\\\\">\\$\\w+</a>";\\s*.*?\\$\\w+\\s*=\\s*\\$_SERVER\\[\'SCRIPT_FILENAME\'\\];\\s*touch\\(\\s*\\$\\w+\\s*\\);\\s*\\?>\\s*</body>\\s*</html>',
        '(\\$\\w+)=[\'|"](\\w+)\\.zip[\'|"];\\s*(\\$\\w+)\\s*=\\s*file_get_contents\\([\'|"][^\'|^"]+[\'|"]\\);\\s*file_put_contents\\(\\1,\\s*\\3\\);.*?pclzip\\.lib\\.php.*(\\$\\w+)\\s*=\\s*new\\s*PclZip\\(\\1\\);\\s*if\\s*\\(\\4->extract\\(\\)\\s*==\\s*0\\)\\s*{\\s*die\\("Error\\s*:\\s*"\\.\\4->errorInfo\\(true\\)\\);\\s*}',
        '(\\$\\w+)\\s*=\\s*scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);\\s*for\\s*\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\)\\s*{\\s*if\\(stristr\\(\\1\\[\\2\\],\\s*\'php\'\\)\\)\\s*{\\s*(\\$\\w+)\\s*=\\s*filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]."/".\\1\\[\\2\\]\\);\\s*break;\\s*}\\s*}\\s*touch\\(dirname\\(__FILE__\\),\\s*\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\3\\);\\s*@\\$_REQUEST\\[\'\\w+\'\\]\\(str_rot13\\(\'riny\\(\\$_ERDHRFG\\["\\w+"\\]\\);\'\\)\\);\\s*if\\(\\s*!\\s*defined\\(\\s*\'DATALIFEENGINE\'\\s*\\)\\s*\\)\\s*{\\s*die\\(\\s*"Hacking\\s*attempt!"\\s*\\);\\s*}\\s*if\\(\\s*isset\\(\\s*\\$view_template\\s*\\)\\s*and\\s*\\$view_template\\s*==\\s*"rss"\\s*\\)\\s*{\\s*}\\s*elseif\\(\\s*\\$category_id\\s*and\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*!=\\s*\'\'\\s*\\)\\s*\\$tpl->load_template\\(\\s*\\$cat_info\\[\\$category_id\\]\\[\'shot_tpl\'\\]\\s*.\\s*\'.tpl\'\\s*\\);\\s*else\\s*\\$tpl->load_template\\(\\s*\'\\w+.tpl\'\\s*\\);\\s*',
        '(\\$\\w+)\\s*=\\s*[\'|"][assert]+(\\|\\|\\|\\w+\\|\\|\\|)[assert]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*[\'|"][base64_decode]+(\\2)[base64_decode]+[\'|"];\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\1\\);\\s*(\\$\\w+)\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\3\\);\\s*(\\$\\w+)\\s*=\\s*[\'|"][\\w=]+\\2[\\w+=]+\';\\s*\\$\\w+\\s*=\\s*str_replace\\([\'|"]\\2[\'|"],[\'|"]+,\\7\\);\\s*\\1\\(\\3\\(\\7\\)\\);',
        '<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?><\\?php\\s*(\\$\\w+)\\s*=\\s*"[^"]+";\\s*(\\$\\w+)\\s*=\\s*base64_decode\\(\\1\\);\\s*(\\$\\w+)\\s*=\\s*\'\';\\s*for\\s*\\(\\$\\w+\\s*=\\s*0;\\s*\\$\\w+\\s*<\\s*strlen\\(\\2\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\3\\s*\\.=\\s*chr\\(ord\\(\\2\\[\\$\\w+\\]\\)\\s*\\^\\s*ord\\(\'x\'\\)\\);\\s*}\\s*eval\\(\\3\\)\\s*\\?>\\s*<\\?php\\s*/\\*\\s*\\w+\\s*\\*/\\s*\\?>',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\){ \\$(\\w+) = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\1\'\\]\\); @eval\\(\\$\\2\\); }',
        '<\\?php\\s*error_reporting\\(0\\);\\s*(\\$\\w+)=array\\(\\);\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){\\1=explode\\(\' :: \',urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\2\'\\]\\)\\);}\\s*if \\(strlen\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)>0\\){array_push\\(\\1,\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\);}\\s*(\\$\\w+)=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*(\\$\\w+) = urldecode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*foreach \\(\\1 as (\\$\\w+)\\).*?\\$\\w+=fwrite\\(\\$\\w+,\\5\\);.*?\\?>',
        '<\\?php\\s*\\$\\w+\\s*=\\s*"[preg_replace\\.\\"]+";\\s*@?\\$\\w+\\(\\s*"/\\[\\w+\\]/e"\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\],"\\w+"\\);\\s*\\?>',
        '<\\?php\\s*\\$\\w+\\s*=\\s*base64_decode\\(\'.+?;@?\\$c\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w+[\'"]?\\]\\);\\s*\\?>',
        '<\\?php\\s*if\\(strpos\\(strtolower\\(\\$_SERVER\\[\'REQUEST_URI\'\\]\\),\'essay\'\\)\\){include\\(getcwd\\(\\)\\.\'/config-info\\.php\'\\);\\s*exit;}\\s*\\?>',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){\\s*(\\$\\w+) = \\$_SERVER\\[DOCUMENT_ROOT\\];\\s*(\\$\\w+) = <<<\'EOD\'\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }}\\s*EOD;\\s*(\\$\\w+) = <<<\'EOD\'\\s*<\\?php if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\3\'\\];@move_uploaded_file\\(\\5\\[\'tmp_name\'\\], \\4\\.\\5\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\3"/><input type="Submit"/></form><\\?php }} \\?>\\s*EOD;\\s*(\\$\\w+) = array\\((\\1\\."/[a-z0-9\\-_\\s\\/]+\\.php"?,?\\s*)+\\);\\s*foreach\\(\\10 as (\\$\\w+)\\){\\s*(\\$\\w+) = file_get_contents\\(\\12\\);\\s*if \\(stripos\\(\\13, \'\\w+\'\\) == false\\){\\s*if\\(preg_match\\(\'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\', \\13\\) == false\\){\\s*\\13 \\.= \\2;\\s*file_put_contents\\(\\12, \\13\\);\\s*}else{\\s*(\\$\\w+) = \'/\\\\\\?>\\(\\\\s\\+\\)\\?\\$/i\';\\s*(\\$\\w+) = \'\\?>\';\\s*\\13\\s*= preg_replace\\(\\14, \\15, \\13\\);\\s*\\13 \\.= \\6;\\s*file_put_contents\\(\\12, \\13\\);\\s*}\\s*}\\s*}\\s*}',
        '<\\?php\\s*/\\*[^*]{1,5000}\\*/\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\?>',
        '<\\?php\\s*\\$\\w+\\s*=\\s*["base64\\s\\._decode"]+;\\s*assert\\(\\$\\w+\\(\'[a-zA-Z0-9\\d\\./]{500,}\'\\)\\);\\s*\\?>',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\){if\\(isset\\(\\$_FILES\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=getcwd\\(\\)\\.\'/\';(\\$\\w+)=\\$_FILES\\[\'\\1\'\\];@move_uploaded_file\\(\\3\\[\'tmp_name\'\\], \\2\\.\\3\\[\'name\'\\]\\);.*?<form method="POST" enctype="multipart/form-data"><input type="file" name="\\1"/><input type="Submit"/></form><\\?php }}',
        '<\\?(php)?\\s*(eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]+\\s*\\]\\s*\\)\\s*;',
        '<\\?php\\s*(\\$.\\s*=\\s*[\\wchr\\(\\)\\d+\\./\\*;\\s"\']+)+\\$.\\([chr\\(\\)\\d\\.,\\s*\\$abc]+;\\s*$',
        '((\\$\\w+=\'.\';)+\\$\\w+=(\\$\\w+\\.?)+;)+eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\'[^\']+\'\\)\\)\\)\\)\\);',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+shell_exec\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)echo\\s+eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);',
        '<\\?php if\\(!isset\\(\\$GLOBALS.+?};}\\s*\\$\\w+="[a-zA-Zx\\\\\\d]+";\\s*\\$\\w+=substr\\(\\$\\w+,\\([\\d\\-\\+\\*/]+\\),\\([\\d\\-\\+\\*/]+\\)\\);\\s*\\$\\w+\\(\\$\\w+,\\s*\\$\\w+,\\s*NULL\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+=\\([\\d\\-\\+\\*/]+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*!isset\\(\\s*\\$GLOBALS.+\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*,\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*NULL\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*\\d+\\s*[\\-+/^]\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}-1\\s*;\\s*\\?>',
        '<\\?if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST).+\\$sh==\'127\\.0\\.1\\.\\d+\'\\){\\s*header\\(\'HTTP/1\\.1 203\'\\);exit;}}header\\(\'HTTP/1\\.1 201\'\\);exit;}header\\(\'HTTP/1\\.1 302 Found\'\\);header\\(\'Location: [^\']+\'\\);\\?>',
        '\\$\\w{1,40}=\'\\w+\\(\\!\\w+\\("\\w+"\\)\\).*?;return\\s+\\$module->content\\.html;\\}',
        '<\\?php\\s*echo"\\w+";error_reporting\\(0\\);\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\) && md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'com\'\\]\\)\\s*==\\s*\'\\w+\'\\s*&&\\s*isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*\\$kk\\s*=\\s*strtr\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\'-_,\',\\s*\'\\+/=\'\\);eval\\(base64_decode\\(\\$\\w+\\)\\);\\s*echo"\\w+";\\s*\\?>',
        '<\\?php\\s*(/\\*[^\\*]+?\\*/)?\\s*\\$GLOBALS\\[\'\\w+\'\\]\\s*=\\s*"\\w+";(\\s*//.+?$)?\\s*\\$\\w+="[create_function\\.\\"\\s]+";\\$\\w{1,40}=\\$\\w+\\(\'[\\$evalx\',\\.(\\"\\?>gzinfltbs64dcode_);]+\\$\\w+\\(".+"\\);\\s*(\\?>)?',
        '<\\?\\s*\\$ip = getenv\\("REMOTE_ADDR"\\);.+?\\$headers \\.= \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eMailAdd\'\\]\\."\\\\n";.+?header\\("Location:.+?\\?>',
        '<\\?php\\s*\\$\\w+\\s*=\\s*\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\];\\s*move_uploaded_file\\(\\$_FILES\\[\'\\w+\'\\]\\[\'\\w+\'\\],\\s*\\$\\w+\\);\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'main\'\\]\\)\\)\\s*{\\s*echo\\s*\'<form method\\s*=\\s*"post".*?</form>\';\\s*}\\s*\\?>',
        '<\\?php\\s+\\$\\w+\\s*=.+?\\$\\w+\\s*=\\s*explode\\(chr\\(\\(\\d+[\\-\\+\\*\\/]\\d+\\)\\),\\s*\'(\\d+,?)+\'\\);\\s*\\$\\w+\\s*=\\s*\\$cenghfgqo\\("",erjcqwd\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\);\\s*\\$\\w+=\\$\\w+;\\s*\\$\\w+\\(""\\);\\s*\\$\\w+=\\(\\d+[\\-\\+\\/\\*]\\d+\\);\\s*\\$\\w+=\\$\\w+-\\d+;\\s*\\?>\\s*',
        '\\$\\w{1,40}=\'base64_decode\';\\$\\w+=\\$\\w+\\(\\$_[POST|GET]+\\[\'\\w+\'\\]\\);file_put_contents\\(\'\\w+\',\'<\\?php\\s*\'\\.\\$\\w+\\);include\\(\'\\w+\'\\);unlink\\(\'\\w+\'\\);',
        '/\\*\\w+\\.php\\s*\\*/\\s*@require_once\\(.*?\\);\\s*/\\*\\w+\\.php\\s*\\*/',
        '\\$_[O0]*="[a-f0-9]{32}";\\$_[O0]*=str_rot13\\(.*?eval\\(strrev\\(\'.*?\'.*?eval\\(_[0O]*\\(_[0O]*\\(".*"\\),\\$_[0O]*\\)\\);eval\\(_[0O]*\\(\\$_[0O]*\\)\\);\\$\\w+=\'.*?\';',
        '\\$[O0]+\\s*=\\s*urldecode\\("[^"]+"\\);.{100,400}eval\\(\\$[O0]+\\(".{100,1000}"\\)\\);\\s*',
        '<\\?php\\s*\\$\\w+\\s*=\\s*file_get_contents\\(\\s*"http://.+?"\\s*\\);\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]=="\\w+"\\){\\s*eval\\(\\$\\w+\\);\\s*exit;\\s*}\\s*\\?>\\s*',
        '<\\?php\\s*preg_replace\\("/\\.\\*/e","(\\\\x[a-fA-F0-9]+){5,}.+",""\\);\\s*(\\?>)?\\s*$',
        'if\\(isset\\(\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]\\)\\){\\$str = \\$_(GET|POST|COOKIE)\\[\'\\w+\'\\]; \\$\\w+[\\/\\*/\\-]*\\([/\\*\\/\\-]*\\$_(GET|POST|COOKIE)\\[\'\\w+\'\\][/\\*\\/\\-]*\\);}',
        'eval\\(base64_decode\\("CmV[A-Za-z0-9\\+\\/\\=]+"\\)\\);',
        '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtoupper\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*if\\(\\s*isset\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\$\\s*{\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\);\\s*}',
        '\\$\\w{1,40}\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=\\s*strtolower\\s*\\(\\s*(\\s*\\$\\w+\\[\\d+\\]\\s*\\.?\\s*)+\\)\\s*;\\s*.+?eval\\s*\\(\\s*\\$\\w+\\s*\\(\\s*\\${\\s*\\$\\w+\\s*}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\);\\s*}',
        '<form\\s+enctype=multipart/form-data\\s+method=post>\\s*<input\\s+name=fileMass\\s+type=file>.+?@copy\\(\\$_FILES\\[fileMass\\]\\[tmp_name\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[path\\]\\.\\$_FILES\\[fileMass\\]\\[name\\]\\);\\s*}};\\s*\\?>',
        '<\\?php \\$a = str_replace\\(x,"","\\w+"\\);\\$a\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\); \\?>',
        '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[^\']{5000,}\'\\)\\)\\)\\);\\s*\\?>\\s*',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){echo\\s*\'<form .+?echo\'\\+\';}else{echo\'-\';}}}',
        '<\\?php print\'<form enctype=multipart/form-data.+?\\)\\){if\\(is_uploaded_file\\(\\$_FILES.+?\\);}}exit;\\?>\\s*$',
        '<\\?php.\\$[a-zA-Z]{10}\\w*=.*false;if\\(isset.*chr\\(\\d.*\\="\\)\\);exit\\(\\);$',
        '<\\?php\\s*if\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';}else{\\(\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\'/ad/e\',\'@\'\\.str_rot13\\(\'riny\'\\)\\.\'\\(\\$www\\)\'\\s*,\\s*\'\\w+\'\\s*\\);\\s*}\\?>\\s*',
        '\\$\\w{1,40}\\s*=\\s*Array\\(\'[asert\\.\\\']+\'\\);@\\$\\w+\\[chr\\(\\d+\\)\\]\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[asert\\.\\\']+\'\\]\\);',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\']\\)\\)\\s*copy\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);else',
        '<\\?\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*preg_replace\\(\'/\\w+/e\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\],\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\?>\\s*',
        'if \\(isset\\(\\$_REQUEST\\["\\w+"\\]\\)\\) {(/\\*\\w+\\*/)?@extract\\(\\$_REQUEST\\);/\\*\\w+\\*/@die\\(\\$\\w+\\(\\$\\w+\\)\\);(/\\*\\w+\\*/)?}',
        '/\\*\\s*TEST-TRACK-LINE\\s*\\*/\\s*\\$\\w+.+?/\\*\\s*/TEST-TRACK-LINE\\s*\\*/\\s*',
        '@preg_replace\\("/\\[\\w+\\]/e"\\s*,\\s*\\$_(COOKIE|POST|GET|REQUEST|SERVER)\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*,\\s*"\\w+"\\s*\\);',
        '@extract\\s*\\(\\s*\\$_REQUEST\\s*\\);\\s*@die\\s*\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*\\);',
        'if\\s*\\(isset\\(\\$_COOKIE\\["\\w+"\\]\\)\\)\\s*@\\$_COOKIE\\["\\w+"\\]\\(\\$_COOKIE\\["\\w+"\\]\\);',
        '/\\*\\s*.{32}\\s*\\*/\\s*function xmail\\s*\\(\\)\\s*{\\s*\\$a=func_get_args\\(\\);\\s*file_put_contents\\(\'.+?mail\\(\\s*\\$a\\[0\\],\\s*\\$a\\[1\\],\\s*\\$a\\[2\\],\\s*\\$a\\[3\\]\\s*\\);}\\s*function x.+?\\^\\s*\'0\';}\\s*return\\s*\\$o;}',
        '\\$\\w{1,40}\\s*=\\s*".{32}";\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*eval\\(\\$\\w+\\);\\s*exit\\(\\);\\s*}\\s*if\\(isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*\\$_REQUEST\\[\'\\w+\'\\];\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+,\\s*\'w\'\\);\\s*\\$\\w+\\s*=\\s*fwrite\\(\\$\\w+,\\s*\\$\\w+\\);\\s*fclose\\(\\$\\w+\\);\\s*echo\\s*\\$\\w+;\\s*exit\\(\\);\\s*}',
        '<\\?php\\s*\\$a=isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'null_prime\'\\]\\);\\s*\\$c="[^"]+";.+?strrev\\(\\$c\\)\\)\\);fclose\\(\\$f\\); die; }\\s*\\?>\\s*',
        '<\\?php\\s*(if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"]\\)\\)\\s*\\$\\w+ = base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*else\\s*{\\s*echo "indata_error";\\s*exit;\\s*}\\s*)+if\\(mail\\(\\$\\w+,\\$\\w+,\\$\\w+,\\$\\w+\\)\\)\\s*echo "sent_ok";\\s*else\\s*echo "sent_error";\\s*\\?>',
        'if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file\\(\\$_FILES\\[\'F1l3\'\\]\\[\'tmp_name\'\\], \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'Name\'\\]\\); Exit;}',
        '<\\?\\s*if \\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+echo \'You are forbidden!\';\\s*}\\s*\\?>',
        '\\$gif=file\\(dirname\\(__FILE__\\)\\.\'/images/\\w+\\.gif\',2\\);\\$gif=\\$gif\\[\\d+\\]\\("",\\$gif\\[\\d+\\]\\(\\$gif\\[\\d+]\\)\\);\\$gif\\(\\);',
        '\\$\\w{1,40}\\s*=\\s*@\\$_COOKIE\\[\'\\w+\'\\];\\s*if\\s*\\(\\$\\w+\\) {\\s*\\$\\w+\\s*=\\s*\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\);\\s*\\$\\w+=\\$\\w+\\(@\\$_COOKIE\\[\'\\w+\'\\]\\); \\$\\w+\\("/\\w+/e",\\$\\w+,\\w+\\);}',
        '<\\?\\s*set_time_limit\\(\\d+\\);\\s*error_reporting\\(0\\);\\s*\\$\\w+\\s+=\\s*\'[^\']+\';\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$rhs\\)\\)\\)\\)\\;\\s*\\?>',
        '\\$urls\\s*=\\s*array\\s*\\(.+?\\);\\s*\\$URL\\s*=\\s*\\$urls\\[rand\\(0,\\s*count\\(\\$urls\\)\\s*-\\s*1\\)\\];\\s*header\\s*\\("Location:\\s*\\$URL"\\);',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\){\\s*\\$d=substr\\(8,1\\);foreach\\(array\\((\\d+,)+.+?eval\\(\\$d\\);\\s*}',
        '<\\?php\\s*\\$\\w{1,20}\\s*=\\s*Array\\(\'\\w\'=>.+sprintf\\(\\w{1,20}\\(\\$\\w{1,20}\\s*,\\s*\\$\\w{1,20}\\)\\);(\\?>)?',
        '\\$_REQUEST\\[.\\]\\s*\\?\\s*eval\\(\\s*base64_decode\\(\\s*\\$_REQUEST\\[.\\]\\s*\\)\\s*\\)\\s*:\\s*exit;',
        '<\\?php\\s*\\$\\w{1,40}=".+";eval/\\*\\*/\\(strrev\\(str_replace\\(".","",\\$\\w+\\)\\)\\);\\?>',
        '<\\?php\\s*if\\(preg_match\\((chr\\(\\d+\\)\\.)+.+if\\(\\$\\w+===false\\)continue;\\$\\w+=str_repeat.+base64_decode\\(\'[a-zA-Z0-9\\+/=]+\'\\),.+?\\$\\w+\\)\\);break;}}}\\?>',
        '<\\?\\s*\\$_="";\\$_\\[\\+""\\]=\'\';\\$_="\\$_.*\\$_}\\[\'__\'\\]\\);\\?>',
        '<\\?php\\s*\\$_\\w+="(\\\\x[A-Fa-f0-9]{2}){1,500}";\\$_\\w+\\("(\\\\x[a-fA-F0-9]{2}){1,500}",".+?",\'\\.\'\\);\\?>',
        '<\\?php\\s*\\$\\w{1,40}=\'\\#\\#\\#.+\\\'\\)\\);\';\\s*\\$\\w+=str_replace\\(\'\\#\', \'\', \\$\\w+\\);\\$\\w+=create_function\\(\'\',\\$\\w+\\);\\$\\w+\\(\\);\\s*\\?>',
        '<\\?php\\s*(?:/\\*.{0,1000}?\\*/\\s*)?eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9/+=]{5000,}\'\\)\\)\\);\\s*\\?>',
        '<\\?php\\s+//\\w{0,2100}\\s*eval\\(base64_decode\\("[a-zA-Z0-9/\\+=]+"\\)\\);\\s*\\?>',
        '<\\?php\\s+function (\\w+)\\(\\$file_url,.+?file_get_contents\\(\\$file_url\\);\\1\\(\'https://dl\\.dropboxusercontent\\.com.+?unlink\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\]\\);\\?>',
        '<\\?php\\s*@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w{1,5}\'\\]\\);\\s*\\?>',
        '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*preg_replace\\("(\\\\x?[a-f0-9A-F]{2,3})+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\s*,"(\\\\x?[a-fA-F0-9]+)+"\\);',
        '<\\?php\\s*if\\s*\\(!isset\\(\\$_REQUEST\\[\'\\w+\'\\]\\)\\) header\\("HTTP.+?"\\);\\s*@preg_replace\\(\'.\\(\\.\\*\\).e\',\\s*@\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\);\\s*\\?>',
        '<\\?php\\s*@?(eval|assert)\\s*(/\\*[^*]{1,5000}\\*/\\s*)?\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[^]]+\\]\\);\\s*(\\?>)?',
        '<\\?php\\s?if\\s?\\(\\s?md5\\s?\\(\\s?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["password"\\]\\s?\\)\\s?==\\s?"[0-9a-z]{32}"\\s?\\)\\s?\\{\\s?preg_replace\\s?\\(\\s?"\\\\.*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["code"\\].*;\\s?\\}\\s?\\?>',
        'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?extract\\(\\$_REQUEST\\);@?die\\(\\$\\w+\\(\\$\\w+\\)\\);.*?}',
        'if\\s*\\(\\s*isset\\(\\s*\\$_REQUEST\\[\\s*"\\w+"\\s*\\]\\s*\\)\\s*\\)\\s*{.*?@?preg_replace\\(\'/\\(\\.\\*\\)/e\'\\s*,\\s*@?\\$_REQUEST\\[\'\\w+\'\\],\\s*\'\'\\s*\\);.*?}',
        '//istart\\s.+?function\\s+decrypt_url.+?//iend',
        '<\\?php\\s*\\$version\\s*=\\s*"\\d+\\.\\d+";.+?if\\(@file_put_contents\\(\\$.+?@include_once\\(.+?@unlink\\(.+?404 Not Found.+\\?>',
        'eval\\(base64_decode\\(@\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'[a-zA-Z0-9]+\'\\]\\)\\);',
        'if\\(\\(md5\\(@\\$_COOKIE\\[ssid\\]\\)=="\\w{32}"\\)\\)\\{error_reporting\\(0\\);@array_map\\(.*\\);\\}',
        '//\\#\\+=\\+\\#\\+.+?//\\#\\+=\\+\\#\\+',
        '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\);\\s*\\?>',
        '<\\?php\\s*eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\'[a-zA-Z0-9+/\\s]+AQ==\'\\)\\)\\)\\);\\s*\\?>',
        'preg_replace\\("\\\\x2f(\\\\x..)+"\\s*,\\s*"(\\\\x..)+",""\\);',
        '<\\?php\\s*preg_replace\\("/\\w+/e"\\s*,\\s*"e["\'.va]+l\\(\'"\\.\\$_REQUEST\\[\'\\w+\'\\]\\."\'\\)"\\s*,\\s*"[a-zA-Z\\s0-9_]+"\\);\\s*\\?>',
        '\\$.\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST);\\s*@\\(\\$.\\[\\d\\]\\s*!=\\s*\\$.\\[\\d\\]\\)\\s*\\?\\s*@\\$.\\[\\d\\]\\(\\$.\\[\\d\\]\\)\\s*:\\s*\\(int\\)\\$.;',
        '<\\?php\\s*\\(\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\$\\w+\\)\'\\s*,\\s*\'add\'\\);\\s*\\?>\\s*',
        'class\\s*(\\w{1,40})\\s*{\\s*public\\s*function\\s*__construct\\(\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*@?(\\$_COOKIE\\[[\'"])\\w{1,40}[\'"]\\];\\s*if\\s*\\(\\s*\\2\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\2\\s*\\(\\s*@?\\3\\w{1,40}[\'"]\\]\\s*\\);\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*\\1\\s*;',
        '\\A\\s*<\\?php\\s*\\$[a-z]{4,15}\\s*=\\s*[^\\n]{6000,11000}\\s*=\\s*explode\\(chr\\s*\\([^\\?]{1000,3000};\\s*(\\$[a-z]{4,15})=\\(\\d+-\\d+\\);\\s*\\$[a-z]{4,15}\\s*=\\s*\\1\\s*-\\s*1;\\s*\\?>',
        '\\A\\s*<\\?php\\s+/\\*.{99,600}/\\s*\\$\\w{1,40}=[\'"][^;]{40,80}[\'"];/\\*\\w{1,9}\\*/\\$.+\\$\\w{1,40}\\s*=\\s*[\'"](a|c|e|g|l|p|r|_|\\\\160|\\\\162|\\\\137|\\\\145|\\\\154|\\\\141|\\\\143|\\\\147){3,9}[\'"];\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\.\\$\\w{1,40}\\.\\$\\w{1,40};\\$\\w{1,40}\\(\\$\\w{1,40},\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\),[\'"][\'"]\\);\\s*(\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*;\\s*[^`]{1,600}file_get_contents\\s*\\(\\s*\\1(?:\\s*\\)\\s*){1,5};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\(\\s*base64_decode\\([\'"]ZWNobyAnPGNlbnRlcj48YSBocmVmPWh0dHA6Ly93d3cuZmIuY29tL3llYWhhY2tlci[^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\?>',
        '\\A\\s*<\\?(?:php)?\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])[^\\}]{1,400}\\2;\\s*(\\$\\w{1,40})\\s*=(?:\\s*\\.?\\s*\\1\\[\\d+\\]){90,150}\\s*;[^\\?]{420,600}(\\$\\w{1,40})\\s*=\\s*\\3\\s*;[^\\?]{1,200}\\4\\)\\);\\$\\w{1,40}\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\])=Array\\(base64_decode\\([^`]{20000,25000}false;\\}if\\(!empty\\((\\$\\w{1,40})\\)\\)\\{if\\(\\1\\[\\d+\\]\\(\\$\\w{1,40},\\2\\)\\)\\{(\\$\\w{1,40})=false;\\}\\}return\\s+\\3;\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+\\$GLOBALS\\[[^`]{2200,2700}\\}\\}(\\$\\w{1,40})\\s*=\\s*[\'"\\s\\.creat_funio]{21,60}\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\([^;]{40,100};[\'"]\\);\\2\\([\'"][^\\?]{60000,}[\'"]\\);\\?>',
        '\\$\\w+\\s*=\\s*"\\w+"\\s*;\\s*\\$\\w+\\s*=(?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,};\\s*\\$\\w+\\s*=\\s*\\$\\w+\\s*\\((?:\\s*\\$\\w+\\[\\d+\\]\\s*\\.?){3,}\\)\\s*;.+?eval\\s*\\(\\s*\\$\\{\\s*\\$\\w+\\s*\\}\\s*\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s+function\\s*(\\w{1,40})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\([\'"]Ly4vZQ[=]{0,2}[\'"],[^\\}]{80,150}\\}\\s*preg_replace\\(\\1\\(\\d+\\),[^\\?]{5000,}\\1\\(\\d+\\)\\);\\s*\\?>',
        '\\A\\s*<\\?php\\s+@?eval\\(gzuncompress\\(base64_decode\\([\'"]eNqlfGlzE1e37l/puHJPbOKYnjRB[^\'"]{13000,13800}[\'"]\\)\\)\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s)\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*md5\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*[^\\?]{1000,5000};\\s*\\}\\s*function\\s+\\w{1,40}\\s*\\(\\s*\\3\\s*\\)\\s*\\{\\s*[^\\*]{500,1500}(?:\\.(\\$\\w{1,40})\\.base64_decode\\([\'"][^\'"]{1,40}[\'"]\\)){2}\\;\\s*\\}',
        '\\A\\s*<\\?php\\s+@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]aWYoQCRf[^\']{1,600}[\'"]\\s*\\)\\s*\\);\\s*\\?>\\s*(<[^>]{0,40}(?:php|html))',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]?[^\\]]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*else\\s*\\{?\\s*echo\\s*\\(?\\s*[\'"][^\'"]{0,40}[\'"]?<script\\s*src\\s*=\\s*https?://[^>]{3,40}(?:images|css|uploads|includes)/\\w{1,40}\\.php\\s*>[^\\?]{1,100}\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s)\\s*\\$[O0]{4,12}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"].{1,60}[\'"]\\s*\\)\\s*;\\s*(\\$[O0]{4,12})\\s*=.{58,558}\\s*;\\s*@?eval\\s*\\(\\s*\\2\\s*\\(\\s*[\'"][^"\']{1,10000}["\']\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php)?\\s+/\\*\\*',
        'error_reporting\\(0\\);\\s*if\\s*\\(isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\)\\s*&&\\s*md5\\(\\$_REQUEST\\[[\'"]\\1[\'"]\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\s*&&\\s*isset\\s*\\(\\$_REQUEST\\[[\'"](\\w{1,40})[\'"]\\]\\s*\\)\\)\\s*eval\\s*\\( base64_decode\\s*\\(\\$_REQUEST\\[[\'"]\\2[\'"]\\s*\\]\\s*\\)\\s*\\);',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*(?:md5\\()?\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)?\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*stripslashes\\s*\\(\\s*\\1\\s*\\)\\s*\\);\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*\\1\\s*\\);\\s*@?(?:eval|assert|system)\\s*\\(\\s*(?:[\'"]\\s*\\?>)?[^\\?]{1,99}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]IGlmICggaXNzZXQoICRfQ09PS0lFWy[^\'"]{1,500}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>(?:\\s*<!--[a-z,0-9]{1,40}-->)?',
        '\\A\\s*<\\?(?:php)?[ ]{200,}@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,10}[\'"]?\\](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*(<\\?|\\Z)',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]\\s*<\\s*form\\s*action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*method\\s*=\\s*[\'"]post[\'"][^\\}]{1,300}\\s*\\{\\s*echo\\s*[\'"][^\'"]{0,39}up![^\'"]{0,39}[\'"]\\s*;\\s*\\}\\s*\\}\\s*exit\\s*;\\s*\\}',
        '/\\*edition:\\d+\\.\\d+\\*/\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]eNpN[^;]{3000,5000}[\'"]\\s*;\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\}(?:\\s*(passthru|exec|shell_exec|popen|system|eval|assert)\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}(?:\\s*unlink\\s*\\(\\s*[\'"][^\'"]{10,90}[\'"]\\s*\\);){2,5}\\s*\\Z',
        'file_put_contents\\([\'"]\\w{1,12}\\.php[\'"],\\s*[\'"]<\\?php\\s*[^`]{1,200}\\s*\\{?\\s*eval\\(\\$_POST\\[[\'"]\\w{1,12}[\'"]\\]\\);\\}?\\?>[\'"]\\);\\s/\\*[\'"]\\);',
        'file_put_contents\\s*\\(\\s*[\'"]([^\'"]{1,40})[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*include\\s*\\(\\s*[\'"]\\1[\'"]\\s*\\)\\s*;',
        '<\\?(?:php)?\\s+[^\\$]{1,200}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]7T37W\\+O2sr/f77v/g\\+[^\\?]{12000,15000}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\1(?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        'if\\s*\\(\\s*\\$_SERVER\\[[\'"]REQUEST_METHOD[\'"]\\]\\s*===\\s*[\'"](?:GET|POST)[\'"]\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*array_shift\\(\\s*\\$_POST\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\([\'"\\s]{2,5},\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\);\\s*\\2\\(\\);\\s*\\}',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{[^\\{]{1,600}if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,40}[\'"]?\\]\\s*==\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\][^\\?]{100,200}\\s*\\}\\s*\\}\\s*\\}\\s*\\?>\\s*(<\\?php)',
        '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];){2,4}\\s*\\$\\w{1,40}\\s*=\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\);\\s*if\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*else\\s*\\{\\s*[^\\}]{1,80}\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?(?:php)?\\s*include\\(\\$_SERVER[^\\}]{100,600}->Authorize\\([^\\)]{1,40}\\);\\s*header\\([\'"]location:[^\'"]{1,40}[\'"]\\);\\s*die\\(\\);\\s*\\}\\s*else\\s*\\{[^\\}]{1,600}\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\{\\s*\\}\\s*\\?>',
        '(<\\?php\\s*)\\$GLOBALS\\[[^`]{1000,3000}file_put_contents\\([\'"]\\.\\./uploads/index\\.php\',\'index\\.php[\'"]\\);\\s*if\\(0\\^0\\)&&array_sum\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\)\\)dir\\(\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40},\\$\\w{1,40}\\);\\s*echo\\s*[\'"]\\w{1,40}[\'"];',
        '<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*[\'"](PGgyPjxkaXYgc3R5bGU9InBvc2l0aW9uOiBhYnNvbHV0ZT)[^\'"]{100,600}[\'"];\\s*echo\\s+base64_decode\\(\\s*\\$\\1\\s*\\);\\s*\\?>\\s*<\\?php\\s+\\s*echo\\s+base64_decode\\([\'"]\\2[^\'"]{100,600}[\'"]\\);\\s*\\?>',
        '<\\?php\\s*(?:\\s*\\$\\w{1,40}\\[\\d+\\]\\s*=\\s*[\'"][^\'"]{100,200}[\'"];){30,40}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"];)?\\s*for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*count\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*\\.?=\\s*base64_decode\\(\\s*\\2\\[\\1\\]\\s*\\);\\s*\\}\\s*@?eval\\(\\3\\);\\s*\\?>',
        '\\A\\s*<\\?php\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]\\.php_uname\\(\\)\\.[\'"][^\'"]{0,40}[\'"];\\s*[^\\?]+if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{0,40}up[^\'"]{0,40}[\'"]\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\([^\\)]{1,80}\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\}\\s*\\}\\s*\\?>',
        '(//\\#\\#\\#==\\#\\#\\#)[^\\\\#]{1000,6000}\\}\\}\\}\\}if\\(@\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*==\\s*\\w{1,40}\\(\\w{1,40}\\)\\)\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\(\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]]\\[\\w{1,40}\\]\\(\\$_REQUEST\\[[^\'"]{1,40}\\(\\w{1,40}\\)\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*echo\\s*\\$\\w{1,40};\\s*\\}\\s*\\1',
        '(</body>\\s*</html>)\\s*<\\?php\\s*echo\\s*[\'"]<form\\s+action\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{200,400}\\}\\s*\\}\\s*(?:\\?>)?\\s*\\Z',
        '<\\?php(?:\\s*\\$[O0_]{1,40}\\s*=\\s*[\'"]\\w{1,40}[\'"];){1,3}[^`]{36000,37000}@?eval\\(\\s*\\$[O0_]{1,40}\\s*\\);\\s*unset\\(\\s*\\$[O0_]{1,40}\\s*,\\$\\w{1,40},(?:\\s*\\$[O0_]{1,40}\\s*,?){5,10}\\);\\s*exit\\(\\);\\s*\\}\\s*\\}\\s*[\'"]\\s*\\);\\$\\{\\s*[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\);\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*@?isset\\(\\s*(\\$_POST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\?]{1,}\\s*@?touch\\(\\$_SERVER\\[[\'"]?DOCUMENT_ROOT[\'"]?\\]\\s*\\.\\s*base64_decode\\s*\\(\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*,\\s*strtotime\\([\'"]-\\d+\\s*\\w{0,5}[\'"]\\)\\);\\s*die\\([^\\)]{1,40}\\);\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*\\w{0,40}\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$_FILES\\[[\'"]?(\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*basename\\(\\s*\\$_FILES\\[[\'"]\\w{1,40}[\'"]\\]\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\);\\s*if\\s*\\(move_uploaded_file\\(\\$_FILES\\[[\'"]?\\1[\'"]?\\][^\\j]{1,300}</form>[\'"];\\s*\\?>',
        '<\\?php\\s*if\\s*\\(\\s*@?(\\$_SERVER)\\[[\'"](HTTP_X_)\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*if\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\],\\s*@?\\1\\[[\'"]\\2\\w{1,40}[\'"]\\]\\s*\\);\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(\\s*@?md5\\(\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*==\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*\\$\\w{1,40}=\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*@?eval\\(stripslashes\\(\\$\\w{1,40}\\)\\);\\s*die;\\s*\\}\\s*\\?>',
        '\\AOptions\\s+FollowSymLinks\\s+MultiViews\\s+Indexes\\s+ExecCGI.{20,100}AddHandler\\s*cgi-script\\s*.\\w{1,5}\\Z',
        '\\ARewriteEngine\\s+On\\s*RewriteBase\\s+/\\w+\\s*RewriteCond %{REQUEST_FILENAME}\\s+!-..+?\\s*RewriteRule \\^\\(\\.\\*\\)\\s+index\\.php\\?id=\\$1\\s*\\Z',
        '\\A\\s*RewriteEngine\\s*On\\s*RewriteRule\\s*\\^\\.\\*\\$\\s*http://.+?\\.php\\s*\\[R=301\\]\\s*\\Z',
        'RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[a-zA-Z0-9_\\-\\.]+\\.(xyz|info|pw)/\\w+\\s+\\[L\\s*,\\s*R=302\\]',
        'RewriteRule\\s+\\^\\(\\[A-Za-z0-9-\\]\\+\\)\\.html\\$\\s+\\w+\\.php\\?fw=\\$1\\s+\\[L\\]',
        'RewriteEngine\\s+on\\s*RewriteCond\\s+%{HTTP_USER_AGENT}\\s+android\\s+\\[.+?windows-media-player\\)\\s+\\[NC\\]\\s*RewriteRule\\s+\\^\\(\\.\\*\\)\\$\\s+https?://[\\S]+\\s+\\[L,R=302\\]',
        'RewriteEngine On\\s*RewriteRule\\s+\\^\\(\\.\\*\\),\\(\\.\\*\\)\\$ \\$2\\.php\\?rewrite_params=\\$1&page_url=\\$2',
        '<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*Options\\s*\\+FollowSymLinks\\s*RewriteEngine\\s*on\\s*RewriteBase\\s*/\\w+\\s*RewriteRule\\s*\\^c\\s*\\(\\\\d\\+\\)\\[-/\\].+?</IfModule>',
        '\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#<IfModule\\s*mod_rewrite\\s*\\.\\s*c>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#</IfModule>\\s*\\#\\s*END\\s*WordPress',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)[^`]{1,600}/form>[\'"];\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,200}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+/\\*\\*[^`]{1,600}\\*/\\s*function\\s+(\\w{1,40})\\(\\s*(\\$phone)\\s*\\)\\s*\\{\\s*(\\$main)\\s*=\\s*\\2\\s*\\^\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*[^\\}]+\\$\\w{1,40}\\s*\\(\\s*\\3\\s*\\([^;]{1,40}\\s*;\\s*\\}\\s*\\1\\s*\\(\\s*[^\\)]{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\([^\\?]{999,2000}\\s*(\\$\\w{1,40})\\s*=\\s*\\1\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(\\s*\\$\\w{1,40}\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\(\\s*\\3\\s*,\\s*\\2\\s*\\);[^\\?]{1,400}\\s*(?:\\?>|\\Z)',
        '(<\\?php)\\s*@?(?:eval|assert)\\s*\\(\\s*\\$_(?:POST|GET|COOKIE|REQUEST|SERVER)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\);',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*([\'"])\\s*\\1\\s*[^\\?]{1,120}\\s*\\2;(\\s*\\1\\.?=\\s*\\2\\s*[^\\?]{1,120}?\\2;\\s*){1,9}\\s*[^@]{1,99}(\\$\\w{1,40})\\s*=\\s*@?\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\)\\s*;\\s*@?\\s*\\4\\(\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\((?:\\s*(?:gzinflate|base64_decode|strrev|str_rot13)\\(\\s*){1,4}[\'"]=8u///5557/ss//xBzBpXjJ5/nVhIuMLepXM09DIgR[^\'"]{60000,}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '<\\?php\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\\w+\\]\\)\\)\\s*\\{\\s*stripslashes\\(\\$_REQUEST\\[\\w+\\]\\(\\$_REQ.+?\\?>',
        '\\${"\\\\x\\d+\\\\x.+;\\$\\{\\${.+]}\\["\\w"\\]\\);}}',
        '(<\\?php)\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,10000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?(\\s+/\\*\\*\\s+\\*)',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{1,40}[\'"]\\)\\s*\\{\\s*@?(?:eval|assert|system|exec)\\s*\\(\\s*base64_decode\\(\\s*\\$_\\1\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*\\)\\s*\\);\\s*\\}\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s+(?:echo|print)\\s*\\(?\\s*[\'"][\\!\\s\\-\\w\'"\\^]{1,40}[\'"]\\s*\\)?\\s*;\\s*\\?>(?:\\s*<\\?php\\s+(?:system|chmod)\\s*\\(\\s*(?:[\'"]?(?:chmod|\\w{1,40}\\.php|\\d{3,4})\\s*[\'"]?\\s*,?){2,3}\\s*\\)\\s*;\\s*\\?>){2}',
        '\\A\\s*<\\?php\\s*[^\\$]{0,150}\\$\\w{1,9}\\s*=\\s*[\'"][^\'"]*[\'"];\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]HJ3HjuvcckZf5cLwwAYHzAmGAVOMYs5p8oM55yCST2[^\'"]{20000,55000}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php[^\\(]{0,150}eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzsffl3G8eR8M.0e.4fRhOuAJogLt6kQIn3IV4iSOoiH94AGBAQA[^\'"]{9999,38000}[\'"]\\s*\\)\\s*\\)\\s*\\);?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:G|P)[^\\(]{1,15}preg_replace\\s*\\([^\\)]+[\'"](?:\\\\x65|e)(?:\\\\x76|v)(?:\\\\x61|a)(?:\\\\x6c|l)(?:\\(|\\\\x28)(?:g|\\\\x67)(?:z|\\\\x7a)(?:i|\\\\x69)[^\'"]{9,28}(?:\\\\x62|b)(?:a|\\\\x61)(?:s|\\\\x73)(?:e|\\\\x65)(?:\\\\x36|6)(?:\\\\x34|4)[^\'"]{5,35}[\'"][^\\)]{999,25000}\\);\\s*\\}?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"][^;]{1,15}(?:Z290bw|b3Rv|IGdvdG8)[^;]{9999,24000}(?:ZXZhbA|dmFs|IGV2YWw)[^;]{9,99}(?:aHRtbHNwZWNpYWxjaGFyc19kZWNvZGUodXJsZGVjb2RlKGJhc2U2NF9|dG1sc3BlY2lhbGNoYXJzX2RlY29kZSh1cmxkZWNvZGUoYmFzZTY0Xw|bWxzcGVjaWFsY2hhcnNfZGVjb2RlKHVybGRlY29kZShiYXNlNjRf)[^;]{9,600}[\'"]\\)\\s*\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}(\\$\\w{1,9})\\s*=\\s*[\'"]\\w{32}[\'"];[^\\$]{0,20}if\\s*\\(\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*&&\\s*md5\\s*\\(\\s*\\$_GET\\[[^\\]]+\\]\\s*\\)\\s*[^\\w]{2,3}\\s*(?:\\1|\\2)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\$_[^\\)]+\\)\\s*;?\\s*\\}?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]BcFJkqowAADQu.Squ1xAlLG6eiEiCjIaBnHzC0kY[^\'"]{400,999}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*\\?>',
        '\\A\\a*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]DZRFDu2IAQSvMrvMxAszKcrCz8yMm8jMzD59.gVa3VJV.1Ve6fB3[^\'"]{999,3000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\Z|\\?>)',
        '\\A\\s*<\\?php\\s*(?:/\\*[^.]{1,25}\\*/\\s*)?eval\\s*\\(\\s*[\'"]\\?>[\'"]\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]eJzlvX1XGzcTOPo3PaffQWz9dO3GGNskbWowgRBI[^\'"]{999,26000}[\'"]\\s*\\)\\s*\\)\\s*\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\([\'"](?:ZXZhbChnemluZmxhdGUoc3RyX3JvdDEzKGJhc2U2NF9kZWNvZGU|IGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|QGV2YWwoZ3ppbmZsYXRlKHN0cl9yb3QxMyhiYXNlNjRfZGVjb2Rl|ZXZhbCggZ3ppbmZsYXRlKCBzdHJfcm90MTMoIGJhc2U2NF9kZWNvZGU)[^?]{99,2000}[\'"]\\)\\);\\s*\\?>',
        '\\A\\s*<\\?php\\s+(\\$[O_0]{2,12})=[\'"][\'"]*["\'];\\s*(\\$[O_0]{2,12})=\\([\'"][\\w\\-\\*\\^%&]{9,40}[\'"]\\);\\$[O_0]{2,12}=\\2[\\[\\{]\\d+[\\]\\}]\\.[^%]{25000,30000}\\(\\$[O_0]{2,12},\\$[O_0]{2,12}\\);exit\\([^\\w]{1,9}runsuccess[^\\w]{1,9}\\);\\}[\'"]\\);\\$\\{[\'"](?:\\\\x47|G)[^\'"]{1,40}[""]\\}\\[[^\\]]+\\]\\(\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+session_start\\(\\);[^\\$]{0,600}\\$\\w{1,20}\\s*=\\s*(pack\\(\\s*[\'"][nvchslvq]\\*[\'"]\\s*,[^\\)]{1,40}\\))\\s*;\\s*(\\$GLOBALS)\\s*=\\s*array\\(\\s*([\'"]\\w[\'"])\\s*=>\\s*\\1\\s*,[^\\{]{300,600}\\s*(\\$_SESSION)[^%]{60,200}\\%\\w[\'"]\\s*,\\s*\\2\\[\\3\\]\\([\'"]\\w\\*[\'"],\\4\\[[\'"]\\w[\'"]\\](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\#(\\w{4,7}\\#)\\s*if\\s*\\(\\s*empty\\s*\\(\\s*(\\$\\w{1,5})\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*=\\s*[\'"]<(script)\\s+type\\s*=\\s*[\\\\\'"tcpservi/jxa]+[^;]+;\\w{1,5}\\s*=\\s*[\'"\\\\+document]+;\\s*(\\w{1,5})\\s*=\\s*[\'"\\\\+split]+;[^:]{9,200}eval[^/]{9,99}[\'"][\\w]{999,7000}\\\\[\'"]\\[\\4\\][^<]+\\);\\s*\\}\\s*<\\/\\3>[\'"];\\s*echo\\s+\\2;\\s*\\}\\s*\\#/\\1',
        'if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*[\'"](sorry_function)[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s*\\1\\s*\\(\\s*[^=]{40,90}\\s*\\$[^\\(]{400,1400}\\}\\s*\\}\\s*add_filter\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]\\1[\'"]\\s*\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}[^:]{99,999}(?:h|\\\\x68)(?:t|\\\\x74){2}(?:p|\\\\x70)(?:s|\\\\x73)?://[^!]{99,600}if\\s*\\(\\s*strcasecmp\\s*\\(\\s*\\$_SERVER[^?]{99,5000}curl_exec\\s*\\(\\$\\{\\$\\{[\'"](?:G|\\\\x47)[^\'"]{1,40}[\'"]\\}\\[[^\\]]{1,40}\\]\\}\\);[^;]{0,99};?\\}?exit\\(\\d*\\);?\\s*(?:\\Z|\\?>)',
        '\\A\\s*<\\?php\\s*eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]1VVtT9swEP7c.gpTVSSVutFSNAYF1gk6aRL7AIwPCCbjJBfq[^?]{300,999}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;?\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"][\\w\\.\\-]{1,40}\\.(?:jpg|gif|ico)[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_init\\([\'"]https?://[^\'"]{1,99}\\.php[\'"]\\s*\\)\\s*;[^>]{1,600}>[\'"]@?\\1[\'"][^=]{1,99}\\$\\w{1,40}\\s*=\\s*curl_exec\\(\\2\\);[^\\?]{1,99}(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*/\\*\\w{1,40}\\*/\\s*\\?>\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\{]{1,200}\\{\\s*return\\s*\\$\\w{1,40}\\.\\$\\w{1,40}.\\$\\w{1,40};\\s*\\}[^\\{]{15000,30000}[\'"],\\$\\w{1,40}\\)\\.[\'"][^\'"]*[\'"]\\);\\s*(\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*error_reporting\\((?:0|false)\\);\\$\\w{1,40}=[\'"][^\'"]{1,99}[\'"];(\\$\\w{1,40})=array\\([^\\{]{9999,30000}\\{\\s*(\\$\\w{1,40})\\s*=\\1\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*;\\s*(\\$\\w{1,40})\\s*\\.\\s*=\\s*\\$\\w{1,40}\\s*\\[\\s*\\2\\s*\\]\\s*;\\s*\\}\\s*\\3\\s*\\(\\s*[\'"](?:\\\\\\w{1,3})+[\'"]\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+function\\s+(\\w{1,40})\\s*\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*\\)\\s+\\{\\s*\\$\\w{1,40}\\s*=\\s*(?:(?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)\\s*\\(\\s*){2,5}[\'"][^\'"]{40,99}[\'"](?:\\s*\\)\\s*){1,5};\\s*[^\\?]{9999,20000}\\$\\w{1,40}\\s*=\\s*[\'"]\\1[\'"]\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php(?:\\s*\\$\\w{1,40}\\s*=\\s*["\'][^\\^]{1,40}\\^[^\\;]{1,40};\\s*){2,5}(\\$\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[\'"][\'"],(?:\\s*\\$\\w{1,40}\\s*\\(\\s*){1,4}[\'"][^)]+\\)\\)\\);\\1\\(\\);\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+Error_Reporting\\((?:0|false)\\);\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{9999,15000}[\'"];\\s*@?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1(?:e|\\\\x65|\\\\145)\\w?.?[\'"]\\s*,\\s*[\'"][^,]+,[^\\)]+\\);\\s*return[^\\;]*\\;\\s*(?:\\?>|\\Z)',
        '(<\\?php\\s+)(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\^\\s*\\2\\s*;\\s*(\\$\\w{1,40})\\s*=[^\\(]{600,999}(\\$\\w{1,40})\\s*=\\3\\([\'"][\'"],\\s*[\'"][^\'"]{500,999}[\'"]\\s*\\^\\s*\\4\\s*\\)\\s*;\\s*\\5\\s*\\(\\s*\\)\\s*;',
        '\\A\\s*(<\\?php\\s+)function\\s+(\\w{1,20})\\(\\$\\w{1,40}\\)\\{\\$\\w{1,9}\\s*=\\s*array\\([^`]{1,999}\\s*if\\(\\s*@?\\$_POST\\[\\2\\(\\d+\\)\\][^\\w]{1,3}\\2\\(\\d+\\)\\)\\{if\\(@?copy\\((?:\\s*\\$_FILES\\[\\2\\(\\d+\\)\\]\\[\\2\\(\\d+\\)\\],?\\s*){1,2}\\)\\)(\\{echo)\\s*\\(?\\2\\(\\d+(\\);\\})else\\3\\s*\\(?\\2\\(\\d+\\4\\};\\};',
        '\\A\\s*(<\\?php\\s+)[^\\$]{1,600}(\\$\\w{1,40})\\s*=\\s*(?:false|0)\\s*;\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*(\\$\\w{1,40})\\)\\s*\\{\\s*\\2\\s*=\\s*\\3\\s*;\\s*[^\\?]{999,5000}\\s*\\;\\s*\\}\\s*return\\s+\\$buffer;\\s*\\}',
        'if\\s*\\(\\s*(isset)\\s*\\(\\s*\\$_(COOKIE|REQUEST)\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*(\\$\\w{1,40})\\s*=\\s*\\$_\\2\\[[^\\]]{1,40}\\];\\s*elseif\\s*\\(\\s*\\1\\(\\s*\\$_(COOKIE|REQUEST)\\[[^;]{9,49};\\s*if\\s*\\(\\s*\\1\\s*\\(\\s*\\3\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\((?:\\s*(?:str_rot13|base64_decode)\\s*\\(\\s*){1,2}\\3(?:\\s*\\)\\s*){1,3};\\s*die\\(\\)\\s*;\\s*\\}',
        '\\A\\s*<\\?php[^\\$]{1,600}\\s*\\$\\w{0,9}pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,99};\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[^\\]]{1,40}\\][^\\?]{500,999}\\}\\s*@?(?:eval|assert)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}[\'"][^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:eNp9Wf.TE1W2.1cu|eNqNWflTE9n2.1d|ZXJyb3JfcmVwb3J0aW5nKDApOyAkeyJH)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"](?:.Mw.ff..fnv..nq|UkFKPqkH3JF|rWjHzfqdkptPE|eF7svWl34kjSKPy|eNqde.uPJFl15)[^\\)]+[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{1,40}[\'"]\\s*;\\s*(?:\\?>\\s*<\\?php\\s*)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13|strrev)\\s*\\(){0,5}\\s*[\'"][^\'"]{999,25000}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(?:error_reporting\\(0\\);)?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[\'"](?:eNpTiT83sfPs1pOH|eNpdkcFrE0EYxf|eNplUkFrE0EY|jVRtb9s4DP4eIP)[^\'"]*[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*@?eval\\([\'"]\\?>[\'"]\\s*\\.\\s*base64_decode\\s*\\(\\s*[\'"]PD9waHAgDQoNCg0KDQp[^\'"]+[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '(?<!@)preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,[\'"]\\\\[^,]{999,60000}\\s*,\\s*[^\\)]{1,40}\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{0,20};\\s*\\$\\w{1,40}\\s*=\\s*[^;]{20,80};\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\)\\s*;\\s*[^\\?]{60000,}function\\s*\\w{1,40}\\s*\\(\\s*\\)\\s*\\{(?:\\s*\\$\\w{1,40}\\s*=[\'"][^\'"]{20,80}[\'"]\\s*;\\s*){2}return\\s*[\'"](?:\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\s*){2}[\'"]\\s*;\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\A\\s*(<\\?php\\s+)[^\\$]{1,99}\\s*\\$wp_auth(?:\\w{1,9})?\\s*=\\s*[\'"]\\w{20,40}[\'"];\\s*if\\s*\\(\\s*!\\s*function_exists\\s*\\(\\s*["\']slide[^<]+(?:<script[^\\.]+(?:\\.onclasrv|\\.mobisla)[^>]+>\\s*</script>\\s*){1,3}[^`]{999,3000},[\'"]slider_option_footer[\'"]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}',
        '\\A\\s*<\\?php\\s*[^\\{]{1,600}try\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1,5000}[\'"]\\s*\\)\\s*;\\s*function\\s+scan\\s*\\([^\\?]{999,3000}=\\s*explode\\s*\\([\'"]<\\?php[\'"],[^\\?]+\\?\\s*[\'"]https?[\'"][^\\?]+unlink[^;]{1,40};\\s*\\}\\s*catch\\s*\\(\\s*Exception\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\?>',
        '\\A\\s*<\\?php\\s*[^$]{0,600}(?:\\s*\\$\\w{1,40}\\s*=\\s*[^\\;]{1,40};\\s*){1,3}@?\\$\\w{1,40}\\s*\\(\\s*.?[\'"](.).{0,40}\\1e\\w?.?[\'"]\\s*,\\s*[\'"][^\\^]+\\^[^,]+,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*\\$_SERVER\\s*\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"][^\'"]{1,40}\\.php[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\s*\\(\\s*[\'"]?\\1[\'"]?\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\2\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{200,999}[\'"]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\$(?:auth)?_?pass\\s*=\\s*[\'"][^\'"]{20,40}[\'"];\\s*if\\s*\\(\\s*[^;]{1,200};\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\\\[^;]{1,200}[\'"];\\s*if\\s*\\(\\s*(?:!|@)?preg_replace\\s*\\(\\s*.?[\'"](.).{0,40}\\2(?:e|\\\\x65)\\w?.?[\'"]\\s*,\\s*\\1\\s*,\\s*[\'"][\'"]*[\'"]\\s*\\)\\s*\\);(?:\\s*die\\s*\\(\\s*[^\\)]*\\s*\\)\\s*;)?',
        '(\\$\\w{1,40})\\s*=\\s*get_option\\s*\\(\\s*[\'"]_site_transie\\w{30,50}[\'"]\\s*\\);\\s*\\1\\s*=\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*\\1(?:\\[[^\\]]{1,40}\\])?\\s*\\)\\s*\\);\\s*if\\s*\\(\\s*[^\\{]{29,99}\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*create_function\\(\\s*[\'"][\'"]\\s*,\\s*\\1\\s*\\);\\s*@?\\2\\(\\);\\s*\\}',
        '\\A\\s*<\\?php\\s+[^\\$]{9,49}\\s*\\?>\\s*<form\\s+method\\s*=\\s*[\'"]POST[\'"][^\\?]{69,99}?</form>\\s*<\\?php\\s*(?:echo)?\\s*\\(?\\s*@?copy\\(\\s*\\$_FILES\\[[\'"][^\'"]{1,40}[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\],[^;]{9,60};\\s*(?:\\?>|\\Z)',
        '\\A\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]\\s*<title>[^\\$]{199,600}\\s*if\\s*\\(\\s*@?\\$_POST\\[[^\\]]{1,40}\\]\\s*[^\\w]{1,3}\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\$_FILE[^\\?]{1,400}\\s*\\}\\s*\\}\\s*(?:\\?>|\\Z)',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$data)\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"](Email|Password|IP(?:Address)?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){2,3}\\s*\\1\\s*\\.?=\\s*[\'"][-\\s\\w]{10,90}\\\\n[\'"]\\s*;',
        'error_reporting\\((?:0|Null|False)\\);\\s*preg_replace\\s*\\(\\s*[\'"](.).{0,40}\\1e\\w?[\'"]\\s*,"eval\\([\'"]//',
        '<html>\\s*<head>\\s*<title>\\s*Webmail\\s+\\|?\\s*Update\\s*<',
        '\\A\\s*<\\?(?:php)?[ ]{200,}if\\s*\\(\\s*!\\s*isset\\s*\\(\\s*\\$_[^\\?]{40,150}\\s*\\?>\\s*<\\?(?:php)\\s*\\$\\{[^\\?]{60000,64000}[\'"],[\'"](?:\\\\x2e|\\.)[\'"]\\s*\\);\\s*\\?>\\s*\\Z',
        'if\\s*\\(\\s*function_exists\\s*\\(\\s*[\'"]shell_exec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*shell_exec\\s*\\(\\s*\\$\\w{1,40}\\s*\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*return\\s*[^;]{1,40};\\s*\\}\\s*function\\s*command\\(\\)\\s*\\{',
        '<title>\\s*[\\|]{0,2}\\s*InboX\\s+Mass\\s+Mailer',
        '\\A\\s*<\\?(?:php)?\\s*\\$[O0]{6,12}\\s*=\\s*urldecode\\([\'"]%[^\'"]{1,200}[\'"]\\);(?:\\s*\\$[O0]{6,12}\\.?=(?:\\$[O0]{6,12}\\{\\d+\\}\\s*\\.?\\s*){2,10};){2,9}\\s*@?eval\\(\\$[O0]{6,12}\\([\'"](JE8w|JE9P|JDAw|JDBP)[^\'"]{1000,25000}[\'"]\\)\\s*\\);\\s*(?:/\\*[^\\?]{1,40}\\*/)?\\s*\\?>\\s*\\Z',
        '<title>\\s*Cmd\\s+by\\s+ghz',
        '\\A\\s*(<\\?php)\\s*error_reporting\\([^\\)]{1,9}\\);\\s*\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*php_uname\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*phpversion\\(\\);\\s*(\\$\\w{1,40})\\s*=\\s*ini_get\\([\'"][^\'"]{1,40}[\'"]\\);\\s*if\\s*\\(\\s*\\2\\s*[^\\w]{1,2}=\\s*[\'"][\'"]\\s*\\)\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*(?:print|echo)\\s*[^;]{1,600};',
        '\\A\\s*<\\?php\\s+call_user_func\\s*\\(\\s*create_function\\s*\\(\\s*[\'"][\'"],\\s*[\'"][^\'"]{30000,40000}["\'](?:\\s*\\)\\s*){1,3};\\s*[\'"](?:\\s*\\)\\s*){1,3};\\s*(\\?>|\\Z)',
        '\\}\\s*elseif\\s*\\(\\s*function_exists\\([\'"]shell_exec[\'"]\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*@?shell_exec\\(\\$cmd\\);\\s*return\\s*\\$\\w{1,40};\\s*\\}\\s*\\}\\s*function\\s+perms\\(\\$\\w{1,40}\\)\\s*\\{',
        '(\\$\\w\\d)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fputs|fwrite)\\(\\1,(\\$\\w\\d)\\);\\s*mail\\(\\$\\w\\d,\\$\\w\\d,\\2,\\$\\w\\d\\);\\s*header\\([\'"]Location:',
        'visitor_country\\(\\);\\s*(\\$(?:msg|message))\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]?(\\\\n[\'"]);\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]email[\'"]\\]\\s*\\.\\s*[\'"]?\\2;\\s*\\1\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_POST\\[[\'"]password[\'"]\\]\\.[\'"]?\\2;',
        '\\A\\s*GIF8\\d[^`]{2000,6000}?<\\?php',
        '<title>\\s*Sign\\s*in\\s*to\\s*your\\s*Microsoft\\s*account\\s*</title>',
        '\\$subject\\s*=\\s*[\'"]\\s*\\w{1,40}\\s*\\[\\s*[\'"]\\s*\\.\\s*getRealIpAddr\\s*\\(\\s*\\)\\s*\\.\\s*[\'"]\\s*\\]\\s*[\'"]\\s*;\\s*\\$headers\\s*=\\s*[\'"]\\s*From:\\s*New\\s+ID\\s+Scan',
        '\\$\\w{1,40}\\s*=\\s*[\'"]a:1:{s:13:"administrator";b:1;}[\'"];\\s*if\\s*\\(\\s*isset\\(\\s*\\$_GET\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*[\'"]<!--\\s*Silence\\s*is\\s*golden\\.?\\s*-->[\'"];\\s*\\}',
        'function\\s+\\w{1,40}\\s*\\([^\\)]{0,40}\\)\\s*\\{\\s*if\\s*\\(\\s*!\\s*defined\\s*\\(\\s*[\'"]WP_OPTION_KEY[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,200}\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*class_exists\\s*\\(\\s*[\'"]JFactory[\'"]\\s*\\)',
        'gcc\\s+-o\\s+(exploits)\\s+\\w{1,40}\\.c;\\s*chmod\\s+\\+x\\s+\\1;\\s*\\./\\1;',
        'mysql_error\\(\\);\\s*\\}\\s*\\}\\s*(?:else)?if\\s*\\(\\s*isset\\s*\\(\\s*\\$_REQUEST\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\s*\\.?=\\s*\\$\\w{1,40}\\s*\\.\\s*\\$_REQUEST\\[[\'"]?[^\'"]{1,40}[\'"]?\\];\\s*if\\s*\\(\\s*@?unlink\\(\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\](?:\\s*\\)\\s*){1,5}\\{',
        '\\$filter\\s*=\\s*[\'"][^\'"]{0,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*From\\s*:\\s*kay\\s*<\\s*mailist@mailist\\.com\\s*>\\s*[\'"];',
        '\\$message;\\s*\\}\\s*\\?>\\s*<\\?php\\s+system\\(\\s*[\'"]chmod\\s+\\d+\\s+(\\w{1,40})\\.php[\'"]\\s*\\);\\s*\\?>\\s*<\\?php\\s+chmod\\(\\s*[\'"]\\1\\.php[\'"]\\s*,\\s*\\d+\\s*\\);\\s*\\?>',
        '<title>\\s*(?:Priv8|Private)?\\s*(?:Mister|Mr)\\s+Spy\\s*</',
        '(\\$message)\\s*\\.?=\\s*[\'"](?:CC|Card)\\s+number\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](?:Exp|expiration)\\s*month/year/cvv\\s*code\\s*:\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]',
        '(\\$urlz)\\s*=\\s*lrtrim\\(\\s*\\1\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*lrtrim\\(\\s*\\2\\s*\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];)?\\s*(\\$message)\\s*=\\s*urlencode\\(\\s*\\3\\s*\\);\\s*\\3\\s*=\\s*ereg_replace\\([\'"]%',
        'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*[^\\w]{1,2}=\\s*[\'"]?[^\'"]{0,40}[\'"]?\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);',
        '(\\$\\w{1,40})\\s*=\\s*EMAIL;\\s*(?:\\$\\w{1,40}\\s*=\\s*)?@?mail\\s*\\(\\s*\\1\\s*,\\s*[^\\)]{1,120}\\s*\\)\\s*;\\s*(?:\\?>)?\\s*<script\\s*type\\s*=\\s*[\'"]text/javascript[\'"]>\\s*[^\\&]{1,200}&rand\\s*=\\s*\\d+InboxLightaspxn',
        '(\\$message)\\s*\\.?=\\s*[^;]{0,80}[\'"]\\s*CPassword:\\s*[\'"]\\s*\\.\\s*\\$_POST\\[[\'"](?:password|pass|passwd)[\'"]\\][^;]{1,40};\\s*\\1\\s*\\.?=\\s*[^\\{]{1,40}\\{\\$geoplugin->',
        'if\\s*\\(\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*==\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"]wget\\s*https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}',
        '\\A\\s*GIF8(?:9|7)\\w?[^\\s]{0,2}\\s*[^`]{0,99}\\s*<\\?php',
        '<title>\\s*.{0,5}\\s*Rebels\\s+Mailer',
        'apple\\/cssisma\\/Anonisma\\.css',
        '\\$opt\\("/\\d+/e',
        'stylesheet[^/]{1,40}href[^/]{1,40}\\.?/cssisma[^\\?]{1,200}Anonisma',
        '<TITLE>\\s*dis\\s+Shell\\s+Commander',
        'mail\\(\\$emailusr,\\s*(\\$subj),\\s*(\\$data)\\);\\s*mail\\(\\$cc,\\s*\\1,\\s*\\2\\s*\\);\\s*header\\([\'"]Location:[^\'"]{1,40}\\.scotiabank\\.com/[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>',
        '\\$ip\\w{0,20}\\s*=\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\];\\s*\\$(?:from_)?shellcode\\s*\\.?=\\s*[\'"]?[^\\(]{0,20}gethostbyname\\s*\\(',
        'for\\s*\\(\\s*(\\$\\w{1,40})\\s*=\\s*\\d+;\\s*\\1\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\1\\+\\+\\s*\\)\\s*\\{\\s*[^\\}]{1,400}flush\\s*\\(\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*new\\s+PHPMailer\\s*\\(\\s*\\);',
        'base64_decode\\s*\\(\\s*[\'"]Y1BhbmVsIENyYWNrZXIg',
        '<title>\\s*ZETHA\\s+WEB\\s*SHELL',
        '\\$(fone)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(emailaddr)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*\\$(emailpass)\\s*=\\s*\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$(token)\\s*=\\s*\\$_POST\\[[\'"]\\4[\'"]\\];',
        '\\$ip\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$email\\s*=\\s*\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];\\s*\\1\\w\\s*=\\s*\\$_POST\\[["\']?\\w{1,40}[\'"]?\\];[^\\?]{100,600}fwrite\\(\\$\\w{1,40},\\s*\\$data\\s*\\);',
        '"[\\\\#-=\\[]{10,12}Priv(8|ate)\\s*PayPal\\s*Scam',
        '<title>\\s*[:]{0,2}\\s*Mailer\\s+Inbox\\s+-?\\s*Dejector',
        '\\$subj(?:ect)?\\s*=\\s*[\'"]Kumasiivertigo\\s*ALiBaBa',
        '\\$headers\\s*=\\s*[\'"]From:\\s*Office[\'"];\\s*\\$str=array\\((\\$send)\\);\\s*foreach',
        '<title>\\s*PHP\\s*Jackal',
        '(\\$bilsmg) \\.?=\\s*[\'"]card\\s*num(?:ber)?\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]\\w{1,40}[\'"]\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]\\w{1,40}\\s*:?\\s*[\'"]\\.\\$_POST\\[[\'"]ccv2?(?:\\-code)?\'\\]\\s*\\.?\\s*[\'"]?\\\\n[\'"];',
        'Kakak\\s+._.\\s*\\.?</font><br\\s*/>[\'"];\\s*\\}\\s*else(?:if)?\\s*\\{',
        '<title>\\s*w4l3XzY3\\s+Mailer',
        'fwrite\\(\\s*(\\$\\w{1,4}),\\s*[\'"]\\s*(login|userid|username|email)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);\\s*fwrite\\s*\\(\\s*\\1[^\\$]{1,40}fwrite\\(\\s*\\1,\\s*[\'"]\\s*(pass|passwd|password)\\s*:?[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\);',
        '\\$headers\\s*\\.?=\\s*[\'"]From:\\s*[^\'"]{0,40}Spam[^\'"]{0,40}[\'"];',
        'Password\\s*:\\s*[\'"]\\.\\$\\w{1,40}\\.[\'"]\\s*[=]{1,40}\\s*\\w{0,20}\\s*FACEBOOK\\s*\\w{0,20}\\s*[=]{1,40}\\s*Email\\s*:\\s*[\'"][^\'"]{1,40}[\'"]\\s*Password\\s*:\\s*[\'"][^\'"]{1,40}[\'"]',
        '<title>\\s*Safe\\s+Mode\\s+Shell',
        '\\)\\)\\s*{\\s*echo\\s*PHP_OS\\.\\$',
        'if\\s*\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"]CheckCrd[\'"]\\)\\s*\\{\\s*(?:\\?>\\s*<\\?php)?\\s*function\\s+work.hard\\(\\$\\w{1,40}\\)\\s*\\{',
        'ZGVmYXVsdF91c2VfYWpheCA9IHRydWU',
        '<title>\\s*Sign\\s+In\\s*</title>\\s*[^>]{1,40}(?:signin_?files|images)/\\w{1,40}\\.ico[\'"]',
        '\\A\\s*<\\?php\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*[\'"][^\'"]{1,144}[\'"]\\s*\\);\\s*(?:\\?>\\s*<\\?php)?\\s*phpinfo\\(\\);\\s*\\?>\\s*\\Z',
        'PD9waHAgaWYoIWlzc2V0KCRfQ09PS0lFWyJtb2R4',
        'JE8wTzAwMD0ibkZ1Zmt',
        'Ly9OTHRScS9mcjJYRzZhM3FPd3l',
        'VnXO8\\$1_HU8nnjePnU8P8\\$e_njsP8\\$V',
        'Ly9OTmhOOVUrMkRuVUkrTm9mdnhWV2RRV',
        'ZXJyb3JfcmVwb3J0aW5nKDApO2lmKGlzc2V0KCRfUkVR',
        'eNq1fflvU2f677/iieaqQDPhb',
        'DRmNurHxXATBjbLkSGpOQnIzco',
        'ZXJyb3JfcmVwb3J0aW5nKDcpOw0KQ',
        'eNp9Vm1rG1cW/iu3orRSIpx508iy',
        'eNqVWvtTFFfa/lc6VGoDSrC7p',
        'eNq9fflzI9XV9r/S05CRBLas',
        'Z2xvYmFsICRVU0VSOwokVVNFUi0',
        '6SgzwTnp6V5jAu8DDpIWHwHvz',
        'Pz48P3BocCAkX0Y9X19GSUxFX18',
        'aWYoITApJE8wMDBPME8wMD0kT09',
        'aWYoaXNzZXQoJF9HRVRbIjB4Il0',
        'aWYoITApJE8wMDBPME8wMD0kT09',
        'JElJSUlJSUkxMTFsST0nb2JfZW5',
        'eval\\(gzuncompress\\(base64_decode\\(\'eNqtWVlv21YWfm6B\\+Q9MYIR',
        '\\$\\w{1,12}\\s*\\.\\s*=\\s*[\'"][^\'"]{0,20}Social\\s+Security[^\'"]{0,20}\\s*[\'"]\\s*\\.?\\s*\\$_POST\\s*\\[\\s*[\'"]ssn[\'"]\\s*\\]\\s*\\.\\s*[^;]{1,40}\\s*;',
        '\\);eval\\(base64_decode\\("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJod',
        '\\$O00OO0\\{30\\};eval\\(\\$O00O0O\\("JE8wTzAwMD0iVFF3cVJQTGR0ZkZEeHVZeUVJVktXQ2tyY0poTlNaSGlib3Z',
        '<title>\\s*(?:Priv8|Private)\\s+Mailer',
        'system\\([\'"]unset\\s+HISTFILE;\\s*unset\\s+SAVEHIST;\\s*[^\\$]{1,200}\\s*system\\(\\s*\\$\\w{1,40}\\s*\\);\\s*[^\\?]{0,100}\\s*\\?>\\s*\\Z',
        '<\\?php\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'P2lCP1ouWg1WDVYkcnNXTUVlWU0\\+Uz4iMi5NMnluUVluWFk5TCI7DVYkLy5NMnluUVlucnNXTXRlbi4\\+Uz4iMTE8QVBrUExVQTFBMFt',
        '\\$d?doss(?:tr)?;\\s*\\}\\s*while\\s*\\(\\s*\\w{1,40}\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\s*=\\s*@?include(?:_once)?\\s*\\(?\\$[o0]{5,60}\\)?;\\s*if\\s*\\(\\s*\\$[o0]{5,60}\\s*==\\s*[\'"][^\'"]{0,60}[\'"]\\s*\\)\\s*\\{\\s*\\$[o0]{5,60}\\+\\+;',
        'curl_getinfo\\(\\s*\\$\\w{1,40},\\s*CURLINFO_CONTENT_TYPE\\s*\\)\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*preg_replace\\([\'"]\\#\\^\\.\\*\\?\\\\<html\\#si[\'"],\\s*[\'"]<html[\'"],\\s*\\1\\s*\\);\\s*\\$\\w{1,40}\\s*=\\s*\\1;\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]?SCRIPT_NAME[\'"]?\\];',
        '<title>\\s*[\\s:]{0,4}g(?:0|o)nz\\s*[\\s:]{0,4}\\s*PHP\\s+MAILER',
        '(\\$\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]\\w{1,40}\\.txt[\'"];\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*[\'"]?\\w{0,40}[\'"]?\\s*\\)\\s*\\{\\s*die;\\s*\\}\\s*else\\s*\\{\\s*@?unlink\\s*\\(\\s*\\2\\s*\\);\\s*\\$sym(?:link)?\\s*=\\s*\\1;',
        'EOF\\s*<html>\\s*<head>[ ]{200,}<script>\\s*window\\.location\\s*=\\s*[\'"][^\'"]{1,100}[\'"]\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<[^>]{1,40}>\\$\\w{1,40}</[^>]{1,40}>\\s*</body>\\s*</html>\\s*EOF;?\\s*\\}\\s*else\\s*\\{\\s*\\$GLOBALS[^\\w][^\\}]{1000,2000}\\}\\s*(?:\\?>)?\\s*\\Z',
        '\\A\\s*<\\?php\\s*(?:/\\*\\s*\\*/)?\\s*\\$ip\\w{0,10}\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];\\s*\\$ip\\w{0,10}\\s*=\\s*array\\(\\s*[\'"]\\s*\\^?\\d+\\.\\d+\\.(?:\\*|\\d+)\\.(?:\\*|\\d+)\\s*[\'"]\\s*,[^\\)]{800,1800}\\s*\\);\\s*[^\\?]{300,350}\\$blocked_words\\s*=\\s*array\\(',
        '\\A\\s*\\(new\\s*Function\\(\\(function\\(s\\)\\{var\\s*d=\\{\\},a=\\(s\\+""\\)\\.split\\(""\\),cc=a\\[0\\],o=cc,r=\\[cc\\],c=256,p;for\\(var\\s+i=1;i<a\\.length;i\\+\\+\\)\\{var\\s+cd=a\\[i\\]\\.charCodeAt[^%]{200,300}%r\\.length\\)\\)\\}\\)\\.join\\([\'"]{2}\\)\\}\\)\\(atob\\("[^"]{20000,}"\\),.+"\\)\\)\\)\\)\\)\\)\\(\\);',
        'window\\.miner\\.stop\\s*==\\s*[\'"]function[\'"]\\)\\s*window\\.miner\\.stop\\(\\);',
        ',\\s*basename\\(\\$_FILES[^\\$]{1,40}\\$_POST\\[[\'"]?(\\w{1,40})[\'"]?];[^`]{1,400}<input\\s+name\\s*=\\s*[\'"]\\1[\'"][^>]{1,40}value\\s*=\\s*[\'"]\\.php[\'"]\\s*/>',
        '<pre>[\'"];\\s*system\\([\'"][^\'"]{1,40}[\'"]\\s*\\.\\s*\\$_FILES\\[[\'"]([^\'"]{0,40}up[^\'"]{0,40})[\'"]\\]\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\.\\s*[\'"]\\s*[\'"]\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\$_FILES\\[[\'"]\\1[\'"]\\]',
        '<title>\\s*(?:Sign\\s+In\\s*-)?\\s*DocuSign\\s*</title>',
        'if\\s*\\(crawlerDetect\\(\\$_SERVER\\[[\'"]?HTTP_USER_AGENT[\'"]?\\]\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.\\d\\s+404\\s+Not\\s+Found[\'"]\\);\\s*die\\([\'"][^\'"]{1,100}[\'"]\\);\\s*\\}\\s*\\$IP_Connected\\s*=\\s*\\$_SERVER\\[[\'"]?REMOTE_ADDR[\'"]?\\];',
        'exit\\s*\\(\\);\\s*\\}?\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\)\\s*@?eval\\(\\$_POST\\[[\'"]?[^\\?]{1,40}[\'"]?\\]\\);\\s*if\\s*\\(\\s*\\$_POST\\[[\'"]?[^\'"]{0,20}up[^\'"]{0,20}[\'"]?\\]\\s*[^\\w]=\\s*[\'"][^\'"]{0,40}[\'"]',
        '<br/>Mr Secretz</center>',
        '<title>\\s*Mr\\s*Secretz\\s+Shell',
        '<title>\\s*View\\s*Document\\s*-\\s*Sign\\s+In</title>\\s*</head>\\s*<script\\s*type="text/javascript">\\s*(?:<!--)?\\s*function popupwnd\\(',
        '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*[^;]{1,40}\\s*;\\s*if\\s*\\(isset\\(\\s*\\$_REQUEST\\[\\1\\]\\)\\)\\s*\\{\\s*@?(?:system|exec|passthru|shell_exec|popen)\\(\\$_REQUEST\\[\\1\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z',
        '(\\$\\w{1,40})\\s*=\\s*(?:@?implode\\(\\s*)?@?file\\([\'"]/etc/named\\.conf[\'"]\\)?\\s*\\)\\s*;\\s*if\\(!\\1\\)\\{\\s*die',
        'phpddos\\.com[^\'"]{0,40}[\'"];\\s*echo\\s*[\'"]\\s*SYN\\s*Flood',
        'echo\\s+serialize\\(\\$\\w{1,40}\\);\\s*\\}\\s*elseif\\s*\\(\\s*!empty\\(\\$_POST\\[["\']?(\\w{1,40})["\']?\\]\\s*\\)\\s*AND\\s*\\$_POST\\[["\']?\\w{1,40}["\']?\\]\\s*==\\s*["\']?\\w{1,60}["\']?\\)\\s*\\{\\s*eval\\(\\$_POST\\[["\']?\\1["\']?\\]\\);\\s*\\}\\s*else\\s*\\{\\s*header\\(["\']?Location:\\s*[^\\]]{1,40}\\]\\);\\s*\\}\\s*(?:\\?>)?\\s*\\Z',
        '<title>\\s*DropBox\\s+Buisness\\s*</title>',
        '\\$\\w{1,40}\\s*=\\s*posix_getpwuid\\(@?fileowner\\([\'"]/etc/valiases/[\'"]\\.\\$domains?\\[\\d\\]\\[\\d\\]\\)\\);\\s*echo',
        '\\*/\\s*preg_replace\\([\'"]/\\[[a-z]{1,40}\\]\\*\\.\\+\\[[a-z]{1,40}\\]\\*/ei?[\'"],str_replace\\([\'"]\\s*[\'"],[\'"]\\s*[\'"],[\'"].{100,2100}"\\),\'\\w+\'\\);\\s*\\?>\\s*\\Z',
        '<title>\\s*[\\.]{1,5}\\s*[:]{1,5}\\s*Snff\\s+P90\\s*[:]{1,5}\\s*[\\.]{1,5}',
        'pre>\';\\s*if\\s*\\(\\$_POST\\[[\'"](cmd)[\'"]\\]\\)\\{\\s*\\$\\1\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*passthru\\(\\$\\1\\);',
        '/\\*\\s*Created\\s+by\\s+l33bo_phishers',
        '(\\$\\w{1,40})\\s*=\\s*[\'"](?:\\\\x\\w{2}){40,78}[\'"];\\s*\\$payload\\s*=\\s*\\$\\w{1,12}\\.\\$\\w{1,12}\\.\\$\\w{1,12}.\\$\\w{1,12};\\s*preg_replace\\(\'/\\.\\*/e\',\\1,\'\\.\'\\);\\s*\\?>',
        '\\}\\s*\\}\\s*\\}\\s*if\\(\\$_POST\\[[\'"](\\w)[\'"]\\]\\)\\{\\s*\\$\\w\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$\\w{1,4}\\s*=\\s*md5\\(sha1\\(\\$\\1\\)\\);\\s*if\\s*\\(\\$\\w{1,4}\\s*==\\s*[\'"]\\w{30,34}[\'"]\\s*\\)\\{ \\$_SESSION\\[[\'"]\\w{1,4}[\'"]\\]\\s*=\\s*1;\\s*\\}\\}\\s*\\?>\\s*<form',
        'exec\\(\\\\?[\'"]unzip\\s+\\w{1,40}\\.zip\\\\?["\']\\);\\s*\\?>[\'"];\\s*\\$\\w{1,4}\\s*=\\s*fopen\\([\'"][^\'"]{0,40}wp-login\\.php[\'"],\\s*[\'"]\\w[\'"]\\);',
        'gagal[\'"]\\;\\}\\}\\}\\?>\\s*<title>\\s*Hacked\\s+by',
        '\\A\\s*<\\?(?:php)?\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\w{1,40}[\'"]?\\]\\s*==\\s*[\'"](clear|remove|delete)[\'"]\\s*\\)\\s*\\{?\\s*(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(\\s*[\'"][^\']{0,40}[^\\w]b(?:o|0)t[^\\w][^\']{0,40}[\'"]\\s*\\);\\s*echo',
        '>Upload\\s+Form\\s+Yunkers\\s+Crew<',
        '(\\$\\w{1,40})\\s*=\\s*Mage::getModel\\([\'"]sales/quote_payment[\'"]\\)->getCollection\\(\\);\\s*\\1->addFieldToFilter\\([\'"]cc_number_enc[\'"],[^;]{1,200};\\s*var_dump\\(\\1->getSize\\(\\)\\);',
        'addFromString\\(\\s*[\'"](?:\\.\\.\\\\){7,10}[^`]{1,40}\\.php[\'"],\\s*[\'"]<\\?php exec\\(\\[[\'"]?cmd[\'"]?\\]\\);\\s*\\?>[\'"]\\s*\\);',
        '<title>\\s*Ghost\\s*by\\s*dandan',
        ';\\s*\\}\\s*\\}\\s*\\}\\s*echo\\s*[\'"][^\'"]{0,40}[\'"]?\\s*\\.?\\s*php_uname\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*echo\\s*getcwd\\(\\)\\s*\\.?\\s*[\'"]?\\\\?r?\\\\?n?[\'"];\\s*\\?>\\s*\\Z',
        'function\\s*\\w{1,40}\\(\\$hax\\)\\s*\\{return\\s+pack\\(',
        '\\$\\{\\$\\{[\'"][^\'"]{1,60}[\'"]\\}\\[[\'"][^\'"]{1,60}[\'"]\\]\\}=[\'"]/[\'"]\\.uniqid\\(\\)\\.uniqid\\(\\);',
        '\\A\\s*<\\?php\\s*\\$\\{[\'"][^`]{1000,6000}\\?>[\'"];file_put_contents\\([\'"][^\\.]{1,40}(?:\\.|\\\\x2e)(?:p|\\\\x70|\\\\x50)(?:h|\\\\x68|\\\\x48)(?:p|\\\\x70|\\\\x50)[\'"],\\$\\{\\$\\{[\'"][^\'"]{1,40}[\'"]\\}\\[[\'"][^\'"]{1,40}[\'"]\\]\\}\\);\\}\\}\\s*\\?>',
        '<title>\\s*[\'"]?\\.?getcwd\\(\\s*\\)\\.[\'"]<',
        '\\]\\},ob_get_contents\\(\\s*\\)\\);\\s*fclose\\(\\s*\\$\\s*\\{\\s*\\$\\w{1,40}\\s*\\}\\);\\s*ob_end_flush\\(\\s*\\);\\s*\\}\\s*cache_start\\(\\$\\s*\\{\\s*\\$',
        '\\}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+visitor_country\\(\\)\\{\\$\\{[\'"](G|L|O|\\\\x47|\\\\x4c|\\\\x4f){3}',
        '<\\?php\\s*/\\*\\s*AthenaHTTP\\s*\\*/',
        '\\}return\\s*\\$\\w{1,40};\\}(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];(\\$\\w{1,40})=[\'"](?:\\\\x?\\w{2,3})+[\'"];\\$\\w{1,40}=\\w{1,40}\\(\\w{1,40}\\(\\2\\(__FILE__,false,null,__COMPILER_HALT_OFFSET__\\),[\'"]\\w{1,40}[\'"]\\)\\);\\1',
        ';\\$default_use_ajax=true;\\$default_charset=_\\w{1,40}\\(\\d\\);\\$GLOBALS',
        '<title>\\s*GFX\\s+\\|\\s*GForce\\s*X-Sender\\s*by\\s*Mr-Anobs\\s*2018',
        '\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"]\\s*\\.?\\s*getcwd\\(\\s*\\)\\s*\\.\\s*[\'"][^\'"]{0,40}[\'"];\\s*eval\\(\\$_POST\\[[\'"]?\\w{1,40}[\'"]?\\]\\);[^`]{1,800}curl_exec\\s*\\(\\$\\w{1,40}\\);\\s*\\}?\\s*\\?>\\s*\\Z',
        '</form>\\s*<\\?php\\s*\\$(\\w{1,40})\\s*=\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\];\\s*(\\$\\w{1,40})\\s*=\\s*(?:passthru|exec|shell_exec|popen|system|eval)\\([\'"]\\$\\1[\'"]\\);\\s*echo\\s*[\'"][^\\$]{0,40}\\2[^\\$]{0,40}[\'"];\\s*\\?>',
        '(\\$message)\\s*\\.?=\\s*[\'"][^\'"]{0,40}LOGS[^\'"]{0,40}[\'"];\\s*\\1\\s*\\.?=\\s*"Email:\\s*"\\.\\$_POST\\[\'email\'\\]\\."\\\\n";\\s*\\1\\s*\\.=\\s*"Password:\\s*"\\.\\$_POST\\[\'pass\'\\]\\."\\\\n";',
        '\\$header\\s*\\.?\\s*=\\s*quoted_printable_encode\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\.?[\'"]?(?:\\\\r)?\\\\n[\'"];\\s*mail\\s*\\([^\\)]{1,40}\\);\\s*print\\s*[\'"]Spammed',
        '<title>\\s*[:]{0,2}\\s*eBuKa\\s*mAx\\s*INbOx\\s*sEnDeR',
        '<meta\\s*name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Banco\\s*Financiero\\s*del\\s*Peru[\'"]\\s*\\/>',
        '<title>\\s*Injected\\s+By\\s*Mrs\\.Poisoner',
        'function\\s+sql_inject\\s*\\(\\$\\w{1,40}\\s*=\\s*FALSE\\s*,\\$bdestroy_sessio',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*exit;\\s*\\?>',
        '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        '\\$\\w{1,40}\\s*=\\s*[\'"][^\\@]{1,40}@[^\\.]{1,40}\\.\\w{1,5}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*array\\((?:\\s*[\'"]\\s*\\w{1,40}\\s*[\'"]\\s*,){4,13}(?:,?[\'"](?:cvv2?|cardnumber|cardexp)[\'"]\\s*){3}\\)\\s*;\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\]\\s*;',
        '\\$sql\\s*=\\s*[\'"][^\\?]{1,40}\\s*,\\s*[\'"]\\s*<\\?(?:php)?\\s*system\\s*\\(\\\\\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,12}\\]\\s*\\);\\s*exit;\\s*\\?>[\'"]',
        '\\A<\\?(?:php)?\\s*.{0,40}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*\\$\\w{1,40}\\s*=\\s*date\\([^)]{1,40}\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{80,120}[\'"]\\s*;\\s*\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){2,5}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:',
        '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$message)\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"][^\\n]{1,60}([\'"]\\\\n[\'"]|[\'"]\\s*\\-\\s*[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\\\n[\'"]\\s*;',
        '\\A<\\?php\\s*.{0,40}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;(\\s*\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,100}\\s*;\\s*){3,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*(?:\\?>|\\Z)',
        '\\A<\\?(?:php)?\\s*.{0,80}\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){4,8}\\s*@?mail\\([^)]{1,80}\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^)]+\\);\\s*\\?>',
        '(\\$\\w{1,40})\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*;\\s*\\1\\s*=\\s*[\'"][asert]{1,5}[\'"]\\s*\\.\\s*\\1\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][_POST]{5}[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strtoupper\\s*\\(\\s*(\\2\\[\\d\\]\\.?){5}\\s*\\)',
        'function\\s+return_index\\(\\)\\s*\\{\\s*global \\$exec_file\\s*,\\s*\\$index_page',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};){0,5}\\s*\\$\\w{1,40}\\s*=\\s*rand\\(',
        '<html>\\s*<head>\\s*<title>Sucursal\\s+Virtual\\s+BANCOLOMBIA',
        'setcookie\\s*\\([\'"](cvv2?|ssn\\d?)[\'"]\\s*,\\s*\\$_POST\\[\'\\1\'\\]',
        '\\$send="[^"]{1,60}";\\s*\\$subject\\s*=\\s*"Apple Result : \\$email";',
        '\\A\\s*<\\?php\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\s*\\);\\s*fwrite\\(\\s*\\1,\\s*[\'"][\'"]\\s*\\);\\s*fclose\\(\\s*\\1\\s*\\);\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(1\\s*,\\s*\\d+\\);',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\}(?:\\s*session_destroy\\(\\);)?\\s*(\\$fp)\\s*=\\s*fopen\\([\'"][^\'"]{1,40}[\'"],\\s*[\'"]a\\+?[\'"]\\);\\s*fwrite\\(\\1',
        'function\\s*download_code\\s*\\(\\s*\\)\\s*\\{\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]key[\'"]\\s*\\]\\s*\\)\\s*\\)',
        '(\\$ip)\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);\\s*}\\s*return\\s*\\1;\\s*}\\s*\\1\\s*=GetIPsa\\(\\);\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\(',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*date\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*(\\$message)\\s*\\.?=(\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{25,90}\\s*[\'"];)\\s*\\1\\s*=\\s*\\1\\.?[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\1\\s*=\\s*\\1\\.?\\2\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(',
        '\\$GLOBALS\\[[^\\?]{47500,48000}>404\\s+Not\\s+Found[^\\?]{900,1000}\\)\\)\\);\\}else\\{echo\\s*\\w{1,40}\\(\\d+\\);\\}\\s*\\Z',
        '<\\?php\\s*error_reporting\\(0\\);\\s*(?:require\\s*[\'"](?:(?:\\.\\./){0,2}(check|email)\\.php)[\'"]\\s*;\\s*){2}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}[\'"]\\s*;\\s*)?if\\s*\\(\\s*(?:trim|isset)\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]submit[\'"]\\s*\\]\\)\\)\\{\\s*if\\(',
        'include\\s*[\'"]\\./send\\.php[\'"];(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,10}\\s*\\$\\w{1,40}\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$time',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*//\\s*\\w{1,40}\\s*(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\];){2,16}\\s*\\$fw2\\s*=\\s*fopen\\(',
        '\\$msg\\s*=\\s*[\'"]Alibaba\\s*login',
        '<\\?(?:php)?\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\([\'"]\\w{1,40}\\.\\w{1,8}[\'"],\\s*[\'"]a[\'"]\\);\\s*fwrite\\(\\1,\\$ip[^;]{1,60}\\);\\s*\\$\\w{1,40}\\s*=\\s*rand\\(\\d+,\\s*\\d+\\);',
        '<\\?(?:php)?\\s*session_start\\(\\);\\s*\\$(\\w{1,40})\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$(login_password)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*(\\$ip)\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\3[\'"]\\s*;',
        '\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(?:\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]\\w{1,40}[\'"]\\];\\s*)+\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,400}\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"]from\\s[^\'"]{1,40}[\'"]\\s*\\);',
        '\\$\\w{1,40}\\s*=\\s*[\'"]\\w{1,40}\\s*BANCOLOMBIA\\s*\\(\\s*[\'"]\\s*\\.\\$ip\\.\\s*[\'"]\\s*\\)[\'"]\\s*;',
        '<\\?(?:php)?\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{1,400}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$mensaje\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>',
        'else\\s*\\{\\s*[^\\}\\{]{0,200}(?:(?:\\s*(\\$to)\\s*=\\s*EMAIL;)|(?:\\s*\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\);)){2}[^\\}\\{]{0,600}if\\s*\\(\\s*mail\\s*\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{',
        '<\\?php(\\s*\\$\\w{1,40}\\s*\\=\\s*\\$_REQUEST\\[[\'"][^\'"]{1,40}[\'"]\\]\\;){15,30}\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);',
        'CoffeeCup Web Form Builder\\s*-->\\s*<title>Yahoo\\s+Update</title>',
        '<title>\\s*Sign\\s+in\\s*</title>.{350}\\s*<\\s*script type\\s*=\\s*[\'"]\\s*text/javascript\\s*[\'"]>\\s*function unhideBody\\(\\)',
        '<title>Yahoo</title>\\s*<\\s*meta http-equiv\\s*=\\s*[\'"]refresh[\'"]\\s*content\\s*=\\s*[\'"]\\d+;\\s*url\\s*=\\s*https://yahoo\\.com[\'"]\\s*>',
        '<title>\\s*Sign\\s+in\\s*-\\s*Google\\s+Drive</title>\\s*<style>',
        'charset\\s*=\\s*UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*-\\s*Google\\s+Drive\\s*</title',
        '<html>\\s*<head>\\s*<meta\\s*http-equiv=[\'"]Content-Type[\'"]\\s*content=[\'"]text/html;\\s*charset=UTF-8[\'"]>\\s*<title>\\s*Google\\s+Drive\\s*</title>\\s*<script\\s*language=[\'"]javascript[\'"]>',
        '\\A\\s*<!DOCTYPE html>\\s*<!--\\s+saved\\s+from\\s+url=.{200,600}https?://login\\.live\\.com',
        ';\\$b374k\\s*=\\s*\\$\\w{1,40}\\(\\s*[\'"]\\$\\w{1,40}[\'"]\\s*,\\s*[\'"\\.,\\seval]{7,40}\\(',
        'public\\s*function\\s*root_vuln\\s*\\(\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*php_uname',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*.{400,500}\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*@?eval\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\Z',
        '(\\$log->lwrite)\\(\\$IP\\);\\s*\\1\\(\\$Agent\\);\\s*\\1\\(\\$browserType\\);\\s*\\1\\(\\$hostname\\);',
        '<script\\s+src\\s*=\\s*[\'"](?:\\.\\./){1,5}www1\\.bac-assets\\.com/online-banking/spa-assets/',
        '<!--\\s*Mirrored\\s*from\\s*(www\\.)?bankofamerica\\.com/online-banking/sign-in/',
        '\\$inj\\s*=\\s*[\'"][\'"\\s\\.\\/\\_\\=windovarsfcebg]{30,40}[\'"]\\s*\\.\\$\\w{1,40}\\s*\\.\\s*[\'"]\\s*;\\s*[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$_SERVER\\s*\\[[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.?\\s*[\'"\\s\\.\\/,\\_bitrxjsmancoeld]{41,60}\\s*\\)\\)',
        '<title>\\s*Priv8\\s+Tools',
        '\\$\\w{1,40}\\s*=\\s*MIME::Base64::decode\\s*\\(\\s*\\$cheataer\\s*\\)\\s*;',
        '<title>\\s*Mini\\s+Shell\\s*[&nbsp|]{1,80}\\s*TiGER',
        'return\\(eval\\([^\\)]{1,}\\)\\);\\s*\\?>\\s*\\#!/usr/bin/php\\s*-q',
        '<title>\\s*ManToed\\s*Shell',
        '<title>\\s*\\[S\\]uper\\[BAD\\]\\s*Mailer',
        '<title>\\s*[|]{0,2}\\s*NOMAN\\s*HACKING\\s*COMPANY',
        'function\\s+payload_download\\s*\\(\\s*\\$cwd\\s*,',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]\\s*find\\s*/\\s*-type\\s*f\\s*-name\\s*[\'"]\\*[\'"]\\s*\\|\\sxargs\\sgrep\\s-rl\\s[\'"]<head[\'"][\'"]\\s*;\\s*\\$\\w{1,40}\\s*=',
        '<title>\\s*[+\\[]{0,2}\\s*Powered\\s*by\\s*KcB\\s*[\\]+]{0,2}',
        'if\\s*\\(\\s*socket_listen\\s*\\(\\s*\\$sock\\s*,\\s*\\d+\\s*\\)\\s*===\\s*false\\s*\\)\\s*\\{\\s*echo\\s*[\'"]HaHa',
        '<title>\\s*-\\s*r\\s*w\\s*-\\s*r\\s*-\\s*-\\s*r-\\s*-<',
        '5YN15T3R_742\\s+shell</font>',
        '\\$Report\\s*=\\s*new Report\\(\\$DBData,\\s*file_get_contents\\(\'php://input\'\\), intval\\(\\$_SERVER\\[\'CONTENT_LENGTH\'\\]\\), ENCKEY_, TEMP_\\);\\s*\\$Report = NULL;',
        '<title>\\s*MakMan\\s*[-\\s]{0,3}\\s*Root\\s*Exploiter',
        'Data\\s*=\\s*\\$LokiDBCon->ExportDatabyID\\(',
        '<title>\\s*:.Spade\\s*Mini\\s*Shell',
        'private\\s+function\\s+backdoorFiles\\s*\\(\\s*\\$\\w{1,40}\\s*\\)',
        'name\\s*===\\s*"webconsole"\\)\\s*\\$get\\s*=\\s*array\\([\'"]https?\\:\\/\\/pastebin\\.com\\/raw',
        'echo\\s*"This\\s*shit\\s*works!";\\s*if\\s*\\(isset\\(\\$_FILES',
        '<center>\\$\\s+root@x48',
        '<title>\\s*BlackTools\\s*Folder\\s*Mass\\s*Defacer',
        'echo\\s+file_get_contents\\(\'/home/\'\\.\\$user\\.\'/\\.my\\.cnf',
        '<\\?(?:php)?\\s+include\\s*\\([\'"]blocker\\.php[\'"]\\)\\s*\\;\\s*\\$DIR\\s*\\=\\s*md5\\s*\\(\\s*rand\\s*\\(\\s*\\d+\\s*\\,\\s*\\d+\\)\\s*\\)\\s*\\;',
        'function\\s+c99shexit\\(\\)\\s*\\{',
        '<title>Uploader\\s+By\\s+IndoXploit',
        '@chmod\\((\\$\\w{1,40}),0755\\);\\s*@unlink\\(\\1\\);\\s*\\}\\s*@file_put_contents\\(\\1,\\$\\w{1,40}\\);\\s*echo \'ok\';\\s*\\}\\s*\\?>',
        '\\$tofile=\'[^\']{1,50}\';\\s*\\s*\\$\\w{1,40}\\s*=\\s*base64_decode\\(strtr\\(\\$_POST\\[[^)]+\\)\\);\\s*\\$\\w{1,40}=\'<\\?php',
        'if\\s*\\(sha1\\(md5\\(\\$_POST\\["\\w{1,40}"\\]\\)\\)==="\\w{40}"\\)\\s*move_uploaded_file\\(\\$',
        'DirContents\\(\\$rest\\);\\}else\\{getDirContents',
        '\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*\'\\}\'\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\'//\'\\s*\\);\\s*\\Z',
        '<\\?php\\s{1000,}\\$\\w{1,40}\\s*=\\s*\\$_POST\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\[\\w{1,40}\\]\\s*;',
        'sin\\(\\$\\w{1,40}\\?\\);syslog\\(LOG_ERR,\\$err\\);\\}\\$\\w{1,40}=\'\';if\\(in_array',
        '\\$VERSION\\s*=\\s*\'Gamma\\s+Web\\s+Shell',
        '<title>\\s*::\\s+AventGrup\\s+::\\.\\.',
        '\\$title="NetworkFileManagerPHP";',
        'eval\\(gzinflate\\(base64_decode\\(str_rot13\\(strrev\\(',
        '=\\s*remove_tags\\(\\s*_dl\\s*\\(\\s*\\$_(GET|POST|COOKIE)\\s*\\[',
        'srand\\(seed\\(\\)\\);\\s*\\$additional=array\\("%1meta name=\\\\"description\\\\"\\s*content=\\\\"\\$description\\\\"%3","%1meta',
        '@symlink\\(\'/home/\' \\. \\$user \\. \'/public_html/wp-config\\.php\', \\$user',
        '(\\$passwd)\\s*=\\s*explode\\("\\\\n"\\s*,\\s*file_get_contents\\(\'/etc/passwd\'\\)\\);\\s*foreach\\(\\1',
        'function\\s+GetPayload\\(\\$payload\\)\\s*\\{\\s*\\$current_payload\\s+=\\s+base64_decode\\(\\$payload',
        '\\$user->set_role\\(\\s*\'administrator\'\\s*\\);\\s*\\}\\s*\\}\\s*wpb_admin_account\\(\\);\\s*\\}\\s*\\?>\\Z',
        '\\)\\)\\s*\\{\\s*echo\\s+\'<b>Shell\\s+Uploaded',
        '<title>Vuln!!\\s+patch\\s+it\\s+Now',
        '(\\$\\w{1,40})\\s*=\\s*"as";\\s*\\1\\s*.=\\s*".{2000,10000}"\\)\\)\\)\'\\);\\s*\\?>\\Z',
        'exec\\(\\$_(?:GET|POST|COOKIE)\\["\\w+"\\],\\$\\w{1,40}\\);print_r\\(\\$\\w{1,40}\\);\\}\\}if\\(\\$_(?:GET|POST|COOKIE|REQUEST)',
        '\\$\\w{1,40}\\s*=\\s*\'[^\']+\'\\s*\\^\\s*\'[^\']+\'\\s*;\\s*\\$\\w{1,40}\\(""\\s*,\\s*"};"\\s*\\.\\s*\\$\\w{1,40}\\(\\s*preg_match\\(\\s*"[^"]+"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*file\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\)\\s*\\?\\s*\\(\\s*\\$match\\[1\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\);',
        'if\\(\\d\\^\\d\\)&&strtoupper\\(\\$_\\d+,\\$_SERVER,\\$_SERVER,\\$_\\d+\\)\\)cosh',
        ',\\s*sprintf\\((\\w{1,40})\\(\'[^\']{1,40}\'\\),\\s*constant\\(\\1\\(\'[^\']{1,40}\'\\)\\)\\s*,\\s*Config::get\\(\\w{1,40}\\(',
        ';\\}\\s*echo\\s+\'[^\']{1,100}\';\\s*preg_replace\\("\\\\x2F\\\\x2E\\\\x2A\\\\x2F\\\\x65","\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28',
        '<head>\\s*<title>Xsender</title>\\s*</head>',
        'setcookie\\(\'f_wp\'\\s*,\\s*\\$_POST',
        '\\]\\}=pre_term_name\\(\\$\\{\\$\\{',
        'function\\s+initFunctions\\(\\)\\s*\\{\\s*if\\s*\\(!function_exists\\(\'myfuncgood\'\\)\\)\\s*\\{\\s*function\\s+myfuncgood\\(\\$in',
        '<\\?php\\s*\\$alphabet\\s*=\\s*"[^"]+";\\s*(\\$string)\\s*=.{50000,};\\s*\\$(\\w{1,40})\\s*=\\s*\\$\\w{1,40}\\(""\\s*,\\s*\\$array_name\\(\\1\\)\\);\\s*\\$\\2\\(\\);\\s*\\Z',
        ';\\$\\w{1,40}\\^\\$\\w{1,40};\\$\\w{1,40}=\\$\\w{1,40}\\^\'',
        'if\\s+!\\s+pgrep\\s+-f\\s+"minmon',
        '@fsockopen\\(\\$\\w{1,40}\\[[^\\]]{1,100}\\],\\s*80\\s*,\\s*\\$\\w{1,40},\\s*\\$\\w{1,40}\\s*,\\s*5\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}\\s*goto',
        '(\\$\\w{1,40}\\s*=\\s*\\\\\'[^\']{1,100}\'\\^\\\\\'[^\']+\';\\s*){3,}\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\\\\'\\\\\'\\s*,\\s*\\$\\w{1,40}\\(\\$\\w{1,40}\\(',
        '</head>\\s*<body>.+function\\s+\\w{1,40}\\(\\)\\s*\\{\\s*\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\);\\s*\\w{1,40}\\s*=\\s*\\[(?:\\d+,){20,100}\\d+\\];\\s*return\\s*\\w{1,40}\\(\\w{1,40},\\w{1,40}\\);\\s*\\}',
        'content="0;data:text/html;base64,DQo8IURPQ1RZUEUgaHRtbD48aHRtbCB4bWxucz',
        '<\\?php\\s*\\$GLOBALS\\[\'\\w{1,40}\'\\]\\s*=\\s*sha1\\(md5\\("\\w+"\\)\\);\\s*//\\s*sha1\\(md5\\(pass\\)\\)\\s*\\$func=',
        '@error_reporting\\s*\\(\\s*0\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*0\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\'[^\']+\'\\s*;\\s*@eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '\\$userful\\s*=\\s*array\\(\'gcc\',\'lcc\',\'cc\',\'ld',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\w{1,40}";\\s*\\$\\w{1,40}\\s*=\\s*"";\\s*foreach\\s*\\(\\s*\\$_POST\\s*as\\s*\\$\\w{1,40}\\s*=>\\s*\\$\\w{1,40}\\){\\s*if\\s*\\(\\s*strlen.{1000,2000}strlen\\(\\$\\w{1,40}\\s*\\)\\s*\\);\\s*exit\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}',
        ';\\s*eval\\(\\s*""\\s*\\);\\s*if\\(\\s*\\(\\s*\\$',
        'if\\s*\\(!\\(!\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\s*\\|\\| !\\$_COOKIE\\["\\\\x[0-9A-Fa-f]+"\\]\\)\\)\\s*\\{\\s*goto\\s*\\w{1,40};\\s*\\}',
        'else\\s*if\\("shell"\\s*==\\s*substr\\(\\$action\\s*,\\s*0\\s*,\\s*5\\)\\)\\{\\s*\\?>',
        'eval\\(base64_decode\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\)\\);\\s*else\\s*eval\\(\\$_REQUEST\\[\'\\w{1,40}\'\\]\\);\\s*break;',
        'function\\s*javascript_in\\(\\$p,\\$c\\)\\s*\\{\\s*\\$result\\s*=\\s*shell_exec\\(\\$p\\);',
        'U7TiM4T3_H4x0R\\s*Mini\\s*Shell\\s*</',
        'function __\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=[base64_decode.\']+;return\\s*\\$\\w\\(\\$\\w{1,40}\\);\\}\\}\\$\\w+=[create_function.\']+;\\$_',
        'flush\\(\\);\\s*@mail\\(\\$_GET\\[\'\\w+\'\\]\\s*,\\s*\\$subject\\s*,\\s*\\$message\\s*,\\s*\\$header\\);\\s*sleep\\(\\$_GET\\[\'\\w+\'\\]\\);',
        ';\\$\\{\\$\\{"[^"]{1,100}"\\}\\[[^\\]]{1,100}\\]\\}=system_custom\\(\\$\\{\\$\\w{1,40}\\}\\);echo\\$\\{\\$\\{"[^"]{1,100}"\\}\\["[^"]{1,100}"\\]\\};print',
        'conf\\s*=\\s*@file_get_contents\\(\\s*\\$isSecureProtocol\\s*\\.\\s*\\$this->normalizedTag\\s*\\.\\s*\\$configNormalize\\s*\\.\\s*\\$this->normalizeTagPattern',
        '<<YeMeNi\\s*HaCkeR>>',
        '@mkdir\\("wp-admin"\\);\\s*\\$path_shell\\s*=\\s*fopen',
        'elseif\\s*\\(\\s*has_passthru\\s*\\)\\{\\s*x_passthru',
        '\\A<html>.{100,1500}echo\\(""\\);\\s*\\}\\s*\\$filename = \\$_SERVER\\[SCRIPT_FILENAME\\];\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z',
        '\\$message\\s*\\.=\\s*"-+Vict!m Info-+\\\\n";',
        '\\A.{0,10}GIF8[79a]+<\\?php\\s*eval\\(',
        'color=.FFF5EE>"\\.shell_exec\\(\'ls -la\'\\)',
        'echo\\s*\'exist-\'\\s*\\.(\\$\\w{1,40});\\s*\\}\\s*else\\s*\\{\\s*file_put_contents\\(\\s*\\1\\s*,\\s*\\$\\w{1,40}\\s*\\);\\s*\\}',
        '\\$msg\\s*\\.=\\s*"P\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[\'psw\'\\]\\s*\\.\\s*"\\\\n";',
        'error_reporting\\(0\\);\\s*echo\\s*"AnonymousFox',
        '\\$path_mailer\\s*=\\s*fopen\\("wp-content/\\$rxMailer\\.php"',
        'id\\s*=\\s*system\\s*\\(\\s*base64_decode\\(\\s*"cGlkb2YgY25yaWc=',
        '<code>\\s*Trying\\s*\\$ServerName\\.\\.\\.<br>\\s*Connected\\s*to\\s*\\$ServerName',
        'sendraw\\(\\$IRC_cur_socket\\s*,\\s*"PRIVMSG',
        '<title>KID\\s*-\\s*Dr\\.JEeNTeL\\s*SheLL',
        '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\(@is_resource\\(\\$f\\s*=\\s*@popen\\(\\$cfe\\s*,\\s*"r"\\s*\\)\\)\\)\\s*\\{',
        '\\{private static\\$_[^;]{1,30};static function _[^(]{1,30}\\(\\$[^)]{1,30}\\)\\{if\\(!self::\\$_',
        '\\{private static\\$_[^;]{1,30};public\\s*static\\s*function\\s*_[^,]{1,30}\\(\\$_[^)]{1,30}\\){if\\(!self::\\$_[^)]{1,30}\\):self::_[^(]{1,30}\\(\\);',
        ';exit;endif;endif;@iNI_sET\\("error_log",null\\);@iNi_SEt\\(',
        ';\\s*\\$\\w{1,40}=@\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\);\\s*echo \\$\\w{1,40};\\s*\\?>\\Z',
        'if\\(strpos\\(\'\\w{1,40}\',\'\\w{1,40}\'\\)!==false\\)mssql_query\\(\\$_\\d+,\\$_\\d+\\);\\s*curl_setopt\\(\\$_\\d+,\\d+,\\$_\\d+\\);',
        '\\)\\s*&&\\s*mktime\\(\\$_\\d+,\\$_\\d+,\\$_\\d+,\\$_\\d+\\)\\)socket_create_pair\\(\\$_SERVER,\\$_\\d+\\);\\s*function l_\\w{1,40}\\(\\$_\\d+,\\$_\\d+=\'\',\\$_\\d+=true\\)',
        'if\\(strpos\\(\'\\w{1,60}\',\'\\w{1,60}\'\\)!==false\\)imagefilter\\(\\$_\\d,\\$_\\d,\\$_SERVER\\);\\s*\\$_\\d=curl_getinfo\\(\\$_\\d,\\d+\\);',
        '\\$_\\d=\\$_(?:REQUEST|GET|POST)\\[\'id\'\\];\\s*\\$_\\d=curl_init\\(\\);\\s*\\$_\\d=\'http',
        'time\\(\\)-@filemtime\\(\\$_\\d\\)\\)>0\\)\\{\\$_\\d=base64_decode\\(@file_get_contents\\(\'http',
        'if\\(strpos\\(\'\\w+\',\'\\w+\'\\)!==false\\)socket_create_listen\\(\\$_\\d,\\$_\\d,\\$_\\d,\\$_\\d\\);\\s*\\$_\\d="text/html;',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*md5\\s*\\(\\s*\\$_POST\\s*\\[\\s*\'comment\'\\s*\\]\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{',
        '@eval\\(\\s*\\$unzip\\(\\s*\\$_SESSION\\[\\s*\'PhpCode\'\\s*\\]\\s*\\)\\s*\\)\\s*;',
        ';@\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\s*\\?>\\s*\\Z',
        'url\\s*=\\s*https://bank\\.westpac\\.co\\.nz/',
        '\\$(\\w{1,40})\\s*=\\s*@\\$\\w{1,40}\\(\\s*\'\'\\s*,\\s*strrev\\(\\s*\';\\)\\)]\\s*C2BFE_PTTH\\[\\s*REVRES_\\$\\(\\s*edoced_46esab\\(\\s*lave\\s*\'\\)\\s*\\)\\s*;\\s*@\\s*\\$\\1\\s*\\(\\s*\\);',
        ',\\s*function\\s*\\(\\s*\\)\\s*{\\s*add_object_page\\s*\\(\\s*"UBH"\\s*,',
        '<%\\s*eval\\s*request\\([^)]{1,30}\\)\\s*%>',
        '<H1>\\s*<center>\\s*mini\\s*File\\s*Manager',
        'if\\s*\\(\\$act\\s*==\\s*\'down\'\\)\\s*\\{\\s*if\\s*\\(is_file\\(\\$p1\\)\\s*&&\\s*is_readable\\(\\$p1\\)\\)\\s*\\{\\s*@ob_end_clean',
        'Community\\s*priv8\\s*WebShell',
        'copy\\(\\s*\\$_REQUEST\\[\'path\'\\]\\s*,\\s*\\$p\\s*\\.\'/\'\\s*\\.\\s*time\\(\\)\\s*\\.\\s*\'\\.\'\\s*\\.\\s*\\$f\\s*\\);',
        ';if\\(\\$_POST\\[\'\\w{1,40}\'\\]=="Upload"\\){if\\(@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)\\)\\{echo',
        '_BLANK\\s*>\\{\\$_FILES\\["userfile"\\]\\["name"\\]\\}</a><br><br>"\\s*;\\s*echo\\s*getcwd\\(\\)',
        'ioctl\\s*\\(\\s*\\$listen_socket\\s*,\\s*0x8004667e',
        '\\$file_content\\s*=\\s*httpget3\\(REMOTE_FILE\\s*,\\s*\\$context\\);\\s*\\$file_name_array\\s*=\\s*explode',
        'basename\\(\\$file\\)\\s*==\\s*"configuration\\.php"\\s*\\|\\|\\s*basename\\(\\$file\\)\\s*==\\s*"wp-config\\.php"\\s*\\)\\s*\\)',
        '<title>PEREBA_r0x',
        '/\\*_\\*/\\s*touch\\(\\s*\\$var1\\s*\\);\\s*\\?>\\s*</body>\\s*</html>\\s*\\Z',
        'description"\\s+content="Hacked\\s+By',
        'echo\\s*eval\\(\'\\?>\'\\s*\\.\\s*join\\(\\s*""\\s*,\\s*file\\(\\s*"\\$c/\\$p\\.html',
        '@pcntl_exec\\s*\\(\\s*"/bin/sh"\\s*,\\s*Array\\("-c",\\$arg\\)\\);\\s*\\}\\s*else\\s*\\{@pcntl_waitpid\\(\\$p,',
        'eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$backdoor',
        '<title>-\\$\\$Ar\\s*ab_money\\$\\$-</title>',
        '<title>Leaf\\s+PHPMailer</title>',
        '\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];\\s*\\}\\s*\\$referrer = urlencode\\(@\\$_SERVER\\[\'HTTP_REFERER\'\\]\\);\\s*\\$url = "http://\\d+\\.\\d+\\.\\d+\\.\\d+/api\\.php\\?is_api=1&action=get&api_key',
        'curl_init\\("file:///"\\.\\$m\\."\\\\x00/\\.\\.',
        '<title>Tryag\\s+File\\s+Manager</title>',
        '(\\$\\w{1,40})\\s*=\\s*array\\([^)]{20,80}\\);\\s*foreach\\(\\s*\\1\\s*as\\s*(\\$\\w{1,40})\\)\\{\\s*\\$\\w{1,40}\\s*\\.=\\s*\\$\\w{1,40}\\[\\2\\];\\s*}\\s*\\$\\w{1,40}\\s*=\\s*strrev\\(\\s*[\'"\\s\\.creat_funio]{15,40}\\s*\\);',
        '>\\s*<title>Hacked\\s+by\\s*[^<]+</title>\\s*<style',
        ';\\$_\\w{1,10}=array\\([^)]+\\);\\$payload="[^"]{4000,14000}";',
        ';\\$_\\s*=\\s*create_function\\(\\s*""\\s*,\\s*@gzuncompress\\(\\$_+\\)\\);\\$_+\\(\\);\\s*\\?>',
        '<\\?php\\s*echo\\s*\'None\'\\s*\\.\\s*\'<br>\'\\s*\\.\\s*\'Uname:\'\\s*\\.\\s*php_uname',
        ';\\$_\\w{1,40}=.\\$_\\w{1,40}\\("[^"]+",\'\\w{1,40}\'\\);@\\$_\\w{1,40}\\("[^"]+",.\\$_\\w{1,40}\\(',
        'echo\\s+"<h1><a href=\'\\$fullpath\'>OK-Click here!</a>',
        'fwrite\\(\\$f,file_get_contents\\(\\$s\\.\'s-\'\\.\\$_GET',
        '<\\?php\\s*echo\\s*eval\\(base64_decode\\((str_replace\\(\\s*\'.\'\\s*,\\s*\'.\'\\s*,\\s*){3,6}',
        '\\$(\\w{1,40})\\s*=\\s*urldecode\\(\'%\\d+[^;]+;\\s*\\$\\1\\s*=\\s*\\$\\1\\(\'\'\\s*,\\s*\\$_(GET|POST|REQUEST)\\[\'\\w{1,40}\'\\]\\s*\\);\\s*\\$\\1\\(\\s*\\);',
        '\\$_+\\s*=\\s*"[^;]+;\\s*eval\\(\\$_+\\(\\$_+\\)\\);',
        '\\A<!DOCTYPE[^>]{0,100}>\\s*<html>\\s*<head>\\s*<title>Hacked\\s+By',
        '\\$passwd\\s*=\\s*fopen\\(\\s*\'/etc/passwd\'\\s*,\\s*\'r\'\\s*\\);',
        '\\$\\w{1,30}\\s*=\\s*file\\(\'/etc/passwd\'\\);',
        '\\$pwdump2\\s*=\\s*"TVqQAAMAAAAEAAAA',
        'URI\\.encode\\("/user/register\\?element_parents=account/mail/\\#valu',
        'echo\\s*\\$USER\\s*->\\s*Update\\s*\\(\\s*\\d+,\\s*array\\(\\s*"PASSWORD"\\s*=>\\s*\'[^\']+\'\\s*\\)\\s*\\)\\s*;',
        '\\$content\\s*=\\s*remove_tags\\s*\\(\\s*_dl\\s*\\(\\$_(COOKIE|GET|POST|REQUEST)\\[\'key\'\\]\\)\\)\\s*;\\s*\\$func\\s*=\\s*"[create_function"\\.\\s*]+";',
        'echo\\s*\'<title>Upload\\s*Files\\s*xSecurity',
        '<b>Upload\\s*Complate\\s*!!!',
        '<\\?php\\s*error_reporting\\(0\\);\\s*echo\\s*file_get_contents\\(\\$_GET\\[\'filename\'\\]\\);',
        'exec\\s*\\(\\s*"which\\s*wget"\\s*,\\s*\\$wgetPath\\)\\s*;\\s*if\\s*\\(\\s*\\$wgetPath\\[0\\].{2000,6000}if\\s*\\(!\\$forceIntegrateAnsciTangetBlue',
        '<\\?php\\s*\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\|\'[^\']*\'\\s*\\)\\s*;',
        ';\\s*\\$\\w{1,30}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*Prior2Line\\s*\\([^)]+\\)\\s*;\\s*\\Z',
        'if\\(\\s*\\$sd\\s*\\)\\s*\\{\\s*echo\\s*1;\\s*exit\\(\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*2;\\s*exit\\(\\);\\s*\\}',
        'copy\\(\\$link,\\$path\\.\\$name\\);\\s*if\\(shell_exec\\(\'echo\\s*index\'\\)\\s*==\\s*\'index\'\\s*\\)\\s*\\{\\s*shell_exec\\(\\s*\'touch',
        'false\\)\\s*\\{\\s*if\\(is_mobile2\\(\\)\\)\\s*exit\\(\'<script[^<]{1,500}</script>\'\\);\\s*}',
        '\\$USER\\s*-\\s*>Authorize\\s*\\(\\s*\\$\\w{1,40}\\[\\s*"ID"\\s*\\]\\s*\\);\\s*LocalRedirect\\s*\\("/bitrix/[^"]{1,40}"\\);',
        '\\$shell_name\\s*=\\s*"devilzShell";',
        '\\$ID\\s*=\\s*\\$USER->Add\\(\\s*\\$\\w{1,40}\\s*\\);\\s*if\\s*\\(\\s*intval\\(\\s*\\$ID\\s*\\)\\s*>\\s*0\\)\\s*echo\\s*"Yes";',
        '}\\s*}\\s*eval\\s*\\(\\s*gzuncompress\\(\\s*_\\w{1,40}::\\w{1,40}\\(\'[^\']{1,100}\'\\s*\\)\\s*\\)\\s*\\)\\s*;',
        '=\'\\);return\\s*base64_decode\\(\\$a\\[\\$i\\]\\);\\s*}\\s*\\?>Wordpress\\s*<\\?php\\s*\\$_0',
        '\\}\\s*list\\(\\$\\w{1,40},\\$\\w{1,40}\\)=\\w{1,40}::\\w{1,40}\\("\\\\r\\\\n\\\\r\\\\n",\\$\\w{1,40},\\(',
        '\\$text\\d+\\s*=\\s*http_get\\(\'https://ghostbin\\.com/paste/\\w+/raw',
        '<title>Mass\\s*Defacer',
        '\\A<\\?php\\s*\\$user_agent_to_filter\\s*=\\s*array\\(\\s*"\\#Ask\\\\s\\*Jeeves\\#i"\\s*,\\s*"\\#',
        '\\$extention\\s*==\\s*\'js\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$content\\s*=\\s*@file_get_contents\\(\\$dirname\\s*\\.\\s*\\$sobs',
        'pl\\(\\$s_cwd\\)\\."&x=upload"\\."\'>upl',
        'echo\\s*\\("<<OK>>"\\s*\\.\\s*join\\s*\\("\\\\n"\\s*,\\s*\\$injected\\s*\\)\\s*\\.\\s*"<</OK>>"\\s*\\);',
        'return\\s*@file_get_contents\\(\\w{1,40}\\s*::\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\[array_rand\\(\\$\\w{1,40}\\)\\]\\);\\s*\\}\\s*static',
        'echo\\s*file_get_contents\\(\\$our_site\\.\\$page\\);',
        '\\$html\\s*=\\s*curl_exec\\s*\\(\\$ch\\);\\s*curl_close\\(\\$ch\\);\\s*if\\s*\\(strstr\\(\\$id\\s*,\\s*"\\.css"\\s*\\)\\s*\\)\\{\\s*header\\(\'Content',
        'empty\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*\\)\\s*die\\(\\s*\\$_COOKIE\\["client_check"\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*preg_match\\(',
        '";@file_put_contents\\("\\$GLOBALS\\[web_root\\]temp/',
        ';\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\s*\\{\\s*return\\s*\\(substr\\(\\$\\w{1,40}\\s*,\\s*\\d+\\s*,\\s*\\d+\\s*\\)\\s*==\\s*\\w{1,40}\\(array\\([^)]{1,100}\\)\\s*\\)\\s*\\)\\s*;\\s*\\}',
        'include\\s*\'antibots\\.php\';\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];',
        'Try\\s+a\\s+different\\s+payment\\s+method\\s+this\\s+time\\s+\\-\\s+PayPal</title>\\s*<meta',
        '</form>";\\s*move_uploaded_file\\(\\$saw1,\\$saw2\\);',
        '<h2>Verified\\s+Your\\s+Personal\\s+Bank/Add Bank</h2>',
        '<\\?php\\s*include\\s+\'antibots\\.php\';.{3000,5000}<title>Paypal',
        '\\A<\\?\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$message\\s*\\.=\\s*"---------.{100,3000}mail\\(',
        'server\\s+d3ifff',
        '\\$subject\\s*=\\s*"PayPal\\s+Billing\\s+Info',
        '\\$subject\\s*=\\s*"PayPal\\s+Bank\\s+Info',
        '\\$subject\\s*=\\s*"PayPal\\s+PP\\s+LOGIN\\s+FROM',
        'if\\s*\\(!Anon_true\\(\\s*\\$em\\s*,\\s*\\$ps\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*die\\(',
        '\\$subject\\s*=\\s*"AOL\\s*Login\\s*\\|\\s*\\$ip',
        '\\$ssn\\s*=\\s*\\$_SESSION\\[\'ssn\'\\]\\s*=\\s*\\$_POST\\[\'ssn\'\\];',
        '==\\[BY\\s+P!RA17DZ\\]==',
        '/\\#s"\\s*,\\s*\\$\\w{1,40}\\(\\s*""\\s*,\\s*\\$\\w{1,40}\\(__FILE__\\s*\\)\\s*\\)\\s*,\\s*\\$match\\s*\\)\\s*\\?\\s*\\(\\s*\\$match\\[\\s*\\d+\\s*\\]\\s*\\)\\s*:\\s*""\\s*\\)\\s*\\.\\s*"//"\\s*\\)\\s*;',
        ';@\\$__\\(\\$__\\d+\\(@\\$_\\[\\d+\\]\\.@\\$_\\[\\d+\\]\\.',
        'fwrite\\(\\$\\w{1,40}\\s*,\\s*file_get_contents\\(\\$\\w{1,40}\\.\'\\w-\'\\.\\$_GET\\[\'\\w{1,40}\'\\]\\)\\);\\s*fclose\\(\\$\\w{1,40}\\);\\s*}\\s*echo\\s*\'<!DOCTYPE html!>\';\\s*\\?>',
        '\\$SandyKey=\\$_POST\\[\'SandyKey\'\\];',
        '@mail\\(\\s*\\$_POST\\[\'emailfinal\'\\]\\s*,\\s*\\$_SERVER\\[\'HTTP_HOST',
        'DRIV3R\\s+KR\\s+PRIV8\\s+MAILER</title',
        '\\$double\\s*=\\s*1;\\s*}\\s*\\$email\\s*=\\s*urlencode\\(\\$email\\);\\s*if\\s*\\(!empty\\(\\$_SERVER\\["HTTP_CF_CONNECTING_IP',
        '\\$domains_dir\\s*=\\s*estimate_current_path\\(\\s*\\);\\s*process\\s*\\(\\s*\\$domain\\s*,\\s*\\$domains_dir\\s*\\);\\s*foreach\\s*\\(get_valid_dirs',
        '\\$\\w{1,40}\\s*=\\s*http_get\\s*\\(\'https://pastebin\\.com/raw',
        'Dr\\.\\s*Nova\\s+Login\\s+To\\s+Shell</title>',
        'Coded\\s*by\\s*:\\s*</font><font\\s*color="red">\\s*TrenggalekTeam',
        'ACCOUNT\\s+PAYPAL\\s+FULLZ</font',
        '\\$asu="move_";\\s*\\$asu\\.="uploaded_";\\s*\\$asu\\.="file";',
        'private\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']{10,200}\'\\s*;\\s*private\\s*\\$\\w{1,40}\\s*=\\s*\'application/msword\'\\s*;\\s*public\\s*function\\s*execute\\s*\\(\\s*\\)',
        '<\\?php\\s*if\\s*\\(\\$_GET\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*}',
        ';\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*\\Z',
        '<title>Propaganda\\s+Mail!\\s+v\\d+',
        'href="https://www\\.bancosantander\\.es',
        'chdir\\(\\$lastdir\\);\\s*capriv8exit\\(\\)',
        '^\\w{1,40}\\s*<\\?php\\s*echo\\s*php_uname\\(\\);\\s*if\\s*\\(isset\\(\\$_POST\\[\'\\w+\'\\]\\)\\)\\s*{',
        '\\$License\\s*=\\s*\\$_POST\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_POST.+?;\\s*\\$License\\s*\\(\\s*\\)\\s*;',
        '\\$message\\s*\\.=\\s*"cvv\\s*:\\s*"\\s*\\.\\s*\\$_POST\\[',
        'substr\\(\\$__lp,\\s*0x\\w+-0x\\w+\\)\\)\\);break;\\}\\}\\}eval\\(\\$__ln\\);return 0;\\}\\s*else\\s*\\{die\\(',
        '\\$log_file_name\\s*=\\s*GetDocRoot\\(\\)\\s*\\.\\s*"/\\s*"\\s*\\.\\s*"\\w+\\.log"\\s*;\\s*if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[',
        '<\\?php\\s*eval\\(\\s*strrev\\(.{30000,}\\(\\s*rqbprqhh_geriabp\\s*\\(\\s*ynir\\s*\\\\\'\\s*\\(\\s*31tor_rts\\s*\\(\\s*lave\'\\s*\\)\\s*\\)\\s*;\\s*\\Z',
        '\\$color\\s*=\\s*"\\#\\w{1,10}";\\s*\\$default_use_ajax = true;\\s*\\$\\w{1,40}\\s*=__FILE__\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']{50000,}\'\\s*;\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;',
        'Coded\\s+By\\s+<font color="red">Little\\s+Wei',
        '\\$JSubMenuHelper\\s*=\\s*create_function\\(\'\',\\s*\\$JSubMenu\\);\\s*unset\\(\\$\\w+,\\s*\\$JSubMenu\\);\\s*\\$JSubMenuHelper\\(\\s*\\);',
        '<h2>Developer\\s+By\\s+KymLjnk</h2>',
        'chdir\\(\'bypassbin\'\\);\\s*@exec\\(\'curl http://dl\\.dropbox\\.com',
        'yetkiKontrol\\(\\$\\w{1,40},\\$\\w{1,40}\\);\\s*\\}\\s*\\?>\\s*<\\?php\\s*preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;',
        '\\]\\}="";class\\s+BaseJsonRpcServer\\{const\\s+ParseError',
        'javascript:Goto\\(\'shell\'\\);>shell</a>',
        '\\)\\)\\)\\)\\s*{\\s*echo\\s*\'query\'\\s*;\\s*}\\s*else\\s*{echo\\s*\'bad request\'\\s*;\\s*}\\s*}\\s*else\\s*{echo\\s*\'not found\';\\s*}',
        'if\\(strpos\\(\\s*\\$\\w{1,40}\\s*,\\s*\'@\'\\)\\s*!==\\s*false\\)\\s*{\\s*\\$\\w{1,40}\\s*=\\s*CUser::GetByLogin\\(\\$\\w{1,40}\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}->Fetch\\(\\);',
        'define\\("USER_AGENT", "Mining Cacher',
        '(\\$\\w{1,40}\\s*="[^"]*"\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*str_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,}\\s*){3,}\\$__\\w+\\(\'\',"};"',
        '<h2>Developer\\s+By\\s+KymLjnk</h2>',
        '@mkdir\\("ByPassSym"\\);\\s*@chdir\\("ByPassSym"\\);\\s*@exec',
        '\\}=new WebConsoleRPCServer\\(\\);\\$rpc_server->Execute\\(\\);\\}else\\s*if\\(!\\$\\{\\$\\{',
        '<title>\\s*\\[\\s*D912\\s*Browser\\s*\\]\\s*</title>',
        '\\$\\w{1,40}\\s*=\\s*explode\\s*\\(\\s*\'\\|\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*mail\\s*\\(\\s*stripslashes\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*,',
        '<\\?php\\s*\\$archive_path\\s*=\\s*\'\\./id\\.zip\';\\s*\\$extract_path\\s*=\\s*\'\\./\';',
        'eval\\(\\s*\'error_reporting\\(E_ERROR\\);\\$out',
        '\\(\\s*\\$_\\d+,\\d+\\s*,\\s*array\\s*\\("IP:\\s*{\\$_SERVER\\[_\\d+\\(\\d+\\)\\s*]\\s*}"\\s*\\)\\s*\\)\\s*;\\s*\\$GLOBALS',
        '\\A\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\Z',
        ']\\}\\)==\\d+\\s*\\)\\s*echo\\s*@serialize\\(\\$\\{\\$',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<<<EOT.{20000,60000}EOT;\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST)\\["\\w{1,10}"\\];\\s*//.+?$\\s*\\$\\w{1,40}\\s*=\\s*create_function',
        '\\$run_ioncubetesterplus\\s*=\\s*create_function',
        '@set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"[^"]{1,100}"\\);array_walk\\(\\$_POST,"[^"]{1,100}"\\);function\\s*enumerator',
        '\\#!/bin/bash\\s*while\\s*true\\s*;\\s*do\\s*\\{\\s*if\\s*\\[\\s*"\\$\\(pidof \\w{1,100}\\)"\\s*\\]\\s*then\\s*sleep\\s*60\\s*else\\s*\\.\\s*/kswd\\s*&\\s*fi\\s*\\}\\s*done',
        'return\\s*true;\\s*\\?><\\?php\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}\\){\\$\\w{1,40}="";if\\(isset\\(\\$_GET\\["v1"\\]',
        'ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*@ini_set\\(\'error_log\',NULL\\);\\s*@ini_set\\(\'log_errors\',0\\);\\s*class\\s*MCurl',
        '\\$finish_result\\s*=\\s*array_unique\\(\\$finish_result\\);\\s*foreach\\s*\\(\\$finish_result',
        'arr_php_file\\s*=\\s*findshells\\s*\\(\\s*\\$_SERVER',
        'eval\\(str_rot13\\(gzinflate\\(str_rot13\\(base64_decode\\(\\(\\$astra',
        '\\(\\s*\\$google_n=0;\\s*\\$google_n<\\d+;\\s*\\$google_n=\\$google_n\\+\\d+\\)\\s*{\\s*\\$ch\\s*=\\s*curl_init\\(\\s*\\);',
        '}\\s*echo\\s*\\w{1,40}\\s*\\(\\s*"[^"]{1,80}"\\s*\\)\\s*;\\s*sleep\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]+"\\s*,\\s*""\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*unlink\\s*\\(\\s*str_replace\\s*\\(\\s*""',
        'for\\s*\\(\\$i\\s*=\\s*2\\s*;\\s*\\(\\s*\\$i\\s*<=\\s*20\\s*\\)\\s*;\\s*\\$i\\+\\+\\)\\s*{\\s*\\$newfile\\s*=\\s*"\\$i\\.php";',
        '\\$Salesforce_Desk_1\\s*=\\s*stristr\\(\\$finish_result',
        'file_put_contents\\(\\$rfn,file_get_contents\\(\'pid\\.php',
        '=unserialize\\(string_cpt\\(base64_decode\\(\\$\\w{1,40}\\),\\$\\w{1,40}\\)\\);\\$\\w{1,40}=\\$_REQUEST',
        '<title>MINI\\s+SHELL</title>\\s*<style>',
        '\\$_POST\\["pwd"\\]="Weak\\s*Liver',
        '\\$\\w{1,40}=base64_decode\\(\\$_POST\\["z0"\\]\\);\\s*@eval\\("\\\\\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40};"\\s*\\);\\s*\\}\\s*\\}.{3000,}\\}\\}\\}else\\{\\?><form',
        'Exec_Run\\("rm\\s*-rf\\s*"\\.\\$filename\\);',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*"\\\\x.{50000,}\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]{1,20}"\\s*\\)\\s*\\)\\s*\\.\\s*"[^"]*"\\s*\\)\\s*;\\s*die\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}',
        'app->getMenu\\(\\);\\s*if\\s*\\(\\$jemenu->getActive\\(\\)\\s*==\\s*\\$jemenu->getDefault\\(\\)\\)\\s*\\{\\s*\\$rand\\s*=\\s*rand',
        '\\]\\}=mail_utf8_html_attch\\(\\$\\{\\$\\{',
        '<\\?php\\s*\\$\\w{1,40}\\s*=(?:\\s*(\\s*\'.{77}\'\\.$)){3,}',
        '<\\?php\\s*function\\s+gethttpcnt\\(\\$url\\s*,\\s*\\$timeout\\s*=',
        'stratum\\+tcp://pool\\.minexmr\\.com:',
        'x@xmr\\.crypto-pool\\.fr:80/xmr',
        '@eval\\(gzinflate\\(str_rot13\\(base64_decode\\(\\$code\\)\\)\\)\\);',
        'magicboom\\(\\$_GET\\["y"\\]\\);\\$f\\s*=\\s*\\$_GET',
        '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$\\w+\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$file\\s*=\\s*basename\\(\\s*__FILE__\\s*\\)\\s*;\\s*\\$user\\s*=\\s*\\$_POST\\[\\s*"user"\\s*\\];',
        '@move_uploaded_file\\(\\$userfile_tmp\\s*,\\s*\\$qx\\);\\s*@chmod\\s*\\(\\$qx\\s*,\\s*octdec\\(\\s*\\$mode\\s*\\)\\s*\\);',
        'public\\s+function\\s+setLinksToDbJm\\(\\)',
        'function\\s*rmhtmltag2\\(\\$tagname=\'\',\\$str=\'\'\\s*\\)\\s*{\\s*\\$rulers\\s*=\\s*\'\\#<\'\\.\\$tagname',
        'function\\s*astripslashes\\(\\$array\\)\\s*{\\s*return\\s*is_array\\(\\$array\\)\\s*\\?\\s*array_map\\(\'WSOstripslashes\'\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\)',
        '\\$_COOKIE\\[\'j_submenu\'\\]\\s*:\\s*NULL\\);\\s*\\$JSubMenu\\s*=\\s*addFilter\\(getEntries\\(_JEXEC\\), \\$action\\);\\s*if\\s*\\(\\s*isset\\(\\s*\\$JSubMenu\\s*\\)\\s*\\)',
        '\\$content\\s*=\\s*http_request\\(\\s*"http://"\\.\\$_SERVER\\[\'SERVER_NAME\'\\]\\s*\\.\\s*"/\\w+"\\);\\s*\\$content\\s*=\\s*str_replace\\(\\s*"/\\w+"\\s*,\\s*\\$uri\\s*, \\$content\\s*\\);\\s*exit\\(\\s*\\$content\\s*\\);',
        '@set_time_limit\\(\\s*0\\s*\\)\\s*;\\s*if\\(\\s*\\$lim\\s*>\\s*100\\s*\\)\\s*break\\s*;\\s*\\$d\\s*=\\s*\\$startDir\\s*\\.\\s*\\$one_dir;',
        ';return\\${\\$\\w{1,20}};}public function getRules\\(\\){if\\(\\$this->detectionType==self::DETECTION_TYPE_EXTENDED\\){return self::getMobileDetectionRulesExtended\\(\\);}',
        '<h2>Confirm\\s+Your\\s+Paypal\\s+Debit/Credit\\s+Card\\s*</h2>',
        '}\\["[^"]+"\\]}=mail_utf8_html_attch\\(\\${\\$\\w{1,20}},\\${\\${',
        '<\\?php\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'ch\'\\s*\\]\\s*\\)\\s*\\{\\s*echo\\s*"OK"\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'to\'\\s*\\]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)',
        'if\\(\\$_GET\\[\'mod\'\\]\\s*==\\s*\'X0X\'\\s*OR\\s*\\$_GET\\[\'mod\'\\]\\s*==\\s*\'00X\'\\s*\\)',
        'file_put_contents\\(\\s*\'err_class/sape\\.php',
        '\\$dl=urldecode\\(\\$_COOKIE\\[\'dl\'\\]\\);\\$cp=urldecode\\(\\$_COOKIE\\[\'cp\'\\]\\);\\$cd=urldecode\\(\\$_COOKIE\\[\'cd\'\\]\\);',
        'unzip\\("archive\\.zip"\\);\\s*@unlink\\(\'archive\\.zip\'\\);\\s*@unlink\\(\'\\w+\\.php\'\\);',
        '\\$data\\s*=\\s*file_get_contents\\(\'php://input\'\\);\\s*if\\s*\\(strlen\\(\\$data\\)\\s*<=\\s*4\\)\\s*d\\(\'e0\'\\);',
        '\\$message\\s*\\.=\\s*"CVV:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv\'\\]\\s*\\.\\s*"\\\\n";\\s*\\$message\\s*\\.=\\s*"PIN:\\s*"\\s*\\.\\s*\\$_POST\\[\'cvv0\'\\]\\s*\\.\\s*"\\\\n";',
        'rename\\s*\\(\\s*(\\$\\w{1,20})\\s*\\.\\s*"\\.php\\.suspected"\\s*,\\s*\\1\\."\\.php"\\s*\\);',
        '\\$tags=array\\("p","div","span"\\);\\$tags=\\$tags\\[rand\\(0,count\\(\\$tags\\)-1\\)];\\s*array_push\\(\\$body,"%1\\$tags%3",\\$text,"%2\\$tags%3"\\);',
        'if\\s*\\(strlen\\(strval\\(key\\(\\$_GET\\)\\)\\)\\)\\s*\\$m\\s*=\\s*\'sub_id_1=\'\\s*\\.\\s*strval\\s*\\(\\s*key\\(\\s*\\$_GET\\s*\\)\\s*\\);',
        '@file_get_contents\\("\\$chain/csbx\\.php',
        'eval\\(base64_decode\\("JGF1dGhfcGFzcyA9ICIyYTF',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*&&\\s*\\$act\\s*==\\s*\'redate\'\\s*&&\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*rdFile\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}',
        'function\\s*clear_htaccess\\(\\$file_name\\)\\s*{\\s*\\$path_htaccess\\s*=\\s*\\$_SERVER\\[\'DOCUMENT_ROOT',
        '\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*eval',
        ';\\s*\\b\\w{1,20}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*hebrevc\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);\\s*\\w{1,10}\\(\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\.\\$\\w{1,10}\\[\\d+\\]\\);',
        '<center>config\\s*root\\s*man</center>',
        '\\$GLOBALS\\[\'\\w+\']=Array\\(\\);\\s*\\?><\\?\\s*function\\s*_\\w+\\(\\$i\\){\\s*\\$a=Array\\(\\);\\s*return base64_decode\\(\\$a\\[\\$i]\\)\\s*;\\s*}\\s*preg_replace\\(\\s*"/\\.\\*/e","',
        'file_put_contents\\(\\s*\\$\\w{1,10}\\s*\\.\\s*["\']/\\w+\\.(png|gif)["\']\\s*,\\s*["\']<\\?php\\s*["\']\\s*\\.\\s*get\\(\\s*\\$\\w{1,10}\\(\\$\\w{1,10}\\)\\)\\)',
        '<\\?php\\s*eval\\s*\\("\\?>"\\s*\\.\\s*gzuncompress\\(base64_decode\\("eJysvV',
        '<\\?php\\s*function\\s+file_to_include_unknown_cms',
        '<\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*base64_decode\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*"[^"]*"\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\?php\\s*eval\\(base64_decode\\(\'IGVycm9yX3JlcG9ydGluZygw',
        '{\\s*echo\\s+"Files\\s+Extracted\\s+MbroOk',
        '\\$_F=__FILE__;\\$_X=\'P2lCPz5NY2VXKDxlbk1bVV85TTJPOU0oJzhDcjA5Qy5',
        ';\\s*symlink\\(\'/\'\\.\\$home\\.\'/\'\\.\\$user\\.\'/public_html/client\\-area/configuration\\.php\',\\$user\\.\'WHMCS\\.txt\'\\);',
        '\\$f\\s*=\\s*\\$a\\(\\s*"",\\s*\\$array_name\\(\\s*\\$string\\s*\\)\\s*\\);\\s*//\\s*MALWARE\\s*\\$f\\(\\s*\\);\\s*exit\\(\\s*\\);\\s*}\\s*\\${"',
        '\\$exploitURL\\s*=\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*\\.\\s*REDIRECTION_FOLDER\\s*\\.\\s*"[^"]*"\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;',
        '\\$ff\\s*=\\s*\\$f1\\s*\\.\\s*\\$f2\\s*\\.\\s*\\$f3;\\s*if\\s*\\(file_exists\\(\\$ff\\)\\)\\s*chmod\\s*\\(\\$ff\\s*,\\s*0777\\);',
        'PRIVATE\\s+SCAM\\s+APPLE.+?\\$bannedIP\\s*=\\s*array',
        '<title>\\|\\#\\|\\s*BW\\s*Inbox\\s*Mailer\\s*\\|\\#\\|\\s*</title>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\?><\\?php\\s*eval\\s*\\(\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        'print\\s*"Sending\\s*Mail\\s*To\\s*\\$to\\.\\.\\.\\.";\\s*flush\\(\\);\\s*\\$header\\s*=\\s*"From:\\s*\\$realnamenew',
        ':\\${\\$\\w+}=php_uname\\(preg_replace\\("/\\^-/","",\\${\\${',
        'hide\\s+-s\\s+"/usr/sbin/httpd"\\s+-d\\s+-p\\s+ax\\.pid',
        'Rez\\s+by\\s+\\[\\s+bajatax\\s+--\\s+Sniper',
        '<\\?php\\s*session_start\\(\\s*\\);\\s*\\$mail\\s*=\\s*\\$_SESSION\\[\'mail\'\\]\\s*=\\s*\\$_POST\\[\'mail\'\\];\\s*\\$pass\\s*=\\s*\\$_SESSION\\[\'pass\'\\]\\s*=\\s*\\$_POST\\[\'\\w+\'\\];\\s*\\$IP\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];',
        'Wahib\\s+Mkadmi\\s+Priv8\\s+Mail3R',
        'eval\\(gzuncompress\\(base64_decode\\(\'eNqs/fuPK9tWH47',
        'WritePayload\\(\\s*\\$local_payload_path\\s*,\\s*\\$payload_file\\s*\\);',
        ';\\$\\{\\$\\w{1,40}\\}\\s*=\\s*get_option\\(EWPT_PLUGIN_SLUG\\);echo"[^"]+"\\s*\\.\\s*esc_attr\\(\\$\\{\\$\\{"[^"]+"\\}\\s*\\["',
        'define\\(\'SHELL_PASSWORD\'\\s*,\\s*\\$hashed_password\\)\\s*;\\s*define\\(\'MAX_UP_LEVELS\',\\s*\\d+\\)\\s*;\\s*if\\(empty\\(\\$_COOKIE',
        'my\\s*@ps\\s*=\\s*-c\\s*1\\s*-x\\s*-x"\\s*,\\s*"/usr/sbin/acpid"\\s*,\\s*"/usr/sbin/cron',
        '<title>Navicat HTTP Tunnel Tester</title>',
        'stripos\\(\\$path\\s*,\\s*\'/httpdocs/\'\\s*\\)\\s*\\+\\s*strlen\\(\\s*\'/httpdocs/',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*&&\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*echo\\s*(copy|move_uploaded_file)\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>\\s*<\\s*form',
        '@system\\("killall\\s+-9\\s+"\\.basename\\("/usr/bin/host"\\)\\);',
        'if\\s*\\(\\s*!function_exists\\(\\s*\'jquery_GetAllWritableDirs\'\\s*\\)\\s*\\)\\s*{\\s*function\\s*jquery_GetAllWritableDirs\\(\\s*\\$params\\s*\\)\\s*{\\s*global\\s*\\$jquery_dr\\s*,\\s*\\$dirList',
        'webadmin\\.php</h1>',
        '\\$\\w{1,40}\\s*=\\s*fopen\\(\\s*"temp1-1\\.php"\\s*,\\s*"w"\\s*\\);\\s*fputs\\(\\$\\w+\\s*,\\s*"<\\?php',
        'function\\s*xcalendarBufferEnd\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*xcalendarWPBase::getInstance\\s*\\(\\s*\\)\\s*;',
        'if\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*octdec\\s*\\(\\s*intval\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*else\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*if\\s*\\(\\s*chmod_R\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*echo\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\}',
        'Web\\s+Shell\\s+By.+?preg_replace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;',
        '}\\s*else\\s*{\\s*syswrite\\(\\$client\\s*,\\s*"\\\\x05\\\\xFF"\\s*,\\s*2\\s*\\);\\s*}\\s*;',
        'Mister\\s+Spy\\s+&\\s+Souheyl\\s+Bypass\\s+Shell',
        '(\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*[^)]+?\\s*\\)\\s*;\\s*){4,}\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*\\$\\w+\\s*\\)\\s*,\\s*\\d+\\s*\\);\\s*\\$\\w+\\s*=\\$\\w+\\(\\s*\\$\\w+\\s*\\);\\s*\\$',
        '{keyword}\\s*</h1>\\s*</big>\\s*</h1>\\s*{manytext_bing}\\s*</div>\\s*</div>',
        '<\\s*\\?\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*AND\\s*!isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\d+\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\([^)]+\\)\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*if\\s*\\(\\s*strpos\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*!==\\s*false\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*is_mobile\\s*\\(\\s*\\)\\s*\\)\\s*exit\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}',
        '<title>v\\d+\\.0\\s*\\-\\s*Mass\\s*Mailer\\s*by\\s*Kobra-Crew',
        '<title>INDRAJITH\\s+SHELL.+filemanager_bg',
        '/\\*\\s*Turbo\\s+Force\\s+By\\s+TrYaG\\.CC\\s+\\-\\s+TrYaG\\s+AcaDemY\\s*\\*/',
        ']}\\)\\);}echo\\${\\$\\w+};exit\\(\\);function get_ip\\(\\){\\${\\${".+uniqid\\(\\)\\.uniqid\\(\\);\\${\\${',
        '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"-+\\|\\s*Full\\s*Infos',
        '<title>\\s*HOTMAIL\\s*\\(W33\\.INFO\\)\\s*</title>',
        '<\\?\\s*\\$random=rand\\(0,100000000000\\);\\s*\\$md5=md5\\("\\$random"\\);\\s*\\$base=base64_encode\\(\\$md5\\);\\s*\\$dst=md5\\("\\$base"\\);',
        '\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$browser\\s*=\\s*getenv\\s*\\(\\s*"HTTP_USER_AGENT"\\s*\\);\\s*\\$message\\s*\\.=\\s*"\\s*-+\\|\\s*CC\\s*Infos',
        '<title>\\s*Impots\\.gouv\\.fr\\s*-\\s*Accueil\\s*</title>',
        '<title>Navicat\\s*HTTP\\s*Tunnel\\s*Tester</title>',
        'Sign\\s+on\\s+to\\s+Scotia\\s+OnLine',
        '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$md5\\s*=\\s*md5\\(\\s*uniqid\\(\\s*time\\(\\s*\\)\\s*\\)\\s*\\);',
        '<\\?php\\s*function botcheck\\(\\s*\\)\\s*{\\s*\\$spiders\\s*=\\s*array\\(',
        '<\\?php\\s*require\\s*\'call\\.php\';\\s*\\$user\\s*=\\s*\\$_POST\\[\'user\'\\];\\s*\\$pass\\s*=\\s*\\$_POST\\[\'pass(word)?\'\\];',
        'function\\s*LimitDownloadSize\\(\\s*\\$resource\\s*,\\s*\\$DownloadSize\\s*,\\s*\\$Downloaded\\s*,\\s*\\$UploadSize\\s*,\\s*\\$Uploaded\\s*=\\s*null\\s*\\)',
        'my\\s*\\$fakeproc\\s*=\\s*"/usr/local/apache/bin/httpd\\s*-KKD"',
        'PlgSystemXcalendarHelper::getInstance\\(\\s*\\);',
        'function\\s*start_work\\(\\s*\\$off\\s*,\\s*\\$unto\\s*\\)',
        'touch\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\|\\|\\s*substr\\s*\\(\\s*PHP_OS\\s*,\\s*0\\s*,\\s*3\\s*\\)\\s*===\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*chmod\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*0444\\s*\\)\\s*;\\s*chmod\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*0555\\s*\\)\\s*;\\s*\\}',
        'die\\(\'ERROR-400-BAD-REQUEST\'\\);\\s*if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\)\\){\\s*if\\s*\\(isset\\(\\$_REQUEST\\[\'\\w+\']\\)\\)',
        'echo"<center>.+?</center>\\s*";\\s*echo\\s*\'uname:\'\\.php_uname',
        '<!--\\#include\\s*file="/etc/passwd"\\s*-->',
        '\\$default_action\\s*=\\s*[\'"]FilesMan[\'"];\\s*\\$default_use_ajax\\s*=\\s*true;',
        '<title>GaLers\\s+xh3LL\\s+Backd00r</title>',
        ';class\\s*Smarty3\\s*{\\s*private\\s*static\\s*\\$file_with_ip',
        'exec\\("cat /etc/passwd',
        '\\.\\s*/sss\\s*\\.\\s*pl\\s*<\\s*local_host\\s*>\\s*<\\s*local_port\\s*>\\s*\\[\\s*auth_login\\s*\\(\\s*:auth_pass\\s*\\)\\s*\\]',
        '<title>Navicat HTTP Tunnel Tester</title>',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*\\)\\s*\\$mailTo\\s*=\\s*base64_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*;.+if\\(mail\\(\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody\\s*,\\s*\\$MessageHeader\\s*\\)\\s*\\)',
        'Upload\\s*is\\s*<b>\\s*<color>\\s*WORKING',
        'Sindbad\\s*File\\s*Manager\\s*Version',
        'if\\s*\\(\\s*file_exists\\(\\s*"config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./config/settings\\.inc\\.php"\\s*\\)\\s*or\\s*\\(\\s*"\\.\\./\\.\\./config/settings\\.inc\\.php"\\s*\\)',
        '<\\?php\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*@ignore_user_abort\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\'[^\']*\'\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*base64_encode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*function\\s*\\w+\\s*\\(\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\}\\s*\\}\\s*return\\s*\\$\\w{1,40}\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*urldecode\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*.+?\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*eval\\(gzuncompress\\(base64_decode\\(\'eNp1VW1r21YU/it3JjA7mMSSLCmyyYqXOJ4zj5R4rEl2h7iWrl4aWfKk60YmjFFox',
        '\\$\\w{1,40}\\s*=\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*strrev\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*0\\s*,\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*md5\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\.\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'gzinflate\'\\s*;',
        '<title>Cardiman\\s+Asooooh',
        '\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\$\\w+\\);\\s*}\\s*elseif\\(!in_array\\([\'"]exec[\'"]\\s*,\\s*explode\\(\\s*[\'"],[\'"]\\s*,\\s*ini_get\\(\\s*[\'"]disable_functions[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*{\\s*exec\\(\\s*"wget\\s*-O\\s*-\\s*\'"\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"\'"\\s*,\\s*\\$\\w+\\);',
        '\\$headers\\s*=\\s*"From:\\s*MafioZo0',
        '\\$ADconn\\s*=\\s*new\\s*adLDAP;\\s*if\\(\\$ADconn->existingUser\\(\\$user\\[\'username\'\\]\\)\\){\\s*section\\("Active\\s*Directory",2\\);\\s*content\\(\\);',
        'makehide\\(\'action\', \'backconnect\'\\);\\s*p\\(\'<p>\'\\);\\s*p\\(\'Your IP:\'\\);\\s*makeinput\\(array\\(',
        '<title>\\w+</title><form\\s+enctype=multipart/form-data\\s+method=post><input\\s+name=\\w+\\s+type=file><input\\s+type=submit\\s+name=\\w+>\\s*<br><br><input\\s+name=path\\s+type=text\\s+value=<\\?php\\s+echo\\s+@getcwd\\(\\);\\s*\\?>/>',
        '<\\?php\\s*echo\\(\\s*htmlentities\\(\\s*\\$_GET\\[\\s*\'symlinktarget\'\\s*\\]\\s*\\)\\s*\\);\\s*\\?>\\s*</b>\\s*<br>\\s*<input\\s*type="checkbox"\\s*name="relative"\\s*value="yes"\\s*id="checkbox_relative',
        'if\\s*\\(\\s*\\$pass\\s*==\\s*\'\\w{32}\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*FALSE\\s*\\)\\s*\\{\\s*exit\\s*;\\s*\\}',
        'PhpFileAdmin.+?<a\\s*href="index\\.php\\?dir=<\\?=\\$_GET\\[\'dir\']\\?>">',
        'elseif\\s*\\(\\s*isset\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*&&\\s*!empty\\(\\s*\\$_COOKIE\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*htmlentities\\(\\s*\\(\\s*string\\s*\\)',
        'list\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)=\\s*explode\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\);',
        '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=',
        ';\\s*\\$[O0_]+="[^"]*"\\s*;\\s*\\$\\w{1,40}="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\.\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*\\.\\s*"[^"]*"\\s*;\\s*',
        'else\\s*\\{\\s*echo\\s*"indata_error"\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)',
        '<title>D\\.R\\.S\\s+Dz</title>',
        'list\\(\\$tobuf,\\$from,\\$frompwd,\\$fromname,\\$subject,\\$message\\)= split \\(\':::\',\\s*\\$conar\\);\\s*\\$toar = split\\(\'\\\\\\|\\\\\\|\',\\$tobuf\\);\\s*foreach \\(\\$toar\\s*as\\s*\\$to\\)\\s*{\\s*list\\(\\$fromlogin,\\$fromhost\\)=split\\(\'@\',\\$from\\);',
        'base64_decode(\'UHJvcGVydHkgb2YgUmV2aXNpdW0uY29t\')',
        'static\\s*public\\s*function\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*["\'][^"\']*=["\']\\s*\\)\\s*;\\s*return\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        '}\\s*if\\(\\w+::\\w+\\(\\w+\\("[a-zA-Z0=9/]+=="\\)',
        '<\\?php\\s*@\'\\$\\s*\\w+=\\d+\\s*\\w+=\\d+\\s*x3=',
        'OK\\s*COK\\s*SUKSESS',
        'fopen\\s*\\(\\s*["\'][^\'"]*["\']\\s*,\\s*[\'"][^"\']*[\'"]\\s*\\)\\s*;\\s*\\}\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*rawurldecode\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?include\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;',
        '\\$\\w{1,40}-\\s*>\\s*\\w+\\s*=@file_get_contents\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*,\\s*false\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*===\\s*false\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*[^;]+\\s*;',
        '\\{\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*1\\s*,\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\w+\\s*\\(\\s*array\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\d+\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*,\\s*1\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\.\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*\\}',
        'basename\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*"[^"]*"\\s*\\)\\s*==\\s*"[^"]*"\\s*\\)\\s*&&\\s*in_array\\s*\\(\\s*strtok\\s*\\(\\s*"[^"]*"\\s*\\)\\s*,\\s*array\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*&&\\s*\\(\\s*empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*',
        '\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"php"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*"aspx"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;',
        '<\\?php\\s*header\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*@set_time_limit\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\.\\s*0\\s*\\)\\s*;\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*\\)\\s*\\{\\s*@unlink\\s*\\(\\s*PASSWORD_FILE\\s*\\)\\s*;\\s*\\}\\s*',
        'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s+\\w+\\s*{.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,.+?MRT_ALL_TRAFFIC',
        '<\\?php\\s*//=+//\\s*//=+\\+\\+\\+Dhanush\\+\\+\\+=+//\\s*//=+//\\s*//=+\\+\\+\\+Coded\\s*By\\s*Arjun\\+\\+\\+===//\\s*//=+//\\s*//=+\\+\\+\\+An\\s*Indian\\s*Hacker\\+\\+\\+=====//\\s*//=+//\\s*//====\\s*Ashvin-2069/Oct-2012\\s*====//\\s*//\\s*Set\\s*Username\\s*&\\s*Password\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*Malware\\s*Site\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*//\\s*"[^"]*"\\s*Base64\\s*encoded\\s*"[^"]*"\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*eval\\s*\\(\\s*"[^"]*"\\s*\\.\\s*gzuncompress\\s*\\(\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>',
        '<\\?php\\s*/\\*\\s*PHP\\s*Encode\\s*by\\s*http://Www\\s*\\.\\s*PHPJiaMi\\s*\\.\\s*Com/\\s*\\*/error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*ini_set\\s*\\(\\s*"[^"]*"\\s*,\\s*0\\s*\\)\\s*;\\s*if\\s*\\(\\s*!defined\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\{\\s*define\\s*\\(\\s*\'[^\']*\'\\s*,\\s*__FILE__\\s*\\)\\s*;\\s*if\\s*\\(\\s*!function_exists\\s*\\(.+?\\?>',
        'if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*scandir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*\\(\\s*is_dir\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*AND\\s*\\(\\s*\\$\\w{1,40}\\s*!==\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{',
        'if\\s*\\(\\s*\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*[\'"][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\|\\|\\w+::\\w+\\s*\\(\\s*\\w+\\s*\\(\\s*["\'][^\'"]*["\']\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*[^(]+\\)\\s*;\\s*\\$\\w{1,40}\\s*=[\'"][^"\']*[\'"]\\s*;\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*return\\s*\\$\\w{1,40}-\\s*>\\s*\\w+\\s*\\(\\s*\\)\\s*;\\s*\\}',
        '\\{\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*==\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*time\\s*\\(\\s*\\)\\s*\\+\\s*3600\\s*\\)\\s*;',
        'require\\s*__DIR__\\s*\\.\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Clue\\\\Psocksd\\\\App\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*run\\s*\\(\\s*\\)\\s*;',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*<\\s*<\\s*<\\s*S\\s*\\#\\s*BEGIN\\s*W0RDPRESS\\s*\\#\\s*<\\s*IfModule\\s*mod_rewrite\\s*\\.\\s*c\\s*>\\s*\\#RewriteEngine\\s*On\\s*\\#RewriteBase\\s*/\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-f\\s*\\#RewriteCond\\s*%\\s*\\{\\s*REQUEST_FILENAME\\s*\\}\\s*!-d\\s*\\#RewriteRule\\s*\\.\\s*/index\\s*\\.\\s*php\\s*\\[\\s*L\\s*\\]\\s*\\#\\s*<\\s*/IfModule\\s*>\\s*\\#\\s*END\\s*WordPress',
        'if\\s*\\(\\$query\\s*===\\s*\'checker-page\'\\)\\s*{\\s*if \\(\\s*_fetch_url\\(\\s*_get_rev\\(\\s*\\)\\s*\\)\\s*>\\s*0\\)\\s*{',
        'by_rEpErOk</font>',
        '(\\$\\w{10,40}\\s*=\\s*\\d+;\\s*){10,}.+?array_push\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*count\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*>\\s*tV12hsJy_\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\d+\\s*\\)\\s*\\)\\s*array_shift\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*else\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*=\\s*microtime\\s*\\(\\s*true\\s*\\)\\s*;\\s*\\}\\s*\\}',
        'Configs\\s+Grabber\\s+By\\s+AnonCoders\\s+Team',
        'function\\s+sessionStart\\(\\$session\\)\\s*{\\s*if\\(!empty\\(\\$session\\)\\)\\s*return\\s*eval\\(\\$session\\);\\s*}',
        'if\\s*\\(\\s*me_file_put_contents\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*@chmod\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*0444\\s*\\)\\s*;\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*;\\s*\\}\\s*\\}\\s*else\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*==\\s*\'[^\']*\'\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*file_exists\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*me_file_get_contents\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}',
        'md5\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*===\\s*__PASSWORD__\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*filemtime\\s*\\(\\s*__FILE__\\s*\\)\\s*,\\s*filemtime\\s*\\(\\s*dirname\\s*\\(\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\[\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*move_uploaded_file',
        'if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*=\\s*array\\s*\\(\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*if\\s*\\(\\s*!empty\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*" AND \\#__content\\.title LIKE',
        'fp\\s*=\\s*@fsockopen\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\d+\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*@fclose\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*connect3\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']*\'\\s*\\.\\s*urlencode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*exit\\s*;',
        '\\$_SESSION\\[\'_ip_\'\\];\\s*//+\\s*\\$LOGS\\s*=\\s*"\\["\\s*\\.\\s*date\\(\\s*\'Y-m-d[^;]+;\\s*file_put_contents\\(\\s*\'[^\']+\'\\s*,\\s*\\$LOGS\\s*\\.\\s*PHP_EOL\\s*,\\s*FILE_APPEND\\s*\\);',
        'if\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\|\\|\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*print\\s*json_encode\\s*\\(\\s*selfTest\\s*\\(\\s*\\)\\s*\\)\\s*;\\s*elseif\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=="[^"]*"\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*json_decode\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*true\\s*\\)\\s*;\\s*print\\s*json_encode\\s*\\(\\s*alexusMailer\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*print\\s*json_encode\\s*\\(\\s*array\\s*\\(',
        '\\$\\w{1,40}\\s*=\\s*\\$dir\\.DIRECTORY_SEPARATOR;\\s*chmod\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\', 0644\\);\\s*\\$\\w+\\s*=\\s*fopen\\(\\$\\w+\\.DIRECTORY_SEPARATOR\\.\'index\\.php\'\\s*,\\s*"r"\\);',
        '<\\?php\\s*error_reporting\\s*\\(\\s*\\d+\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]jquery[\'"]\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]var',
        '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*\'[^\']*\'\\s*\\)\\s*;',
        '\\*/\\s*(\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}\\$\\w+\\s*=\\s*"(\\\\\\d+){3,}";\\s*((\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*){3,}|/\\*)',
        '\\$\\w{1,40}\\s*=\\s*explode\\(\\s*\'\\|\',(\\s*base64_decode\\(){3,}\\s*\\$\\w+\\s*(\\)\\s*)+;',
        '\\$\\w{1,40}\\s*=\\s*new\\s*PclZip\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}-\\s*>\\s*extract\\s*\\(\\s*\\)\\s*==\\s*\\d+\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}-\\s*>\\s*errorInfo\\s*\\(\\s*true\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*die\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\}\\s*\\?>',
        '<\\s*title\\s*>\\s*<\\s*\\?\\s*=\\$Z118_title\\s*\\.\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*\\?><\\s*/title\\s*>',
        'wget\\s+https?://[^/]+/xmrig_lin64\\s+-o\\s+/tmp/',
        'echo\\s+"Uploader\\s+By\\s+Psyco',
        '<\\?php\\s+//\\s+HacKerD\\s+By\\s+aDriv4',
        'register_shutdown_function\\(array\\(\'\\w+\',\'\\w+\'\\)\\);\\$\\w{1,40}=\\$\\w{1,40}\\?;\\}if\\(!file_exists\\(\\$\\w{1,40}\\?\\)\\)\\{@assert\\(str_replace',
        '<title>Mister\\s+Spy</title>',
        'LOGIN\'\\s*=>\\s*\\$_POST\\[\'login\'\\]\\s*,\\s*\'ACTIVE\'\\s*=>\\s*\'Y\',\\s*\'GROUP_ID\'\\s*=>\\s*array\\([^)]+\\),\\s*\'PASSWORD\'\\s*=>\\s*\\$_POST\\[\'pwd1\'\\],',
        'bad_list\\.txt"\\s*,\\s*"a"\\s*\\);\\s*fwrite\\(\\$\\w+,\\s*\\$check\\."\\\\n"\\);\\s*\\$\\w+\\s*=\\s*fopen\\s*\\(\\s*"good_list\\.txt',
        '(\\$func\\d\\s*=\\s*strrev\\(str_replace\\(\'[^\']+\',\'\',\'[^\']+\'\\)\\);\\s*){3,}',
        'user\\.\'/etc/\'\\.\\$t\\.\'/shadow\',\'ab',
        '\\$htaccess\\s*=\\s*"https://pastebin\\.com/raw/\\w+";\\s*\\$file\\s*=\\s*file_get_contents\\(\\$htaccess',
        '<br>\\[\\+\\]\\s*Uname:\'\\.php_uname\\(\\)',
        'urltoredirect\\s*=\\s*\\$new_request->request\\("http://"\\s*\\.\\s*\\$servurl\\s*\\.\\s*"\\?clientid="\\.urlencode\\(\\$clientid\\)\\."&ineednewurltoredirect',
        '\\$cachetime\\s*=\\s*\\d+;\\s*if\\s*\\(\\(file_exists\\(\\$target\\)\\)\\s*&&\\s*\\(time\\(\\)\\s*-\\s*\\$cachetime\\)\\s*>\\s*filemtime\\(\\$target\\)\\)\\s*\\{\\s*\\$string\\s*=\\s*file_get_contents',
        '\\$engines\\)\\s*\\{\\s*if\\s*\\(preg_match\\(\\s*"/\\$engines/"\\s*,\\s*\\$_SERVER\\[\\s*\'HTTP_USER_AGENT\'\\s*\\]\\s*\\)\\s*\\)\\s*echo\\s*file_get_contents\\(\\$target',
        'if\\s*\\(\\s*is_bitch\\(\\s*\\$_SERVER',
        'SCAM\\s+PAYPAL\\s+V.{10,100}SHADOW\\s+Z118',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*chr\\(.{400,600};include\\(\\$\\w{1,40}\\);\\$\\w{1,40}\\(\\$\\w{1,40}\\);\\s*\\Z',
        '<\\?php\\s*echo\\s*\'RxR\\s+HaCkEr',
        '\\$file\\s*=\\s*\\$exec_path\\.\\$drop_name;\\s*drop_file\\(\\$file\\s*,\\s*\\$\\w{1,40}\\);\\s*\\}\\s*@chmod\\(\\$file\\s*,\\s*0777\\);',
        'file_put_contents\\(\\$path\\s*,\\s*\\$this->get_backdoor_code',
        '<\\?php\\s*\\$auth_pass=\'.{32}\';preg_replace\\("/\\.\\*/',
        'ccc=str_rot13\\(gzinflate\\(base64_decode\\(\\$code_',
        'HacKerD By aDriv4',
        'error_reporting\\(0\\);\\$c_=\'[^\']+\';\\$c0=\'[^\']+\';\\$c1=\'[^\']+\';\\$c2=\'',
        'if\\(\\$_POST\\[\'success\'\\]\\s*==\\s*\\$msg\\[\'delScript\'\\]\\)\\s*@unlink\\(__FILE__\\);\\s*LocalRedirect',
        'else{file_put_contents\\(\\$c9\\.\'/\\.htaccess\',file_get_contents',
        '<TITLE>Backdoor shell',
        'sh\\s+-c\\s+\\./cnrig\\s+-a\\s+cryptonight\\s+-o',
        '<\\?php\\s*\\$[O0_]{1,40}=\'[^\']+\';\\s*\\$[O0_]{1,40}=\\d+;\\s*\\$[O0_]{1,40}=\'index\\.php.{30000,}range\\(1,\\$p\\);\\s*\\}\\s*\\$numbers\\s*=\\s*range\\(1,\\$p\\);\\s*shuffle\\(\\$numbers\\);\\s*return\\s*array_slice\\(\\$numbers,0,\\$n\\);\\s*\\}\\s*\\?>',
        '\\Amy \\$\\w{1,40};\\$\\w{1,40}.=\\$_\\s*while\\(<DATA>\\);\\s*eval\\(unpack\\(\'u\\*\'\\s*,\\s*\\$\\w{1,40}\\)\\);\\s*__DATA__',
        'port_c="I2luY2x1ZGUgPHN0ZGlvLm',
        'HTTP_HOST"\\)\\.\' - FaTaL Shell',
        '\\A<\\?php\\s+\\$\\w{1,40}\\s*=\\s*\\d+;\\s*function\\s*\\w{1,40}\\(\\$\\w{1,40}, \\$\\w{1,40}\\)\\{\\$\\w{1,40}\\s*=\\s*\'\';.{2000,4000};echo/\\*[^*]{1,100}\\*/\\(\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\)\\s*;\\s*\\?>',
        '<title>ex0shell',
        'function\\s+DxFiles_UploadHere',
        'feshow="shell_exec"',
        '<title>Dive\\s+Shell',
        'made_by="Bl0od3r";',
        '<center>\\.:Cyber Shell',
        'array\\("find all suid files',
        ':: 3FEShell',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*include\\s*\'antibots\\.php\';\\s*\\$message\\s*\\.=\\s*"--',
        '<\\?\\s*\\$adddate=date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\("REMOTE_ADDR"\\);\\s*\\$country\\s*=\\s*visitor_country\\(\\);',
        '\\$login\\s*=\\s*\\$_SESSION\\[\'clientemail\'\\];\\s*\\$passwd\\s*=\\s*\\$_POST\\[\'passwd\'\\];\\s*\\$own\\s*=',
        '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*\\$\\w{1,40}\\s*=\\s*str_ireplace\\s*\\(\\s*"[^"]*"\\s*,\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=.{3000,30000}\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*user_error\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*E_USER_ERROR\\s*\\)\\s*;',
        '<option value="cat /etc/passwd">',
        'mailto:\'>P0Uy@_\\$3r\\/3R',
        'mydir->close\\(\\);\\s*@chmod\\("\\$deldir",0777\\);\\s*echo\\s+@rmdir\\(\\$deldir\\)',
        '<b>\\.::\\[Shell functions\\]::\\.</b>',
        'create_symlink\':\\s*if\\s*\\(!empty\\(\\$_POST\\[\'destination\'\\]\\)\\)\\s*\\{\\s*\\$dest\\s*=\\s*relative2absolute\\(\\$_POST',
        '\\$file\\s*=\\s*"N-Cool-\\$date\\.sql\\.gz";\\s*\\$gzip\\s*=\\s*TRUE;\\s*\\$silent\\s*=\\s*TRUE;',
        '\\$s_pass\\s*=\\s*"\\w{32}";\\s*//\\s*password\\s*\\(.{1,100}\\)\\s*eval\\("\\?>"\\.gzinflate\\(base64_decode\\(',
        '@eval\\(gzinflate\\(base64_decode\\(\\$code\\)\\)\\);\\s*\\?>\\Z',
        '<head>\\s*<title>azrail\\s+1\\.',
        'fold in folder\\.SubFolders \'-->FOLDERz',
        '\\.Visible=true;\\s*Bin_H2_Title\\.InnerText="File Manager',
        'HTTP_HOST"\\)\\.\'\\s*-\\s*Antichat\\s*Shell</title>',
        'case\\s*\'exesys\':\\s*\\$content\\s*\\.=\\s*\\$shell->exesysform\\(\\);',
        'elseif\\(strtolower\\(\\$cmd\\)\\s*==\\s*"etcpasswdfile"\\)\\s*\\{\\s*\\$pw\\s*=\\s*file\\(\'/etc/passwd/\'\\);',
        'curl_setopt\\(\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*"file:file:///',
        'fm_redirect\\(\\s*FM_SELF_URL\\s*\\.\\s*\'\\?p=\'\\s*\\.\\s*urlencode\\(FM_PATH\\)\\s*\\);',
        'RxR\\s+HaCkEr\\s*<\\?\\s*\\$cwd',
        '<\\?php\\s*if\\(\\s*\\$_GET\\["\\w{1,40}"\\]\\s*==\\s*"\\w{1,40}"\\s*\\)\\s*\\{\\s*if\\(\\s*@copy\\(\\$_FILES\\[\'file\'\\].{1,400}</form>\'\\s*;\\s*\\}\\s*\\?>\\Z',
        'div\\s+id="content"><textarea\\s+rows="20%"\\s+cols="50%">\\\\\'\\.\\$[O0_]{5,20}\\.\\\\\'</textarea',
        ';set_time_limit\\(0\\);array_walk\\(\\$_COOKIE,"enumerator"\\);array_walk\\(\\$_POST,"enumerator"\\);function enumerator\\(\\$value,\\$key\\)\\{\\$\\{',
        ',CURLOPT_USERAGENT,\\\'WHR\\\'\\);\\$\\{',
        'putincache\\(\\$urlhash\\."::::"\\.codedata',
        ';\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\w{1,40};',
        '\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\(\\s*null\\s*\\.\\s*\\$\\w{1,40}\\s*\\(',
        'function check_commands\\s*\\(\\)\\s*\\{\\s*if\\s*\\(\\s*array_key_exists\\s*\\(\\s*\'delete\'\\s*,\\s*\\$_REQUEST\\s*\\)\\s*\\)\\s*\\{\\s*unlink\\(\\s*__FILE__\\s*\\);',
        '\\A<\\?php\\s*\\$\\w{1,40}="[^"]{30000,}";eval\\(base64_decode\\("[^"]+"\\)\\);return;\\s*\\?>\\Z',
        '<title>W3LL\\s+M!N!\\s+SH3LL</title>',
        '<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*/\\s*>\\s*<\\s*title\\s*>\\s*\\#[a-z]+\\#\\s*<\\s*/title\\s*>\\s*<\\s*meta\\s*name\\s*="keywords"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>\\s*<\\s*meta\\s*name\\s*="description"\\s*content\\s*="\\#[a-z]+\\#"\\s*/\\s*>',
        'chdir\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*get_rand_touch\\s*\\(\\s*\\)\\s*;\\s*writeTo\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*false\\s*\\)\\s*;\\s*touch\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*"wp-config\\.php"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*file_put_contents\\(',
        '<\\?php\\s/\\*\\s*--\\s*enphp.+}\\{\\d+\\}\\(E_ALL\\^E_NOTICE\\);\\$_SERVER{',
        'global\\s*\\$\\w{1,40}\\s*;\\s*if\\s*\\(\\s*!isset\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\$\\w{1,40}\\s*=\\s*new\\s*dolly_plugin\\s*\\(\\s*\\)\\s*;',
        'echo\\s+mail\\(\\$to,\\$them,\\$mss,\\$head\\)\\?_\\d+\\(\\d+\\):_\\d+\\(\\d+\\)',
        '}\\s*=\\s*@unserialize\\(\\s*sh_decrypt\\(\\s*@base64_decode\\(\\s*\\${\\s*\\$\\w+\\s*}\\)\\s*,\\s*\\${\\s*\\${\\s*"[^"]+"\\s*}',
        'if\\s*\\(\\s*!class_exists\\s*\\(\\s*\'[^\']*\'\\s*,\\s*false\\s*\\)\\s*\\)\\s*:\\s*class\\s*bb_pres\\d+\\s*\\{\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*public\\s*static\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;.+data:text/javascript;base64',
        '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*[^;]+;\\s*\\$\\w+\\[chr\\(\\s*\\d+\\s*\\)\\s*]\\(bd\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);\\s*\\$\\w+\\[\\s*chr\\(\\s*\\d+\\s*\\)\\s*\\]\\(\\s*\\w+\\(\\s*[\'"][^\'"]+[\'"]\\s*\\)\\s*\\);',
        'class\\s+bb_press2.+?const\\s*SCRIPT_SRC\\s*=\\s*\'data:text/javascript;base64,',
        '<\\?(php)?\\s*\\$auth_pass\\s*=\\s*"[^"]*";\\s*\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\([\'"]',
        '\\#!/usr/bin/perl\\s+-w\\s*my\\s+\\$Password="\\w+";\\s*\\$\\w+\\s*=\\s*[\'"](\\d+;)',
        '<title>(cPanel\\s+)?Turbo\\s+Force',
        '\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*@chdir\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*@?getcwd\\s*\\(\\s*\\)\\s*;',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Check\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*===\\s*true\\s*\\)\\s*\\{\\s*Send\\s*\\(\\s*\\)\\s*;\\s*exit\\s*;\\s*',
        '\\$\\w{1,40}\\s*="[^"]*"\\s*;\\s*echo\\s*\\$\\w{1,40}\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*"[^"]*"\\s*\\]\\s*\\)\\s*',
        '\\$GLOBALS\\[\'Alfa_Protect_Shell\'\\]',
        '<\\?php\\s*/\\*\\s*WSO\\s*\\[\\s*2\\s*\\.\\s*\\d+\\s*\\]',
        '\\$\\w{1,20}\\s*=\\s*\\$\\w{1,20}\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\s*\\[\\s*\\$\\w{1,20}\\s*\\]\\s*\\)\\s*;\\s*@?eval\\s*\\(\\s*\\$\\w{1,20}\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{',
        'preg_split\\("//",\\$\\w+,-1,PREG_SPLIT_NO_EMPTY\\);\\$\\w+=implode\\("",array_reverse\\(\\$\\w+\\)\\);};\\$\\w+=__FILE__;',
        '\\.(\\$\\w{1,10}\\(){6,}["\'](\\\\x[A-Fa-f0-9]{2}){10,1100}["\']\\)',
        '\\$code\\s*=\\s*\'\\s*<\\?php\\s*\\$user_agent_to_filter = array\\( \\\\\'\\#Ask\\\\s\\*Jeeves',
        '<\\?php\\s*\\$\\w+\\s*=\\s*[\'"]\\w{32}[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]\\#df5[\'"];\\s*\\$\\w+\\s*=\\s*[\'"]FilesMan[\'"];',
        'chr\\(\\d+\\)[^/]+?@\\$\\w{1,30}\\(\\s*@\\$\\w{1,30}\\(\\s*[\'"][^\\)]{1000,}\\)\\)\\)?;',
        '\\$wpautop\\s*=\\s*pre_term_name\\(\\s*\\$wp_kses_data\\s*,\\s*\\$wp_nonce\\s*\\);.*\\$shortcode_unautop\\(\\);',
        'function arr2html\\(\\$array,\\s*&\\$arr\\s*=\\s*\'\\s*\',\\$ztabhtml=\'\',\\$zheaderarray=\'\'\\)\\s*{\\s*\\$array\\s*=\\s*"as"\\s*\\.\\s*\\$_REQUEST\\[\'array\'\\];\\s*\\$sort\\s*=\\s*array\\(\\$_REQUEST\\[\'sort\'\\]\\);',
        '(\\$\\w{1,40}\\s*=\\s*\'[^\']{1,200}\';\\s*){10,}\\$\\w{1,40}=str_replace\\(\'[^\']{1,50}\',\'\',(\\$\\w{1,40}[\\s\\.\\)]+){10,};',
        '";\\s*eval\\s*/\\*[^*]+\\*/\\s*\\(\\w{1,30}\\s*\\(\\s*\\$\\w{1,30}\\s*,\\s*\\$\\w{1,30}\\s*\\)\\s*\\);\\s*\\?>',
        '\\$\\w{1,30}\\s*=\\s*str_ireplace\\(\\s*"\\w{1,30}"\\s*,\\s*""\\s*,\\s*"[^"]+"\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*"[^"]+"\\s*;\\s*function\\s+\\w{1,30}\\(\\s*\\$errno\\s*,\\s*\\$errstr\\s*,\\s*\\$errfile\\s*,\\s*\\$errline\\s*\\)\\s*{\\s*array_map\\(\\s*create_function\\s*\\(\\s*\'\'\\s*,\\s*\\$errstr\\)\\s*,\\s*array\\s*\\(\\s*\'\'\\s*\\)\\s*\\);\\s*}\\s*set_error_handler\\(\\s*\'\\w{1,30}\'\\s*\\);\\s*\\$\\w{1,30}\\s*=\\s*\\$\\w{1,30}\\(\\s*\\$\\w{1,30}\\s*\\)\\s*;\\s*(user|trigger)_error\\(\\s*\\$\\w{1,30}\\s*,\\s*E_USER_ERROR\\s*\\);',
        'case\\s*["\']update["\']\\s*:\\s*if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s* base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*[\'"]OK[\'"];',
        '\\$\\w{1,40}\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\);\\s*/\\*\\s*GNU\\s+GENERAL\\s+PUBLIC\\s+LICENSE',
        'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*}\\s*\\?>\\s*<title>BOOM</title>',
        'if\\(mail\\(\\$_POST\\[\'email\'\\], \\$_POST\\[\'subject\'\\], \\$_POST\\[\'content\'\\], \\$headers\\)\\) {\\s*echo "Bravo!";\\s*}\\s*else\\s*{\\s*echo "Failed to send email\\.";\\s*}',
        'mail\\(\\$_POST\\[\'email\'\\]\\s*,\\s*\\$_POST\\[\'subject\'\\]\\s*,\\s*\\$_POST\\[\'content\'\\]\\s*,\\s*\\$headers\\);\\s*echo "Bravo!";\\s*}\\s*\\?>\\s*<title>BOOM</title>',
        '\\$leaf\\[\'version\'\\]="2\\.7";\\s*\\$leaf\\[\'website\'\\]="leafmailer\\.pw";',
        'if\\(PLATFORM\\s*==\\s*WORDPRESS\\)\\s*{\\s*if\\(strpos\\(\\$file\\s*,\\s*\'wp-content\'\\)\\s*===\\s*false\\s*&&\\s*strpos\\(\\$file\\s*,\\s*\'wp-admin\'\\)',
        '\\$GLOBALS\\[\'_\\d+_\'\\]=Array\\(base64_decode\\(.+?\\[-\\] SOCKET ERROR\\[fsock\\]: {\\$_\\d+\\[path\\]} \\[\\{\\$_\\d+\\}\\] {\\$_\\d+}";}\\$_\\d+=FALSE;}}if\\(\\$_\\d+===FALSE\\){if\\(\\$_\\d+\\){print _\\d+\\(\\d+\\);}\\$_\\d+=FALSE;}return \\$_\\d+;}',
        '\\$req_uri\\s*=\\s*\'http://\'\\.\\$req_uri\\."\\?req="\\.urlencode\\(\\$full_uri\\)\\."&gzip="\\.\\$is_gzip\\."&host=\\$host&ip=\\$ip&rip=\\$reverse_ip&ua=\\$ua&ref=\\$ref";',
        '<title>PHP-FILES\\.ME</title>',
        '\\$\\w{1,40}=gzinflate\\(base64_decode\\(\\$\\w+\\)\\);\\s*for\\(\\$i=0;\\$i<strlen\\(\\$\\w+\\);\\$i\\+\\+\\)\\s*{\\s*\\$\\w+\\[\\$i\\]\\s*=\\s*chr\\(\\s*ord\\(\\$\\w+\\[\\$i]\\)\\s*-1\\s*\\);\\s*}\\s*return\\s*\\$\\w+;\\s*}\\s*eval\\(\\w+\\(',
        'path_throwgh_files.+burlywood',
        '\\$strFileBody=GetFileContent\\(\\$strUrl\\);\\s*\\$strFileBody=str_replace',
        'checksuexec\\s+"\\.escapeshellarg\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\.\\$_SERVER\\[\'REQUEST_URI\'\\]',
        '\\$auth_pass\\s*=.+;eval\\("\\\\x65',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(GET|POST|REQUEST|COOIE|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s+"file test okay";\\s*}\\s*\\$\\w{1,10}="\\w+";\\s*\\$\\w{1,10}=\'\\w+\';\\s*\\$\\w{1,10}="\\w+";',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|REQUEST|SERVER)\\[\\s*"test_url"\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*echo\\s*"[^"]+";\\s*}.+PCLZIP_READ_BLOCK_SIZE',
        'function\\s*refercheck\\(\\$refer\\s*=\\s*""\\)\\s*{\\s*return\\s*preg_match\\("/\\(google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing\\)/si", \\$refer\\);\\s*}',
        'function\\s+WSOstripslashes\\(\\$array\\)\\s*{\\s*return is_array\\(\\$array\\)\\s*\\?\\s*array_map\\([\'"]WSOstripslashes[\'"]\\s*,\\s*\\$array\\)\\s*:\\s*stripslashes\\(\\$array\\);\\s*}\\s*\\$_POST\\s*=\\s*WSOstripslashes\\(\\$_POST\\);\\s*\\$_COOKIE\\s*=\\s*WSOstripslashes\\(\\$_COOKIE\\);',
        ';\\s*\\$default_use_ajax\\s*=\\s*false;\\s*\\$default_charset\\s*=.+print\\s*eval\\(',
        'function\\s+pushUploaders\\(\\)\\s*{\\s*global\\s*\\$uploaderStatusHandle;\\s*\\$data\\s*=\\s*readFileOpt\\(CACHE_UPLOADER_DB\\);',
        '<h1>"\\.ucfirst\\(\\$key\\)\\."</h1><br>\\s*<br>"\\.\\$templateimage\\."<br><br>\\s*"\\.\\$mapinpages\\."\\s*"\\.\\$pageparse\\."<br>\\s*"\\.\\$links1\\."',
        'function\\s+evalEndClean\\(&\\s*\\$p\\) {\\s*\\$t = gzuncompress\\(base64_decode\\(\\$p\\)\\);\\s*\\$t = str_replace\\(array\\("<\\?php",\'\\?>\'\\),\'\',\\$t\\);\\s*eval\\(\\$t\\);\\s*unset\\(\\$p\\);unset\\(\\$t\\);',
        '//\\w{3,20}\\s*function\\s+request_url_data\\(\\$url\\)\\s*{\\s*\\$site_url\\s*=.+?print\\s+\\$decoded;\\s*}\\s*}//\\w{3,20}',
        ']}=Array\\("\\w+"=>@phpversion\\(\\),"\\\\x\\d+\\\\x\\d+"=>"\\\\x\\d+\\.\\\\x\\d+-1",\\);echo\\s*@serialize\\(\\${\\$\\w+\\}\\);}elseif\\(\\${\\${',
        'function\\s+__get_template\\(\\)\\s*{\\s*\\$root_path\\s*=\\s*__get_root\\(\\);\\s*\\$tpl_path\\s*=\\s*\\$root_path\\."/SESS_\\w{32}',
        '\\$map_index_sitemap_uri\\s*=\\s*sprintf\\(\'%s%ssitemap_%d\\.xml\'\\s*,\\s*\\$currentUrl\\s*,\\s*"\\$dir/"\\s*,\\s*\\$sini\\);\\s*\\$map_sitemap_genuri_href\\s*=\\s*sprintf\\(\\s*\\$map_sitemap_genuri_link_format\\s*,\\s*\\$currentUrl',
        'if\\s*\\(file_exists\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*\\)\\s*\\)\\s*rename\\(\\s*"(\\.\\./)+\\w+\\.php\\.suspected"\\s*,\\s*"(\\.\\./)+\\w+\\.php"\\s*\\);',
        'function\\s*is_from_search\\(\\$http_referer\\)\\s*{\\s*\\$flag\\s*=\\s*false;\\s*\\$http_referer_str\\s*=\\s*\'google\\.co\\.jp\\|yahoo\\.co\\.jp\\|bing',
        '__create_initial_settings[^\\#]+\\#google.+?__obfuscate_write',
        ';eurt\\s*=\\s*xaja_esu_tluafed\\$',
        '\\$\\w{1,40}\\s*=\\s*"\\w+";\\s*\\$\\w+\\s*\\s*\\.=\\s*"\\w+";\\s*@\\$\\w+\\(\\$\\w+\\(\\\'[a-zA-Z0-9/=+]{100,200}',
        '<\\?php\\s*if\\s*\\(isset\\s*\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{\\s*\\$\\w+="Fil.+?\\s*\\$default_use_ajax\\s*=\\s*true',
        'proftpd.+?eval\\(\\$_[GET|POST|COOKIE|REQUEST|SERVER]+\\[[\'"]\\w+[\'"]\\]\\)',
        'FakeSender\\s*by\\s*POCT',
        '\\$\\w{1,40}=\'[^\']+\'\\^\'[^\']+\';\\s*\\$\\w+=\'[^\']+\';\\s*(\\$\\w+=\'[^\']+\'|\\$\\w+=\\d+);',
        '\\$\\w{1,40}=@gzinflate\\(\\$\\w+\\)\\){\\$\\w+=create_function\\(\'\',\\$\\w+\\);unset\\(\\$\\w+,\\$\\w+\\);\\$\\w+\\(\\);}}',
        'if\\(\\$\\w+=@gzinflate\\(\\$\\w+\\)\\)\\{if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)@setcookie\\(\'\\w+\', \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\$\\w+=create_function',
        '}}}}if\\(\\$q=="this-is-the-test-of-door"\\){\\$page="DOORWAYISWORKTITLE',
        '<\\?php\\s*(\\$\\w+) = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\];\\s*echo (\\$\\w+) = isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'(\\w+)\'\\]\\)\\?base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\3\'\\]\\):\'\';\\s*(\\$\\w+) = \'\';\\s*foreach\\(array\\(\\1\\) as (\\$\\w+)\\){\\s*\\4\\.=\\5;\\s*}\\s*ob_start\\(\\4\\);\\s*if\\(\\2\\){\\s*echo \\2;\\s*}\\s*ob_end_flush\\(\\);',
        'if\\s*\\(isset\\(\\$_FILES\\[\'\\w+\'\\]\\[\'name\'\\]\\)\\)\\s*{\\s*\\$abod\\s*=\\s*\\$filedir\\.\\$userfile_name;\\s*@move_uploaded_file\\(\\$userfile_tmp,\\s*\\$abod\\);\\s*echo"<center><b>Done\\s*==>\\s*\\$userfile_name</b></center>";\\s*}\\s*}\\s*else{',
        '}}else{\\$\\w+=@\\$_SERVER\\[((""|chr\\(\\d+\\)|"\\w")\\.?){10,}];',
        '\\$__=hex2ascii\\(\\$_+\\);\\s*\\$.="\\$_+";\\s*\\$.=[eval\\."\'\\s]+\\(\\$.\\)\';\\s*assert\\(\\$.\\);',
        '\';\\$\\w+=str_rot13\\(\'fge_ebg13\'\\);\\$\\w+=\\$\\w+\\(\'onfr64_qrpbqr\'\\);\\$\\w+=\\$\\w+\\(\'[^\']+\'\\);eval\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)\\)\\)\\)',
        '<\\?php\\s*\\$\\w+=strrev\\("edoced_46esab"\\);\\$\\w+="[^"]+";eval\\(\\$\\w+\\(\\$\\w+\\)\\);\\s*$',
        '<\\?error_reporting\\(0\\);(\\$\\w+=(urldecode\\()?\\$_COOKIE\\[\'\\w+\'\\]\\)?;\\s*){10,}',
        '\\$\\w{1,40}\\s*=\\s*\'[assert\\\'\\.\\s]+\';\\s*\\$\\w+\\s*=\\s*sprintf\\(\'[\\!\\(\\)evalbase64_decode\\s\\.\\\']+\\("%s"\\)\\)\'\\s*,\\s*\\$\\w+\\);\\s*\\$\\w+\\(stripslashes\\(\\$\\w+\\)\\);',
        '\\$default_action=[FilesMan\'\\.]+;\\s*\\$color=[\'\\#df5\\.]+;\\s*\\$default_use_ajax=true;',
        '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\s*\\$\\w+\\(\\s*array\\(\\$\\w+\\{\\d+\\}\\s*,\\s*"\\\\n"\\s*\\),\\s*"",\\s*"[^"]+"\\s*\\)',
        '\\$\\w{1,40}\\s*=\\s*\'[\\.preg_replace\\\']+\';\\s*\\$call_user_func_array\\(\\s*\\$\\w+\\s*,\\s*array\\(\'/\\[\\w+\\]/\\w+\'\\s*,\\s*\\$_REQUEST\\["\\w+"\\]\\s*,\\s*"[^"]+"\\s*\\)\\);@\\w+\\(\\s*\\$_REQUEST\\s*\\);',
        '(/\\*[^\\*]+\\*/\\$\\w+=\'[^\']+\';){30,}',
        '\\$login="\\w+";\\s*\\$\\w+=str_rot13\\("\\w+"\\);\\s*\\$\\w+\\s*=\\s*str_rot13\\(\'\\w+\'\\);\\s*\\$\\w+="\\w{32}";\\s*eval\\(\\$mdh\\(\\$md\\(strrev\\(\'',
        'error_reporting\\(0\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*\\$\\w+\\s*=\\s*basename\\(__FILE__\\);\\s*\\$\\w+\\s*=\\s*"\\w{32}";\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\)\\s*{if\\(strlen\\(\\$\\w+\\)\\s*==\\s*32\\)',
        '<\\?php\\s*error_reporting\\(0\\);\\s*if \\(!isset\\(\\$_COOKIE\\[\'\\w+\'\\]\\)\\)\\s*deny\\(\\);\\s*\\$cookieData',
        '\\$\\w{1,40}\\s*=\\s*Array\\(\\s*(\'\\w\'\\s*=>\\s*\'\\w\'\\s*,?\\s*){26,80}\\);\\s*eval(/\\*[^\\*]{0,40}\\*)?/\\(\\s*\\w{1,40}\\(\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\)\\s*\\);',
        'assert_options\\(ASSERT_WARNING,0\\);\\s*\\$\\w+=\'[0-9a-fA-F]+\';.*?chr\\(hexdec.*?\\$\\w+=\'eval\\(\\$\\w+\\)\';\\s*assert\\(\\$\\w+\\);',
        'eval\\(stripslashes\\(array_pop\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\)\\)\\)',
        '(\\$\\w+\\d+\\{\\d+\\}\\s*\\.?\\s*){10,}.+?\\$\\w+\\s*=\\s*\\$\\w+\\(\\s*""\\s*,\\s*\\$\\w+\\(\\$\\w+\\s*\\(\\s*array\\(\\$\\w+\\d+\\{\\d+\\}\\s*,\\s*"\\\\n"\\),\\s*"",\\s*".+?\\)\\s*\\)\\s*\\);\\s*\\$\\w+\\(\\);',
        'php_uname()\\(\\)\\.\'<br></b>\';\\s*echo\\s*\'<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">\'.*?if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'_upl\'\\]\\s*==\\s*"Upload"\\s*\\)\\s*\\{\\s*if\\(\\@copy\\(\\$_FILES\\[\'file\'\\]\\[\'tmp_name\'\\],\\s*\\$_FILES\\[\'file\'\\]\\[\'name\'\\]\\)',
        'function\\s*\\w+\\(\\$\\w+,\\$\\w+,\\$\\w+\\)\\{\\$\\w+="base64_decode.*?curl_init.*?"/wp\\\\-login\\\\\\.php.*?/\\\\/administrator\\\\//".*?phpmyadmin/i".*?define\\("___NOTSELF___\',1\\);.*?include_once.*?\\*/\\}\\}\\}',
        '<\\?\\s*eval\\(gzuncompress\\(base64_decode\\(\'.{22000,25000}\'\\)\\)\\);',
        '\\$\\w{1,40}\\s*=\\s*1;\\s*\\$\\w+\\s*=\\s*get_userdata\\(\\$\\w+\\);\\s*\\$\\w+\\s*=\\s*\\$\\w+->\\w+;\\s*wp_set_current_user\\(\\$\\w+\\s*,\\s*\\$\\w+\\);\\s*wp_set_auth_cookie\\(\\$\\w+\\);\\s*do_action\\(\'wp_login\'\\s*,\\s*\\$\\w+\\);',
        ',\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(["\'].+?["\'],\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*=\\$\\w+\\s*\\(\\$\\w+\\s*,\\$\\w+\\s*\\);\\$\\w+\\s*\\(\\$\\w+\\s*\\);\\s*\\?>',
        '<font color="red">pwn pwnd owned hacked</font>',
        'error_reporting\\(round\\(\\d+\\)\\);mb_internal_encoding\\(_\\w+\\(\\d+\\)\\);mb_regex_encoding\\(_\\w+\\(\\d+\\)\\);mb_http_output\\(_\\d+\\(\\d+\\)\\);mb_http_input',
        ';\\s*eval\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\)\\);\\?>',
        '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZZH',
        'if\\s*\\(\\$upload\\s*&&\\s*\\$user\\s*&&\\s*wp_check_password\\(\\$passwd,\\s*\\$user->data->user_pass,\\s*\\$user->ID\\)\\s*&&\\s*is_super_admin',
        'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);\\s*touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*\\$time\\);\\s*chmod\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\s*0\\d+\\);\\s*eval\\(base64_decode\\(',
        'Array\\((\'.\'=>\'.\'\\s*,?\\s*)+\\);\\s*eval/(\\*\\w+\\*/)?\\(\\s*\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*\\)\\s*\\);\\s*\\?>\\s*$',
        '<title>Pro\\s*Mailer\\s*V2</title>',
        '\\$fullurl\\s*=\\s*""\\s*\\.\\s*\\$\\w+\\s*\\.\\s*"<br><p>Emails:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$\\w+\\s*.\\s*"</TEXTAREA></p><p>Engenharia:<br><TEXTAREA.*?>"\\s*\\.\\s*\\$mensagem\\[\\d+\\]."</TEXTAREA>',
        '<title>Hacked by NG689Skw</title><center>',
        '\\$result\\s*=\\s*dns_get_record\\(\\s*\\$domain\\s*\\.\\s*"\\.multi\\.uribl\\.com"\\);',
        '\';@\\$\\w+\\([eval\\."]+\\(\'(\\\\x[a-fA-F0-9]{2}){10,1100}\'\\);"\\);\\s*$',
        'if\\(smtp_mail\\(\\$email,\\s*\\$subject,\\s*\\$message,\\s*\\$Header,\\s*\\$from_email\\)\\)\\s*{\\s*echo\\s*"good";\\s*}\\s*else\\s*{\\s*echo\\s*"Some error occured";\\s*}\\s*\\?>',
        '(mail\\((\\$\\w+,\\s*\\$\\w+,\\s*\\$\\w+(,\\s*\\$header)?\\))|(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\));(\\s*})?)\\s*if\\(\\$\\w+\\)\\s*{\\s*echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*(echo)?\\s*\'\\w+\\s*:\\s*\'',
        '<\\?php\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\);\\s*\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$\\w+\\){echo\\s*(trim\\()?\'\\w+\'\\)?;}\\s*else\\s*{echo\\s*\'\\w+\\s*:\\s*\'\\.\\$\\w+;}',
        '\\$\\w{1,40}\\s*=\\s*\\$\\w+\\(\'[^\']+\'\\);\\s*\\$\\w+=\\$\\w+\\(\\$\\w+\\(\\)\\);\\$\\w+\\(\\);\\s*\\$\\w+\\(\\$\\w+,"\\$\\w+\\(',
        '@move_uploaded_file.+?echo"<center><b>Done ==> \\$userfile_name</b></center>',
        'if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\)\\)\\s*\\$to = \\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\];\\s*else\\s*{\\s*echo "404 error";\\s*exit;\\s*}\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{',
        'if \\(!empty \\(\\$hostname\\) \\) {\\s*\\$output = "";\\s*@exec \\("nslookup\\.exe -type=MX \\$hostname\\.", \\$output\\);\\s*\\$imx=-1;',
        '<?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["\\w+"\\]\\);\\s*){3,}\\$result\\s+=\\s+mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){echo \'thank you\';}',
        '\\$result\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if\\(\\$result\\){\\s*echo\\s*\'\\w+\';\\s*}else{\\s*echo\\s*\'\\w+\\s*:\\s*\'\\s*\\.\\s*\\$result;\\s*}',
        '\\$message\\s*=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["body"\\]\\);\\s*set_time_limit\\s*\\(\\d+\\);\\s*@ignore_user_abort\\s*\\(true\\);\\s*\\$to_ar = explode\\(\',\',\\s*\\$to\\);',
        'if\\(\\$vas\\){echo\\s*\'lessloss\';}else{echo\\s*\'cramdam\\s*:\\s*\'.\\$v',
        'else\\s*{\\s*\\$result\\s*=\\s*mail\\(stripslashes\\(\\$to\\)\\s*,\\s*stripslashes\\(\\$subject\\)\\s*,\\s*stripslashes\\(\\$message\\)\\);\\s*}\\s*if\\(\\$result\\){echo\\s*\'good\';}else{echo\\s*\'error\\s*:\\s*\'\\.\\$result;}',
        '<\\?php\\s+mb_http_input\\("iso-8859-1"\\);.*?B L E S S E D S I N N E R .*?<\\/DIV>.+<\\/div>.+?<\\/form>',
        'echo "<html><head>.*?Safe mode:</span>.*?\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\\'\\w+\\\'\\]\\s*===\\s*\\\'uploadFile\\\'\\).*?echo \\"</body><\\/html>\\";',
        '//PING.*?sav.php\\?p=\\w+&url=.*?\\@ob_start\\(\\\'obCacheStart\\\'\\);',
        '\\$GLOBALS\\[\'\\w+\'\\]=Array\\((base64_decode\\((\\\'[A-Za-z0-9\\/\\=]*\\\'\\s*\\.*)+\\)\\,*)+.*?\\[\\d+\\]\\(\\$_\\w+\\),\\$GLOBALS\\[\'\\w+\'\\]\\[\\d+\\]\\(\\$\\w+\\)\\);}\\s*\\?>',
        'class PluginJoomla.+\\$\\w+\\s*=\\s*@?\\$_COOKIE\\[\\\'\\w+\\\'\\]\\;\\s*.*\\$\\w+\\s*=\\$\\w+\\(@?\\$_COOKIE\\[\\\'\\w+\\\']\\)\\;.+\\$\\w+\\s*=\\s*new\\s*PluginJoomla;',
        '\\$mcdata=array\\(\\);\\$mcdata\\[0\\]=base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\);array_filter\\(\\$mcdata, base64_decode\\(\'[.a-zA-Z0-9_/=]+\'\\)\\);\\?>',
        'file_put_contents\\(\'\\w+\',\'<\\?php \'\\.\\$m\\);include\\(\'\\w+\'\\);\\s*$',
        '<\\?php\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\w+\\]\\)\\)\\s*{\\$\\w+="[^"]{2000,}";',
        '\\.(chr\\(\\d+\\)\\."[a-zA-Z0-9/\\\\ ]*?"\\.){5,}',
        'if\\s*\\(isset\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\)\\)\\s*{\\s*eval\\(\\${\\$s\\d+}\\[\'\\w+\'\\]\\);\\s*}\\s*}elseif\\(isset',
        'if \\(\\$whattime\\s*==\\s*"goodtime" \\|\\|\\s*empty\\(\\$settings\\)\\) {',
        '<title>Bypass\\s*shell</title>',
        'if \\(md5\\(\\$_COOKIE\\[\'i\'\\]\\) == \'.{32}\'\\)\\s*{\\s*function file_download\\(\\$filename, \\$mimetype=\'application/octet-stream\'\\) {',
        '<\\?php if\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["ms\\-load"\\]\\)==".{32}"\\){\\s*\\$p=\\$_SERVER\\["DOCUMENT_ROOT"\\];',
        '\\$a\\s*=\\s*[\\.\\sbase64decode_"]+;\\s*assert\\(\\$a\\(',
        '\\$GLOBALS\\[\'\\w+\'\\]\\(\\$\\w+\\[(\\$\\w\\d+\\[\\d+\\]\\.)+\\$\\w\\d+\\[\\d+\\]\\]\\);\\s*\\$\\w+\\+\\+\\)\\s*{\\s*\\$\\w+\\s*=\\s*array\\(\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*\\$\\w+,\\s*(\\$\\w\\d+\\[\\d+\\]\\.?)+\\s*=>\\s*"",',
        '<\\?php\\s*if\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\){echo\\s*\'\\w+\';\\s*}\\s*else\\s*{\\s*\\(\\s*\\$www=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\s*&&\\s*@preg_replace\\(\\s*\'/ad/e\'\\s*,\\s*\'@\'\\s*\\.\\s*str_rot13\\(\\s*\'riny\'\\s*\\)\\s*\\.\\s*\'\\(\\s*\\$www\\s*\\)\'\\s*,\\s*\'add\'\\s*\\);\\s*}\\s*$',
        '"User-Agent:\\s*\\$template"\\s*\\."\\|\\$pathToDor"\\s*\\."\\|\\$pathOnMyHost"',
        '<\\?php\\s*\\$\\w+=([.]?chr\\(\\d+\\)[.;])+\\s*eval\\(\\$\\w+\\(\\$_REQUEST\\[\\w+\\]\\)\\);\\s*$',
        '}elseif\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'eval\'\\]\\){\\s*\\$qV\\s*=\\s*"stop_";',
        '\\$\\w{1,40}\\.=\\$\\w+\\(\\$\\w+\\(\\$\\w+\\)&0xFF\\);}eval\\(\\$\\w+\\);exit\\(\\);\\s*$',
        '(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}\\$\\w+ = "base64_decode";(\\$\\w+ = (\\d+|"\\w+"|""|true|false);){5}',
        '}exit;if\\(\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\),_\\d+\\(\\d+\\)\\)!==false\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$_\\d+,\\$_\\d+\\);}else{\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(_\\d+\\(\\d+\\)\\);echo _\\d+\\(\\d+\\);}exit;}\\s*\\?>\\s*$',
        'preg_replace\\(\\$\\w+.\\$\\w+,"(\\\\x[a-zA-Z0-9]+){3,}.{3000,}\\?>',
        'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'check\'\\]\\)\\) {\\s*echo "ok";\\s*}\\s*else\\s*{\\s*if\\(\\s*\\$curl\\s*=\\s*curl_init\\(\\)\\s*\\)\\s*{',
        '<html>.+?<title>utf</title>.+?echo "<h1>Welcome</h1>\\\\n";.+touch\\(\\$newfile,\\s*\\$time\\);.+</html>',
        'file_put_contents\\(str_rot13\\("[^"]+"\\), file_get_contents\\(str_rot13\\("uggc://[^"]+"\\)\\)\\);.+@\\$strings\\(str_rot13\\(file_get_contents',
        '\\$folder = str_replace\\(\\$_SERVER.+ http_build_query.+function http_parse_headers.+\\$s \\.= \\$m\\[2\\]\\.\\$m\\[3\\];',
        'GLOBALS\\[\'_\\d+_\'\\]\\[1\\]\\(\\$_REQUEST,\\$_1\\);\\$_1=\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\);while\\(round\\([^\\)]+\\)-round\\([^\\)]+\\)\\)\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+]\\(\\$_REQUEST,\\$_REQUEST\\);.+echo \\$_\\d+;\\s*\\?>',
        'riny\\(tmhapbzcerff\\(onfr64_qrpbqr\\(\'',
        '<\\?php\\s*error_reporting\\(0\\);\\s*ignore_user_abort\\(true\\);\\s*set_time_limit\\(0\\);\\s*function str_1replace\\(\\$needle',
        'if \\(strpos\\(\\$check_result,\'BLOCK\'\\) !== false \\|\\| strpos\\(\\$check_result,\'FOUND\'\\) !== false \\|\\| strpos',
        '\\$wp_enc_file\\s*=\\s*\'<\\?php eval\\("\\?>"\\s*\\.\\s*base64_decode\\("\'\\.\\$wp_code\\.\'"\\)\\);\\s*\\?>\';',
        '<\\?\\s*\\$lin=\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["link"\\];\\s*switch \\(\\$lin\\) {',
        '\\$return = smtpmail\\(\\$smtp_host, \\$smtp_port, \\$smtp_login, \\$smtp_passw, \\$email_polucha, \\$telo_pisma, \\$headers\\);',
        '\\$file_path = dirname\\(__FILE__\\) \\. \'/\' \\. basename\\(\\$_FILES\\["file"\\]\\["name"\\]\\);\\s*move_uploaded_file\\(\\$_FILES\\["file"\\]\\["tmp_name"\\], \\$file_path\\);\\s*\\$file_name = basename\\(\\$file_path\\);',
        '<\\?php\\s*if\\(\\s*empty\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'ineedthispage\'\\s*\\]\\s*\\)\\s*\\)\\s*{\\s*ini_set\\(\\s*\'display_errors\'\\s*,\\s*"Off"\\s*\\)\\s*;\\s*ignore_user_abort\\(1\\)',
        'return\\s*\\$c0\\[\\$c_\\];}\\$GLOBALS\\[\'_\\d+_\'\\]\\[0\\]\\(a_\\(0\\),a_\\(1\\),a_\\(2\\)\\);\\s*}',
        '<\\?php\\s*echo md5\\(\\d+\\)\\."<form\\s*method=post\\s+enctype=multipart/form-data><input type=file name=filename>',
        '<\\?php\\s*(\\$\\w+\\s*=\\s*stripslashes\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\)\\);\\s*)+\\$\\w+\\s*=\\s*mail\\(stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\),\\s*stripslashes\\(\\$\\w+\\)\\);\\s*if.+?{echo\\s*\'\\w+ :\\s*\'\\s*\\.\\s*\\$ejfkqexizs;}',
        '\\$GLOBALS\\[\'_\\d+_\'\\]\\[\\d+\\]\\(\\$default_charset,\\$auth_pass,\\$color,\\$default_charset\\)',
        '<\\?php\\s+\\$\\w+=\'base.+?\\(\\s*str_replace\\(.+@?setcookie\\s*\\([\'"]\\w+[\'"]\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST).+</form>',
        '\\$sess\\s*=\\s*md5\\(\\s*@\\$_COOKIE\\[ssid\\]\\);',
        'class\\s+PlgSystemXcalendarJoomlaBase',
        '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\(.+?wso_version.+eval\\(gzuncompress\\(base64_decode\\(.+==\'\\)\\)\\);\\s*\\?>',
        '<\\?\\s*function _\\d+\\(\\$i\\){\\$\\w+=Array\\((\'[a-zA-Z0-9/\\+=]+\',?)+\\);.+\\$default_action=.+\\)\\)\\)\\); \\?>',
        'print\\s*"<h1>\\w+</h1>\\\\n";\\s*echo "Your IP: ";\\s*echo \\$_SERVER\\[\'REMOTE_ADDR\'\\];.+move_uploaded_file.+touch.+</html>',
        '<title>Sender Anonym Email :: FLoodeR :: SpameR</title>',
        '\\$i=strpos\\(\\$im,\'\\[UPD_CONTENT-\'\\);',
        'global \\$\\w+; \\$\\w+=array\\(\'\\$\\w+\\[0\\]=array_pop\\(\\$\\w+\\);\\$\\w+=\\w+\\(\\d+,\\d+\\);.+create_\';if\\(function_exists.+?\\)\\);};unset\\(\\$\\w+\\);',
        '\\[3ran\\]\\s*\\*/\\s*if\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["mailto"\\]\\)\\)',
        '\\$sh_name = base64_decode\\(\\$sh_id\\)\\.\\$sh_ver;',
        '<\\?php\\s*\\$r6\\s*=\\s*pow\\(2,6\\);\\s*\\$stringus\\s*=',
        '@\\$\\w+\\(\'\\#\\#e\'\\s*,\\s*"\\\\x[^"]+"\\s*,\\s*\'\'\\);',
        'charCode\\(\\$\\w+\\);\\s*function charCode\\(\\$\\w+\\){\\s*\\$\\w+\\s*=\\s*array\\(.+?\\$\\w+\\[\\d+\\];return\\s+EvAl\\(\\$\\w+\\);\\s*}',
        '<\\?php\\s*\\$(\\w+)=".+?";eval\\(\\$\\1\\("[\\w+/=]+"\\)\\);',
        '<\\?php\\s*eval\\(gzinflate\\(base64_decode\\("DZ.+\\)\\)\\);\\s*\\?>',
        'if\\s*\\(isset\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[str_rot13\\(pack\\("H\\*",\\s*"\\w+"\\)\\)]\\)\\)\\s*{\\$_',
        'else\\s*{\\s*ClosingDelicateHolesButton\\s*(\\s*);\\s*}',
        '}\\s*function [a-z0-9]{10,}\\(\\){}\\sfunction [a-z0-9]{10,}\\(\\){\\$.+?array\\(\\d+,\\d+',
        '<\\?php\\s*\\$a\\s*=\\s*".+?";\\s*assert\\(\\$a\\(',
        '=Array\\(".+?"=>@phpversion\\(\\),"sv"=>".+?",\\);echo\\s*@serialize\\(\\${\\${',
        '=\\s*\\$\\w+\\("",\\s*\\$\\w+\\(\\$\\w+\\("\\w+",\\s*"",\\s*\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\s*\\$\\w+\\(\\);\\s*\\?>',
        '==\\s*FALSE\\)\\s*{\\s*break;\\s*}\\s*if\\s*\\(\\$\\w+\\s*==\\s*\\d+ \\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\|\\|\\s*\\$\\w+\\s*===\\s*\\d+\\s*\\)\\s*{\\s*\\$\\w+\\[\\$\\w+\\]\\[',
        '<\\?php\\s*\\$target_urls\\s*=\\s*array.+?\\$n\\s*=\\s*mt_rand\\(0,count\\(\\$target_urls\\)-1\\);.+?\\$rand_url;\\?>\\s*">\\s*',
        'function\\s+Check25Port\\(\\)\\s*{\\s*\\$res\\s*=\\s*TRUE;\\s*\\$s\\s*=\\s*socket_create\\(AF_INET,\\s*SOCK_STREAM,\\s*SOL_TCP\\);\\s*if\\(@socket_connect\\(\\$s,\\s*\'gmail-smtp-in',
        '\\$\\w{1,40}\\s*=\\s*\\w+;\\$\\w+\\s*=\\s*"\\w+";\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*\\d+;\\$\\w+\\s*=\\s*true;\\$\\w+\\s*=\\s*false;\\$\\w+\\s*=\\s*implode',
        'code\';\\$vvv=\\$vvv\\(str_replace\\("\\\\n"',
        '\\$imgData\\s*=\\s*@\\$p2\\(@\\$p1\\(\\$imgData\\)\\);',
        '\\$\\w{1,40}\\s*=\\s*system\\("wget\\s+http:.+?;chmod\\s+\\d+\\s+\\w+;\\./\\w+"\\);\\s*echo\\s+\\$\\w+;\\s*system\\("rm\\s+\\w+"\\);',
        'if \\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'multipart\'\\]\\)==\\$multipart\\.\\$part\\){',
        '<\\?php\\s+eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode\\(.+?\\)\\)\\);"\\);\\s*\\?>',
        ';file_put_contents\\(\\$_7\\[\'.\'\\]\\[\'\\w+\'\\],\\$_\\d+,FILE_APPEND\\|LOCK_EX\\);}if',
        'define\\(\'ALREADY_RUN_\\w*\',\\s1\\);.*eval',
        'preg_replace\\(\\"\\\\043\\\\056\\\\052\\\\043\\\\145',
        'var_dump\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST),\\s*\\$_GET,\\s*\\$_COOKIE,\\s*\\$_FILES\\);\\s*\\$output = ob_get_clean\\(\\); \\$fp = fopen',
        'if\\(strpos\\(\\s*\'fff\'.\\$file,\'home\'\\)>0 or strpos\\(\'fff\'\\.\\$file,\'admin',
        'chmod\\(\\s*dirname\\(__FILE__\\).+?{\\$a=Array\\("/\\.\\*/e.+?_\\d+\\(\\d+\\)\\);',
        '<\\?php\\s*if\\s*\\(\\$_FILES\\[\'F1l3\'\\]\\) {move_uploaded_file.+? forbidden!\'; } \\?>',
        'function\\s*check_cookie.+?android == true\\)check_cookie\\(\\$android_redirect\\);elseif \\(\\(\\$iphone.+?\\$aaa = false;',
        'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\(\'gbk\',\'utf-8//IGNORE',
        '<title>VaRVaRa\\s*Searcher</title>',
        'if\\(!empty\\(\\$_FILES\\[\'\\w*\'\\]\\[\'\\w*\']\\)\\sAND\\s\\(md5\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'nick\'\\]\\)\\s==\\s\'\\w{32}\'\\)\\)\\s{',
        '\\$user_agent\\s*=\\s*"ConBot";',
        'if\\(isset\\(\\$_COOKIE\\[\\\'\\w{11}\\\'\\]\\X*fsockopen',
        'function\\s*xr\\(\\$text,\\$key\\){\\$out="";for\\(\\$i=0;\\$i',
        '\\beval\\(\\s*\\$_g\\(\\s*\\$_b\\(\\$_r',
        'function\\s+WSOsetcookie',
        '<\\?php\\s+eval\\(\\s*eval\\("\\\\\\$_',
        '\\beval\\(\\s*"return\\s+eval\\(\\\\\\"\\$code\\\\\\"\\);"\\)\\s+\\?>',
        'move_uploaded_file\\s*/\\*;\\*/',
        '\\$k="ass"\\."ert"',
        '_POST\\[\\(chr\\(\\d+\\).chr\\(\\d+\\)\\)',
        '\\$default_charset.*=\\.*\\$dc\\.\\$dc2',
        'rand_url\\s*=\\s*\\$target_urls\\[$n',
        'DIRECTORY_SEPARATOR\\s*\\.\\s*\\$[A-Za-z0-9]+;\\s*if\\s*\\(@\\$GLOBALS\\[\'[a-z0-9]+\'\\]\\(\\$[A-Za-z0-9]+',
        '"\\.\\$[\\w]{1,40}\\s*;\\s*\\$[\\w]{1,40}\\((\\$[\\w]{1,40}\\[\\d+\\]\\s*\\.?){4,}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*"\\d+"\\s*\\);',
        'disk_free_space\\(\\s*dirname\\(__FILE__\\)\\) , disk_free_space',
        '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[pass',
        '\\$color\\s*=\\s*"\\#df5";',
        'sprintf\\s*\\(\\s*"%c"\\s*,\\s*\\$\\w{1,40}\\s*\\^\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*;\\s*for',
        'User-Agent: SEoDOR-Client \\(pathOnMyHost-\\$pathOnMyHost',
        'if\\s*\\(preg_match\\("/zh-c/i", \\$lang\\)==false\\|\\|preg_match\\("/zh-c/i",s\\*\\$lang\\)==0\\s*\\)\\s*{\\s*echo\\s*"<script',
        '<title>::\\s+Priv8\\s+vHost\\s+Config\\s+Grabber',
        ';lets_jump\\(\\$\\{\\$\\w{1,40}},\\$\\{\\$\\w{1,40}\\}\\);\\}\\$\\{\\$\\{',
        ';\\$\\{\\$\\w{1,40}\\}\\.=pack\\("[^"]{1,20}?",0x00000000,0x00000000,0x00000000,strlen\\(\\$\\{\\$\\{"',
        'register_shutdown_function\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*Ratel\\s*;\\s*\\$\\w{1,40}-\\s*>\\s*init\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\}',
        '\\$\\w{1,40}\\s*=\\s*\\(\\s*mktime\\s*\\(\\s*\\)\\s*-\\$\\w{1,40}\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\$\\w{1,40}\\s*\\|\\|\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*return\\s*array\\s*\\(\\s*\'NO\'\\s*,\\s*\\$\\w{1,40}\\s*,\\s*implode\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{',
        'my\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\s*\\.\\s*=\\$\\w{1,40}\\s*while\\s*\\(\\s*<\\s*DATA\\s*>\\s*\\)\\s*;\\s*eval\\s*\\(\\s*unpack\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*;',
        '\\{if\\(\\$o\\)\\$o\\.=\';\\s*\';\\$o\\.=\\$n\\.\'=\'\\.addslashes\\(\\$v\\);}\\$h\\.=\'Cookie:',
        'if\\s*\\(file_exists\\(\\$htaccessPath\\)\\)\\s*{\\s*chmod\\(\\s*\\$htaccessPath\\s*,\\s*0777\\);\\s*if\\s*\\(is_writable\\(\\$htaccessPath\\)\\)\\s*{\\s*\\$htaccessData\\s*=\\s*file_get_contents\\(\\$htaccessPath\\);\\s*\\$htaccessTime\\s*=\\s*filemtime\\(\\$htaccessPath\\);',
        '\\$expy\\s*=\\s*\\$_POST\\[\'expy\'\\];\\s*\\$cvv\\s*=\\s*\\$_POST\\[\'cvv\'\\];\\s*\\$ip\\s*=\\s*\\$_SERVER\\[\'REMOTE_ADDR\'\\];',
        '\\)\\s*;\\s*foreach\\s*\\(\\s*\\$blocked_words\\s*as\\s*\\$word\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*substr_count\\s*\\(\\s*\\$hostname\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*>\\s*0\\s*\\)\\s*\\{\\s*header\\s*\\(',
        '<title>Ekin0x Shell',
        '\\$\\w{1,40}\\s*=\\s*JOkEr7\\(\'https://www\\.paypal\\.com/',
        '<\\?php\\s*include\\s*\'check_is_bot\\.php\'\\s*;\\s*if\\s*\\(\\s*empty\\s*\\(\\s*\\$is_bot\\s*\\)\\s*\\)\\s*\\{\\s*echo',
        '\\$install_code\\s*=\\s*str_replace\\s*\\(\\s*\'{\\$PASSWORD}\'\\s*,\\s*\\$install_hash\\s*,\\s*base64_decode\\s*\\(\\s*\\$install_code\\s*\\)\\s*\\);',
        '<title>IndoXploit</title>',
        '\\&nbsp\\&nbsp\\&nbsp\\&nbsp\\&nbspCant\\s+Edit\\s+>>',
        '====\\+\\+\\+Coded\\s+By\\s+Izladen\\+\\+\\+===',
        '</script>";exit;}}}function\\s+\\w{1,40}\\(\\){\\$\\w{1,40}=\'http://\';if\\(\\$_SERVER\\["SERVER_PORT"\\]!="80"\\){\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]\\.":"\\.\\$_SERVER\\["PHP_SELF"\\];}else{\\$\\w{1,40}\\.=\\$_SERVER\\["HTTP_HOST"\\]',
        '}\\s*if\\s*\\(\\s*\\$_POST\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*MAILER_CONFIG_FILE\\s*,\\s*json_encode\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\(\\s*object\\s*\\)\\s*\\$_POST\\s*\\)\\s*\\)\\s*;',
        '\\$\\w{1,40}\\s*=\\s*"[^"]*"\\s*\\.\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*\'[^\']{0,2000}\'\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '<b>Black\\s*Space\\s*Mailer\\s*201',
        'if\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*!="[^"]*"\\s*\\)\\s*\\{\\s*echo\\s*\'[^\']*\'\\s*\\.\\s*\\$_GET\\s*\\[\\s*\'google\'\\s*\\]\\s*\\.\\s*\'[^\']*\'\\s*;\\s*exit\\s*;\\s*\\}',
        'die\\(file_get_contents\\(\\$urlSQLServerPage',
        '\\$rcard\\s*=\\s*\\$m->getRandcards\\(\\s*\\$id\\s*,\\s*\\$idsum\\s*\\);',
        'header\\("\\s*location:\\s*ufl\\.php\\?id="\\s*\\.\\s*\\$first\\[0\\]\\);',
        '<title>Web\\s*Login\\s*Service\\s*-\\s*University\\s*of\\s*Florida</title>',
        '<title>Mail\\s+form\\s+HTML\\s+v\\d+[^<]+</title>',
        '\\$\\w{1,40}\\s*=\\s*strlen\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\'[^\']*\'\\s*;\\s*for\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*;\\s*\\$\\w{1,40}\\s*<\\s*\\$\\w{1,40}\\s*;\\s*\\$\\w{1,40}\\+\\+\\s*\\)\\s*\\$\\w{1,40}\\s*\\.\\s*=\\s*chr\\s*\\(\\s*ord\\s*\\(\\s*\\$\\w{1,40}\\s*\\[\\s*\\$\\w{1,40}\\s*\\]\\s*\\)\\s*\\^\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        'if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*\\)\\s*exit\\s*;\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\s*\\$_GET\\s*\\[\\s*\'.\'\\s*\\]\\s*\\)\\s*;\\s*echo\\s*\\(\\s*\'<pre>\'\\s*\\)\\s*;\\s*echo\\s*htmlspecialchars\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        'if\\s*\\(\\s*strstr\\s*\\(\\s*\\$_SERVER\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\{\\s*echo\\s*"[^"]*"\\s*;\\s*\\}\\s*foreach\\s*\\(\\s*\\$_COOKIE\\s*as\\s*\\$\\w{1,40}\\s*=\\s*>\\s*\\$\\w{1,40}\\s*\\)\\s*\\{',
        '(\\$\\w{1,50})\\s*=\\s*\'[^\']*\'\\s*;\\s*\\$\\w{1,50}\\s*=\\s*str_replace\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,50}\\s*\\)\\s*;\\s*@\\$\\w{1,50}\\s*\\(\\s*\\$\\w{1,50}\\s*\\(\\s*\\1\\s*\\)\\s*\\)\\s*;',
        'list\\s*\\(\\s*\\$tobuf\\s*,\\s*\\$from\\s*,\\s*\\$subject\\s*,\\s*\\$messagefile\\s*\\)\\s*=\\s*split\\s*\\(\\s*\':::\'\\s*,\\s*\\$conar\\s*\\)\\s*;',
        '\\$global_version\\s*=\\s*array_walk\\s*/\\*',
        '\\\\x\\w\\w"\\]}=@?unserialize\\(sh_decrypt\\(@?base64_decode\\(\\${\\$',
        '=@gzuncompress\\s*\\(\\s*@base64_decode\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*setcookie\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}=\\s*create_function',
        'echo\\s*"<form\\s*action\\s*=\\s*\'"\\s*\\.\\s*\\$current\\s*\\.\\s*"&mode=copy&src="\\s*\\.\\s*\\$src\\s*\\.\\s*"\'\\s*method\\s*=\\s*\'POST\'>',
        '\\(isset\\(\\$_POST\\[\'execl\'\\]\\)\\)\\s*{\\s*echo\\s*\\$_POST\\[\'execl\'\\]\\s*\\.\\s*\'<br>\'\\s*;\\s*echo\\s*myshellexec\\(\\$_POST\\[\'execl\'\\]\\);\\s*}\\s*if\\s*\\(isset\\(\\$_POST\\[\'pcntl_exec\'\\]',
        'elseif\\s*\\(\\s*\\$current_blog\\s*===\\s*\'active\'\\s*\\)\\s*\\{\\s*file_put_contents\\s*\\(\\s*\\$destination\\s*,\\s*\\$blog_id\\s*\\)\\s*;\\s*\\}',
        ';\\$this->tm_class_name_div=\\$\\{\\$\\{"\\\\x\\w{2}',
        '<title>Your\\s*University\\s*Grant\\s*Information</title>',
        '<HEAD><TITLE>IDBI\\s*Bank\\s*-',
        '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\s*\\);\\s*\\$pager->render_pagelinks\\(\\s*\\);\\s*\\Z',
        'do_passreturn\\(\\$_POST\\[\'path\'\\],\\$_POST\\[\'code\'\\],\\$_POST\\[\'return\'\\]',
        '\\$\\w{1,40}\\s*=\\s*date\\("D M d, Y g:i a"\\);\\s*\\$ip\\s*=\\s*getenv\\(\\s*"REMOTE_ADDR"\\s*\\);\\s*\\$username\\s*=\\s*\\$_POST\\[\\s*[\'"][^"\']+[\'"]\\s*\\];\\s*\\$password',
        'fwrite\\(\\$fp,"\\\\xEF\\\\xBB\\\\xBF"\\.\\$body',
        'eval\\(\\s*\\$gzc\\(\\s*\\$b64\\(\\s*\\$r13',
        '\\A\\s*<\\?php\\s*GIF8(7|9)?\\w?[^\\s]{0,2}\\s*[^\\;]{0,80};',
        '<title>\\s*PHP\\s+Shellecho\\s+offender',
        '\\$short\\s*=\\s*make_bitly_url\\s*\\(\\s*[\'"]\\s*https?://wps\\.bank\\.login\\.it',
        'value="<\\?\\s*passthru\\("pwd"\\);\\s*\\?>',
        '\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{24,40}[\'"];\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{50000,}[\'"];\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(',
        '<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*[^\\w]{1,3}DQogJHdlYiA9ICRfU0VSVkVSWyJIVFRQX0hPU1QiXTsNCiAkaW5qID0g[^\'"]{1,600}[^\\w]{1,3}\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z',
        '=@\\$_COOKIE;\\s*\\$',
        'include(?:_once)?\\s*[\'"\\(][^\'"\\(]{0,20}cssisma[^/]{0,20}/\\w{1,40}\\.php[\'"\\(];',
        '\\);\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\(\\s*"[^"]*"\\s*,\\s*\\$\\w{1,40}\\s*\\(\\s*\\w+\\s*\\(\\s*\\$\\w{1,40}\\s*\\(\\s*\\$\\w{1,40}\\s*\\)\\s*,\\s*"[^"]*"\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\\)\\s*;\\s*(?://?[^/]{0,150}/?\\s*)?\\Z',
        'Popping\\s*root\\s*shell[^\\w]{1,40}Don[^\\w]t\\s*forget\\s*to\\s*restore\\s*/tmp/bak',
        '\\}\\s*elseif\\(\\s*\\$\\w{1,40}\\s*[^\\w]{1,2}=\\s*[\'"](cvv)[\'"]\\s*\\|\\|\\s*\\$_REQUEST\\[[\'"]?\\1[\'"]?\\]\\)\\s*\\{\\s*[^\\[]{1,200}\\s*\\$\\w{1,40}\\s*=\\s*trim\\(\\$rows\\[[\'"]?(number|cardnumber|cn|ccn|cnumber)[\'"]?\\]\\);\\s*\\$\\1',
        '<meta\\s+name\\s*=\\s*[\'"]description[\'"]\\s*content\\s*=\\s*[\'"]Wells\\s+Fargo\\s*:\\s*Provider\\s+of\\s+banking\\s*,',
        '@ob_end_clean\\(\\);\\s*\\}\\s*elseif\\s*\\(\\s*@?is_resource\\s*\\(\\s*\\$\\w{1,40}\\s*=\\s*@?popen\\(\\s*\\$\\w{1,40},\\s*[\'"]\\w[^\\w]?[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*\\{\\s*\\$res',
        '<title>\\s*Indoxploit',
        '\\A\\s*<\\?(?:php)?\\s+function\\s+long2str\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{50000,};\\s*@?eval\\s*\\(\\s*\\w{1,9}_decrypt\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\),\\s*[\'"]\\w{1,40}[\'"]\\s*\\)\\s*\\)\\s*;\\s*(?:\\?>)?\\s*\\Z',
        '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*[^\\$]{1,40}\\s*\\1\\s*(?:\\s*\\)\\s*){1,6};',
        'if\\s*\\(\\s*isset\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*\\)\\s*\\)\\s*\\{\\s*exit\\s*\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*else(?:if)?\\s*\\{\\s*header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit\\([\'"]?[^\'"]{0,40}[\'"]?\\);\\s*\\}\\s*[^\\?]{1,40}\\?>\\s*\\Z',
        '<title>\\s*Andro\\s*Ghost\\s*69',
        '\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.p1.\\]\\); else @unlink\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[',
        '\\$\\w{1,40}\\s*=\\s*getcwd\\(\\);\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.base64_dco]{13,40}\\s*;\\s*\\$\\w{1,40}\\s*=\\s*[\'"]/app/code/core/Mage[\'"];\\s*\\$\\w{1,40}\\s*=\\s*\\1\\([\'"][^\'"]{1,40}[\'"]\\);',
        '\\beval\\(\\s*x\\(\\$x',
        '-\\s*Process\\s*Faker\\s*,[^\\n]{1,200}\\s+Options:\\s+-s\\s+string\\s+Fake\\s+name\\s+process',
        '\\A\\s*<\\?(?:php)?\\s*error_reporting\\((?:0|false)\\);[^>]{1000,3000}\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\(\\s*(\\$\\w{1,40})\\s*\\);\\s*curl_close\\(\\s*\\2\\s*\\);\\s*@?eval\\(\\s*\\1\\s*\\);\\s*\\};\\s*die\\(\\);\\s*\\?>\\s*\\Z',
        '/(?:\\*|/)\\s*PastiGanteng\\s*(?:\\w{1,40}\\.\\d+)?\\s+Shell',
        '<title>\\s*nShell\\s+\\w?\\d+\\.\\d+',
        '\\A(\\s*<\\?php\\s*(\\/\\*[^\\*]{100,600}\\*/)?\\s*error_reporting\\((0|false)\\);\\s*ini_set\\(\\s*[\'"]max_execution_time[\'"]\\s*,\\s*(0|false)\\);\\s*eval\\(\\s*base64_decode\\([\'"][^\\?]{1000,2500}break;\\s*\\}\\s*\\}\\s*\\}\\s*eval\\(\\s*gzinflate\\(\\s*base64_decode\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\);\\s*\\?>){3}',
        '(\\$\\w{1,40})\\s*=\\s*(?:chr\\(\\d+\\)\\.?){1,5};\\s*(\\$\\w{1,40})\\s*=\\s*file_get_contents\\([\'"]php://input[\'"]\\);\\s*\\2\\s*=\\s*CB_XORm\\(\\2,\\s*\\1,\\s*\\d+\\*\\d+\\);\\s*if\\s*\\(\\s*strncmp\\(\\s*[\'"][^\'"]{1,40}["\'],\\s*\\2\\s*,\\s*\\d+\\s*\\)\\s*==\\d+\\s*\\)\\s*\\{',
        '\\};\\s*WriteToFile\\([\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"],\\s*[\'"][\'"]\\);\\s*Auth\\(\\);\\s*if\\s*\\(\\s*\\(\\s*@?\\$_COOKIE\\[[\'"][^\'"]{1,40}[\'"]\\]\\)\\s*[^\\w]=\\s*md5\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*die\\s*\\(\\s*FileToString\\(\\s*[\'"]\\s*\\.\\s*[^\\.]{1,40}\\.html[\'"]\\)\\);\\s*Main\\(\\);\\s*\\?>\\s*\\Z',
        'my\\s+\\$botshell\\s*=\\s*[\'"][^\'"]{1,60}[\'"];',
        ';\\s*if\\s*\\(\\s*isset\\s*\\(\\s*(\\$_FILES)\\[[\'"]?([^\'"]{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\s*\\(\\s*\\1\\[[\'"]?\\2[\'"]?\\][^\\(]{200,300}php_uname\\(\\s*[^\\)]{0,40}\\s*\\)',
        '<title>\\s*SST\\s*Sheller',
        '<title>\\s*:\\s*:\\s*Inbox\\s*:\\s*:\\s*Unlimited\\s*</title>\\s*<\\?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(',
        '<title>\\s*Hacked\\s+by\\s+(?:Dr\\.SiLnT\\s*HilL|your\\s+HaxorsteinBD|Mo[E3]Gza|KIWIL0736|AssasinCyber)',
        '<title>\\s*Blackhat\\s*Code\\s+Backdoor',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*[^\\?]{200,600}Social\\s*Security\\s*Number\\s*:\\s*\\$ssn',
        '@array_diff_ukey\\(\\s*@array\\(\\(string\\)\\$_REQUEST',
        'return\\s*RC4::Encryp',
        '\\A\\s*GIF8\\d\\w?[^\\s]{0,2}\\s*[^\\?]{0,80}\\s*<\\?\\s*@?(?:system|exec|passthru|shell_exec|popen|eval|assert)\\s*\\(',
        '\\}\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]add_filter[\'"]\\s*\\)\\s*\\)\\s*add_filter\\(\\s*[\'"]all_plugins[\'"]\\s*,\\s*[\'"]fourofour_pp[\'"]\\);\\s*return\\s*1;\\s*\\?>\\s*\\Z',
        '<title>\\s*[\\[]{0,1}\\s*RileyWilder\\s*(?:\\\'\\s*s)?\\s*Mailer',
        '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*(?:fwrite|fputs)\\(\\s*\\1,\\s*(\\$(?:message|\\w\\d))\\s*\\);\\s*mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\2\\s*(?:,\\$\\w{1,40}\\s*)?\\);\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        '<\\?(?:php)?\\s*\\$ipv?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\])\\s*;\\s*(?:\\$\\w{1,40}\\s*\\.?=\\.?\\s*[^;]{1,80}\\s*;\\s*){0,3}\\s*\\$(?:mensaje|message)\\s*\\.?=\\s*[\'"](pass|passwd|password)[^\\w]{1,40}\\$_POST\\[[\'"]?\\w{0,20}\\1[\'"]?\\]\\.?[\'"]?\\\\n[\'"];',
        '\\{(\\s*\\$\\w{1,40}\\s*=\\s*[\'"](\\.\\./){1,7}[\'"];){7}\\s*\\$\\w{1,40}\\s*=\\s*file_get_contents\\s*\\(\\$\\w{1,40}\\s*\\.\\s*[\'"]wp-config\\.php[\'"]\\);',
        '<title>\\s*(?:Magic|MySQL|Peterson|indoxploit|CIH\\.)\\s*[^\\?]{0,15}\\s*(?:Web)?Shell',
        '<title>\\s*File\\s*</\\s*[^\\?]{1,200}<form\\s+method\\s*=\\s*[\'"]post[\'"][^\\?]{1,200}<\\?php\\s*if\\s*\\(\\s*is_uploaded_file\\(\\s*(\\$_FILES\\[)([\'"][^\'"]{1,40}[\'"])(\\]\\[[\'"][^\'"]{1,40}[\'"])\\]\\s*\\)\\s*\\)\\s*\\{\\s*move_uploaded_file\\(\\1\\2\\3\\],\\s*\\1\\2(\\]\\[[\'"][^\'"]{1,40}[\'"]\\])\\s*\\)\\s*;\\s*\\$file\\s*=\\s*\\1\\2\\4',
        '\\$sex\\s*\\.=\\s*[^\\n]{40,100}\\s*@mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*(\\$\\w{1,40})\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,20}\\.html[\'"]\\s*,\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1',
        '<title>\\s*s72\\s*Shell[^\\w]',
        '<title>\\s*Symlink(?:_|\\s)\\s*Sa\\s+\\w?\\d+\\.\\d+',
        '(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\$\\w{1,4}\\s*,\\s*[\'"](a|w)\\+?[\'"]\\);\\s*fwrite\\(\\s*\\1\\s*,\\s*[^\\)]{1,20}(\\$bilsmg)[^\\)]{1,20}\\s*\\)\\s*;\\s*fclose\\(\\1\\);\\s*(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*@?mail\\s*\\(\\s*\\4\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\3\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;',
        '\\$((?:email|login|user|username)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:pass|password|passwd)\\w?)\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];\\s*[^\\+]{1,400}\\$message\\s*=\\s*[\'"]\\s*[^\\}]{1,200}(FACEBOOK|GOOGLE)',
        '\\$from\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:user|username|login))\\s*=\\s*\\$_POST\\[[\'"]\\1[\'"]\\];\\s*\\$((?:yahoo|gmail|outlook|aol|office365|adobe)(?:pass|password|passwd))\\s*=\\s*\\$_POST\\[[\'"]\\2[\'"]\\];',
        '<\\?pHp\\s*if\\s*\\(file_exists\\s*\\(([\'"]/tmp/[^/]+/sess_[^\'"]{1,40}[\'"])\\)\\)\\s*@?include(?:_once)?\\s*\\(\\1\\);\\s*else\\s*echo\\s*\\(?[\'"]?[^\'"]{0,40}[\'"]?\\)?;\\s*\\$\\w{1,40}\\s*=\\s*"https?://"\\.getenv\\("SERVER_NAME"\\)\\.getenv\\("SCRIPT_NAME"\\);',
        '<title>\\s*[-:\\[]{1,3}\\s*GreenwooD\\s*[-:\\]]{1,3}\\s*WinX\\s+Shell',
        '\\$ip\\s*=\\s*getenv\\([\'"]REMOTE_ADDR[\'"]\\)\\s*;\\s*\\$(country)\\s*=\\s*\\w{0,40}\\1\\(\\);\\s*\\$(region)\\s*=\\s*\\w{0,40}\\2\\(\\);\\s*\\$(city)\\s*=\\s*\\w{1,40}\\3\\(\\);(?:\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);)?\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]username[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]password[\'"]\\];',
        'copy\\(\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*,\\s*\\$\\w{1,9}\\s*\\.\\s*\\$\\w{1,9}\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*function\\s+system_custom\\s*\\(\\s*\\$\\w{1,40}\\)\\s*\\{\\s*\\$[^\\\\}]{1,40}\\s*if\\s*\\([^\\(]{1,40}\\(\\s*[\'"]exec[\'"]',
        '<title>\\s*nsT\\s*View',
        '\\$shell_mode\\s*\\)\\s*\\{\\s*\\?>\\s*[^\\?]{1,99}\\s*<title>\\s*<\\?php\\s+echo\\s*\\(?\\s*[\'"]?\\s*\\$shell_title;',
        'class\\s*\\=\\s*[\'"]tit[\'"]>\\s*Mailer\\s*Inbox',
        'makebotlist\\s*\\(\\s*(\\$BotList)\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*!file_exists\\(\\s*\\1',
        'LD_PRELOAD=\\s*\\./libworker.so',
        '>\\s*Da(?:3|s)s\\s*(?:HaCkEr)?\\s*File\\s+Manager\\s*(?:Version)?\\s*<',
        '=num_macros\\(\\s*\\${\\s*\\${',
        'fopo\\.com\\.ar',
        '<\\s*title\\s*>\\s*404-server!+\\s*<\\s*/title\\s*>',
        ';\\s+eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]Dc/JcoIwAADQz1GHQ2WH6SkIqOwBZLt0BBKkBIKyjX59[^\'"]{360}[\'"]\\s*\\)\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z',
        '@eval\\(\\$r9f35db4\\(',
        'mail\\(stripslashes\\(\\$strr1\\), stripslashes\\(\\$strr2\\)',
        '\\A\\s*<\\?php\\s+(?:\\$\\w{1,40}\\s*=\\s*[\'"](?:gzinflate|base64_decode|strrev|str_rot13|gzuncompress|urldecode|rawurlencode)[\'"]\\s*;\\s*){3,5}[^}]{200,400}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);[^\\?]{400,600}<\\s*form',
        '\\A\\s*<\\?(?:php)?\\s+/\\*\\s*\\*\\s*MySQL\\s+Web\\s+Interface\\s+By',
        '<td>\\$\\s*execute\\s*a cmd</td>',
        '\\A\\s*X5O.{25}EICAR-STANDARD-ANTIVIRUS-TEST-FILE[^\\s]{1,9}\\s*\\Z',
        '\\A\\s*[^\\w]?PNG.{3000,6000}?<\\?php',
        'Usage:\\s*\\w{1,40}\\s*\\[\\s*OPTIONS\\s*\\]\\s*Options:\\s*-a,\\s*--algo\\s*=\\s*ALGO\\s*specify\\s+the\\s+algorithm\\s+to\\s+use\\s*cryptonight',
        ';eval\\(base64_decode\\(gzuncompress\\(base64_decode\\(\\$\\w+\\)\\)\\)\\);\\?>',
        '<\\?php\\s*\\$\\w{1,40}\\s*=\\s*\'[^\']*\'\\s*;\\s*include_once\\s*\\(\\s*"config\\.php"\\s*\\)\\s*;\\s*\\?>\\s*<!DOCTYPE\\s*html',
        '<html>\\s*<head>\\s*<script>\\s*window\\s*\\.\\s*top\\s*\\.\\s*location\\s*\\.\\s*href\\s*="[^"]*"\\s*\\+\\s*"[^"]*"\\s*;\\s*</script>\\s*</head>\\s*<body>\\s*<script>\\s*document\\s*\\.\\s*write\\s*\\(\\s*\'<img[^)]+\\)\\s*;\\s*</script>\\s*</body>',
        '^\\s*<\\s*head\\s*>\\s*<\\s*meta\\s*name\\s*="[^"]*"\\s*content\\s*="[^"]*"\\s*>\\s*<\\s*meta\\s*http-equiv\\s*="[^"]*"\\s*content\\s*="\\d+\\s*;\\s*URL=https?://[^"]*"/\\s*>\\s*<\\s*/head\\s*>\\s*$',
        '<title>\\s*SexCrime\\s*-\\s*Shell',
        '\\$backdoor\\s*=\\s*base64_decode\\([\'"][^\'"]{400,600}[\'"]\\);\\s*\\$deface\\s*=\\s*base64_decode\\(',
        '<td>Hati\\s+Mantan\\s*[^\'"]{1,10}[\'"];\\s*[^\\$]{1,40}\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]',
        '=>\\s*[\'"]tools[\'"],\\s*\\/\\*\\s*available:(\\s*(ls|search|upload|cmd|eval|sql|mailer|encoders|tools|processes|sysinfo),?\\s*){9,11}\\s*\\*/',
        '@eval\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[cmd\\]\\)',
        '\\A\\s*<\\?(?:php)?\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"]\\w{24,40}[\'"];)?\\s*(\\$\\w{1,40})\\s*\\=\\s*[\'"\\s\\.aceglpr_]{13,40}\\s*\\;\\s*\\1\\s*\\(\\s*[\'"](.).{0,40}\\2e\\w?[\'"]\\s*,[^\\)]{30000,50000}(?:\\s*\\)\\s*){1,5};[^;]{1,40};\\s*\\?>\\s*\\Z',
        '\\A\\s*<\\?php\\s+[^\\?]{1,400}@system\\([\'"][^\'"]{0,40}wget\\s+https?://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,40}\\s+-O\\s*(\\w{1,40});[^\\.]{1,40}\\./\\1\\s*>\\s*/dev/null[^;]{0,40}\\Z',
        '\\$_COOKIE\\s*=\\s*WSOstripslashes',
        'if\\s*\\(\\s*\\$reqPwd\\s*!==\\s*vpsp_pwd\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=',
        'foreach\\(\\$\\w{1,40}\\s+as\\s+\\$\\w{1,40}=>(\\$pat)\\)\\{\\s*if\\(\\1\\s*==\\s*[\'"][\'"]\\s*&&\\s*\\$\\w{1,40}\\s*==\\s*\\d+\\)\\{\\s*\\$\\w{1,40}\\s*=\\s*true;([^`]{2000,3500})<br\\s*/>[\'"];\\s*\\}\\s*\\}\\s*elseif\\s*\\(\\s*\\$_POST\\[[\'"]type[\'"]\\]\\s*==\\s*[\'"]file[\'"]\\s*\\)\\s*\\{\\s*if\\(unlink\\(\\$_POST\\[[\'"]path[\'"]\\]\\s*\\)\\s*\\)\\s*\\{',
        '\\]\\(NULL\\);\\s*@\\$GLOBALS\\[',
        'myUpload->uploadFile\\(\\s*\\)',
        'is_readable\\s*\\(\\s*[\'"]/etc/passwd[\'"]\\s*\\)\\s*\\?[^\\?]{100,600}php_uname\\(\\)',
        '\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']{1,6}\'\\s*\\]\\s*\\)\\s*;',
        'Made by SexDog Pula',
        'base.\\.\\(32\\*2\\)',
        '\\}\\s*else\\s*\\{\\s*\\$v\\s*=\\s*new\\s+verifier\\(\\);\\s*print_r\\(\\$v->checkemails',
        '>Gantengers Crew<',
        '\\+\\+\\$o\\]\\]\\)\\);}}eval\\(\\$d\\)',
        'mt_rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$not_android_urls\\)-1\\)',
        '\\}\\);\\s*function\\s+refreshBotsOnline\\(\\)\\{\\s*\\$\\(\\\\[\'"]\\#nav\\\\[\'"]\\)\\.load\\(\\\\[\'"]inc/\\w{1,40}\\.php\\\\[\'"]\\);\\s*setTimeout\\(refreshBotsOnline,\\s*\\d+\\);\\s*\\}\\s*</script>',
        'Mailer\\s+by\\s+Sphinx</title>',
        '\\$_POST\\[([\'"]botID[\'"])\\]\\)\\)\\s*\\$id\\s*=\\s*filterString\\(\\$_POST\\[\\1\\]\\);\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_POST\\[[\'"]track[\'"]\\]',
        'eval\\(\\$\\w{1,40}\\[\\$GLOBALS\\[',
        '\\$domain\\s*=\\s*\\$domains\\[\\s*array_rand\\(\\s*\\$domains\\s*,\\s*1\\)',
        'POST\\s*=\\s*WSOstripslashes',
        '\\A\\s*<\\?php\\s*[^\\}]{1,600}\\s*\\}\\s*\\}\\s*define\\(\\s*[\'"]startTime[\'"]\\s*,\\s*getTime\\(\\)\\s*\\);\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*[\'"]shellexec[\'"]\\s*\\)\\s*\\)\\s*\\{\\s*function\\s+shellexec\\s*\\(\\s*\\$cmd\\)\\s*\\{',
        '<\\?php\\s*(\\$\\w{1,40})\\s*=\\s*fopen\\(__FILE__,\\s*[\'"]\\w[\'"]\\);\\s*fseek\\(\\s*\\1,\\d+\\);\\s*(\\$c)\\s*=\\s*[\'"][\'"];\\s*while\\s*\\(\\s*!feof\\(\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*\\2\\s*\\.?=\\s*fread\\(\\s*\\1,\\d+\\);\\s*\\}\\s*@?(?:system|exec|passthru|shell_exec|popen|eval)\\s*\\(\\s*bzdecompress\\(\\2\\)\\);\\s*__halt_compiler\\(\\);\\s*\\?>',
        '<%@page\\s[^\\!]{1,999}!\\s*(?:\\s*/\\*\\*.{1,200}\\*/\\s*)?(private\\s+static\\s+final\\s+String\\s+PW)\\s*=\\s*[\'"][^\'"]{1,40}[\'"];\\s*[^\\s]{0,40}\\s*\\1_SESSION_ATTRIBUTE\\s*=\\s*[\'"](?:JspSpy|supersuper)\\w{1,9}[\'"];',
        'sent\\s*=\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\$\\w{1,40}\\s*\\+\\s*1\\s*;)?\\s*\\$\\w{1,10}spamm?ed\\s*=\\s*[\'"]spamm?ed[\'"]\\s*;',
        'mail\\(\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*(\\$message)\\s*\\);\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*[\'"]\\w{1,40}\\.?\\w{1,10}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\);\\s*fputs\\(\\s*\\2,\\s*\\1\\);(?:\\s*fclose\\(\\s*\\2\\s*\\);)?\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        'stripslashes\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["l1"\\]\\);\\$',
        'eval\\s*\\(base64_decode\\s*\\(\\s*[\'"]ZXZhbChiYXNlNjRfZGVjb2RlKC[^\']{20,10000}[\'"]\\s*\\)\\s*\\)\\s*;(\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^;]{1,80};\\s*){0,3}(?://[^\\n]{1,40})?\\s*mail\\(',
        '\\A\\s*\\#!/usr/bin/perl\\s*[^\\(]{1,40}\\s*opendir\\(\\s*my\\s(\\$\\w{1,40})\\s*,\\s*[\'"](/var/www/vhosts/)[\'"]\\s*\\);\\s*foreach\\(\\s*sort\\s*readdir\\s*\\1\\s*\\)\\s*\\{\\s*my\\s\\$\\w{1,40}\\s*=\\s*\\d+;\\s*\\$\\w{1,40}\\s*=\\s*\\d+\\s*if\\s*-d\\s*(\\$_);\\s*(\\$\\w{1,40})\\s*=\\s*\\3;(?:\\s*symlink\\([\'"]\\2[\'"]\\.\\4[^\\)]+[\'"]\\)\\s*;)+\\s*\\}',
        'eval\\("\\\\x65\\\\x76\\\\x61\\\\x6C\\\\x28\\\\x67\\\\x7A\\\\x69\\\\x6E[^\\)]{9999,}',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*!isset\\s*\\(\\s*\\$_SESSION\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^\\}]{1,99}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*\\$_SERVER\\[[^\\]]{1,40}\\];[^/]{150,400}\\s*\\$inj(?:e\\wtor)?\\s*=\\s*gethostbyname\\(\\s*\\$_SERVER\\[[^\\]]{1,40}\\]\\s*\\);\\s*@?mail\\s*\\(',
        '\\[[\'"]?(cmd)[\'"]?\\]\\s*\\)\\s*;\\s*@?system\\s*\\(\\s*\\$\\1\\s*\\)\\s*;\\s*echo\\s*\\(?\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)?\\s*;\\s*if\\s*\\(\\s*@?\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?\\1[\'"]?\\]\\s*[^\\w]{1,2}=\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\{\\s*\\?>\\s*</?pre>',
        '\\*\\s*\\*\\s*arkei\\s+stealer',
        '<title>\\s*[^\\w]{0,3}\\s*BYSCRA3ZY\\s*[^\\w]{0,3}\\s*</title>',
        '<title>\\s*jahat\\s*</title>[^\\)]{1,499}php_uname\\(\\)',
        '<title>\\s*[\\w\\^\\.\\|]{0,3}\\s+Private\\s+Shell\\s',
        '<title>\\s*Dr\\s+HeX\\s*</',
        '=\\s*stripslashes\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\["user_l"\\]\\)',
        '<title>\\s*[\\w-]{0,9}\\s*(?:cpanel|whm)\\s+[^`]{0,9}\\s*(?:crac|brut)',
        '<title>\\s*Bienvenido\\s+a\\s+BancaNet\\s*[^\\.]{1,600}\\.banamex\\.com\\.mx/',
        '\\$headers\\s*=\\s*[\'"][^\'"]{0,40}DHL[\'"];\\s*(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*if\\s*\\(\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*!=\\s*false\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:',
        '\\$\\w{1,40}\\s*=\\s*["\']\\s*Hacked\\s+by\\s+Moroccanwolf\\s*["\']\\s*;',
        'if\\(\\s*!\\$os_name\\s*=\\s*@?php_uname\\(\\)\\)\\s*\\{\\s*if\\s*\\(\\s*function_exists\\(\\s*[\'"]posix_uname[\'"]\\s*\\)\\s*\\)\\s*\\{[^`]{600,1500}if\\(!empty\\(\\$_POST\\[([\'"]?php[\'"]?)\\]\\)\\)\\{\\s*ob_start\\(\\);\\s*@?eval\\(\\$_POST\\[\\1\\]\\);',
        '<title>\\s*[^/]{1,49}\\s+Edited\\s+By\\s+KingDefacer\\s*</title>',
        ']}=trim\\(\\s*array_pop\\(\\${\\${"',
        '\\$\\w{1,40}\\s*=\\s*fsockopen\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*30\\s*\\)\\s*;\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{\\s*print(?:it|r)?\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\d?\\s*\\)\\s*;\\s*\\}\\s*//\\s*Spawn\\s+shell\\s+process',
        '(\\$\\w{1,40})\\s*=\\s*@stream_socket_client\\(\\s*[\'"]tcp://\\$\\w{1,40}:25[\'"],\\s*\\$\\w{1,40},\\s*\\$\\w{1,40},\\s*\\d+\\);\\s*else\\s*(return)\\s*-?\\d;\\s*if\\s*\\(\\s*!\\s*\\$\\w{1,40}\\)\\s\\s*{\\s*\\2\\s*\\d;\\s*}\\s*else\\s*{\\s*\\$\\w{1,40}\\s*=\\s*\\w{1,40}\\(\\1\\);\\s*@fputs\\(\\s*\\1,\\s*[\'"]EHLO\\s*\\$\\w{1,40}\\s*\\\\r\\\\n[\'"]\\s*\\);',
        '\\A\\s*\\#!/usr/bin/perl\\s*[^;]{1,200}use\\s+strict;\\s*undef\\s+\\$modules::Module::var;\\s*my\\s+\\(\\$Password,[^\\)]{1,200}\\$WinNT,\\$NTCmdSep,\\$UnixCmdSep',
        '\\$p=strpos\\(\\s*\\$tx,\'{\\#\',\\$p2\\+2',
        '\\A\\s*<\\?php\\s*file_put_contents\\s*\\(\\s*[\'"]\\w+\\.php[\'"]\\s*,\\s*base64_decode\\s*\\(\\s*[\'"][^\\;]{1,200}[\'"]\\s*\\)\\s*\\)\\s*;\\s*\\?>\\s*\\Z',
        '\\$headers\\s*\\.?=\\s*\\$_POST\\[[\'"](?:username|passwd|password|pass|user)[\'"]\\]\\.[\'"]\\\\n[\'"];\\s*if\\s*\\(mail\\(\\$recipient,\\$subject,\\$message,\\$headers\\)\\)\\s*\\{\\s*header\\("Location:\\s*[^\\)]{1,40}\\);\\s*\\}\\s*else\\s*\\{\\s*echo\\s*[\'"][^\'"]{1,40}[\'"];\\s*\\}\\s*\\?>',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$from\\s*=\\s*[\'"]From:\\s*\\w{0,39}\\s*<?hacker@',
        '\\$ip[\'"]?;\\s*\\$from\\s*=\\s*[\'"]From:\\s*Banco\\s+Azteka',
        '@?fclose\\s*\\(\\s*@?fwrite\\s*\\(\\s*@?fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](a|w)\\+?[\'"]\\s*\\)\\s*,\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\)\\s*\\)\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"]\\s*;){0,3}\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$headers\\s*\\)',
        '(\\$headers)\\s*\\.?=\\s*[\'"][^\'"]{1,40}[\'"];\\s*mail\\([^\\)]{1,40}(\\$\\w{1,40})\\s*\\);\\s*if\\s*\\(\\s*mail\\(\\s*[^\\)]{1,40}\\s*\\2\\s*,\\s*\\1\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;',
        '\\A\\s*<\\?php\\s+error_reporting\\(0\\);\\s*set_time_limit\\(0\\);\\s*@?ini_set\\(\'memory_limit\',\\s*\'\\d+M\'\\);\\s*if\\s*\\([^\\)]{1,20}\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\]\\)\\s*,\\s*\'\\w+\'\\)\\)\\s*\\{\\s*header\\([\'"]HTTP/1\\.1 301 Moved Permanently[\'"]\\);\\s*exit\\(?\\)?;\\s*\\}[^%]+\\}\\s*/\\*\\s+@hash:\\s+\\w{16,40}\\s+-\\s+\\w{1,9}\\s+\\*/\\s*\\Z',
        '\\A\\s*<\\?php\\s*\\$[0_O]{1,12}=[\'"][^\'"]*[\'"];\\s*\\$[0_O]{1,12}=[\'"]wp-admin[\'"];\\s*\\$[0_O]{1,12}=\\([^\\)]{20,60}[^`]{40000,45000}\\(\\);\\}unset\\(\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12},\\$[0_O]{1,12}\\);exit\\(\\);\\}\\}[\'"]\\);\\$\\{[\'"](?:\\\\x\\w{2}){1,12}[\'"]\\}\\[[^\\]]{1,99}\\]\\(\\);\\s*(?:\\?>|\\Z)',
        '<title>\\s*unzip\\s*file\\s*by\\s*ahwak2000',
        'refresh[\'"]\\s*content=[\'"]\\d+;\\s*url=(http://(?:bestselect2019|fastsmartassist|globalmedsreward|goodfastquality|herbal(?:drugsvalue|genericinc)|luckybestmart|newhealthprogram|online(?:firsttrade|hotprice|smartmall)|organicfirstdeal|pure(?:first|organice)shop|the(?:aidoutlet|pillsupply))\\.[senbrut]{1,3})/?[\'"]\\s*>\\s*<script\\s*type=[\'"]text/javascript[\'"]>\\s*window\\.location\\.href\\s*=\\s*[\'"]\\1[^\\?]{80,300}\\s*</body>\\s*</html>\\s*\\Z',
        '\\#!/usr/bin/(?:ba|z|t)?sh\\s*USEFUL\\s*=\\s*\\([^\\)]{1,99}\\)[^\\?]{999,2000}Cant\\s*Read\\s*\\[\\s*/etc/named\\.conf\\s*]\\\\c[\'"]\\s*fi\\s*echo\\s*-e\\s*[\'"][\'"]\\]\\}\\\\c[\'"]',
        '\\beval\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[.pass.\\]\\);\\s*exit\\(\\);',
        'eval\\(\\s*base64_decode\\(\\s*\\$o\\s*\\)\\s*\\);\\s*\\?>',
        'AddType\\s+application/x-httpd-cgi\\s+\\.alfa',
        '!\\s*isset\\s*\\(\\s*\\$_SESSION\\s*\\[\\s*([\'"]nst[\'"])\\s*\\]\\s*\\)\\s*\\w{2,3}\\s*\\$_SESSION\\s*\\[\\s*\\1\\s*\\]\\s*[^\\w]{2,3}\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*die\\s*\\(\\s*[\'"]\\s*<title>',
        '<\\?php\\s*@?include\\(\\s*[\'"]\\w{1,20}\\.php[\'"]\\s*\\);\\s*\\$ip\\w?\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);(\\s*\\$\\w{1,40}\\s*=\\s*\\$_POST\\[[\'"]CARD(?:TYPE|NUMBER|CVV2?)?\\w{1,10}[\'"]\\];){2}',
        'if\\s*\\(\\$else_dot\\)\\s*\\{\\s*\\$new_v_f=fopen\\([\'"]\\$f_creat_name\\.\\$else_dot[\'"],[\'"](?:w|a)\\+?[\'"]\\);\\s*\\}',
        '\\A\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*str_rot13\\s*\\(\\s*[\'"]iIugH9gTRC5pMitCT9HmWj9tXHNmuAuhvHzNANRz9[^\'"]+[\'"](?:\\s*\\)\\s*){1,6};\\s*\\?>\\s*<\\?php\\s*@?eval\\s*\\(\\s*gzinflate\\s*\\(\\s*base64_decode\\s*\\(\\s*',
        'html_footer\\s*\\(\\)\\s*\\{\\s*[^>]{1,99}<h\\d*>\\s*Coded\\s*by\\s*MizoZ',
        '\\{\\s*\\$\\w\\s*=\\s*Array\\s*\\((\\s*[\'"][^\'"]{1,40}[\'"],?\\s*){4}[\'"]aHR0cDovL2M4Ni50cnVlYmFia2EucnUv[\'"]',
        '<title>\\s*Facebook\\s*</title>\\s*<\\?php\\s*include(?:_once)?\\s*\\(?[\'"][^\\.]{1,99}\\.php[\'"]\\);',
        '\\}\\s*\\}\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*new\\s*(WebShell|backdoor)\\(\\);\\s*(?:\\?>)?\\s*\\Z',
        '\\A\\s*<\\?php\\s+system\\([\'"]pwd[\'"]\\)[^\\(]{1,40}system\\([\'"]cat\\s+/etc/passwd[^\\?]{1,600}define\\([\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\)\\s*;',
        '\\$\\w{1,10}\\s*=\\s*\\$\\w{1,10}\\s*\\+\\s*1;\\s*\\$txtspamed\\s*=\\s*[\'"]\\w{1,40}[\'"];\\s*if\\s*\\(\\s*!\\$\\w{1,40}\\s*\\)\\s*\\{',
        '\\A\\s*<\\?php(?:\\s*@\\w{7,15}\\([^\\)]{1,40}\\);){0,9}\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\((?:\\s*(?:base64_decode|gzinflate|gzuncompress|str_rot13)\\s*\\(){0,5}\\s*\\$_\\1\\s*\\[\\s*[\'"][^\'"]{1,40}[\'"]\\s*\\](?:\\s*\\)\\s*){1,6};\\s*\\}\\s*exit;\\s*(?:\\?>)?\\s*\\Z',
        '<title>\\s*HTTP\\s+404\\s+Not\\s+Found\\s*</title>[^`]{1,600}\\$\\w{1,40}\\s*=\\s*file_get_contents\\(\\s*[\'"](?:\\.\\./){5,9}?wp-config\\.php[\'"]',
        'if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[\\w{1,40}\\]\\s*==\\s*[\'"]stop[\'"]\\s*\\)\\s*\\{\\s*(?:@|\\#)?shell_exec\\s*\\(\\s*[\'"]killall\\s*bot\\.pl[\'"]\\);',
        '<title>\\s*[^\\w]{1,3}\\s*Trenggalek\\s+Mafia',
        '\\A\\s*<\\?php\\s*\\$\\w{1,9}\\s*=\\s*array\\([\'"][^@]+@(?:[\\w\\-\\.]+)\\.(?:[a-z]{2,5})[\'"]\\);\\s*(?:\\$\\w{1,9}=[\'"][^\']*[\'"];|\\$\\w{1,9}=array\\([^\\)]+\\);){1,5}for\\s*\\((\\$\\w)=0;\\1<\\d;\\1\\+\\+\\)\\s*\\{\\s*(\\$\\w{1,9})=\\$\\w{1,9}\\[\\1\\]\\s*;\\s*(\\$\\w{1,9})\\s*\\.=\\s*\\$\\w{1,9}\\[\\2\\]\\s*;\\s*\\}\\s*\\3\\([^\\)]{1,400}[\'"]\\);\\s*\\?>\\s*\\Z',
        'for\\s*\\(\\s*(\\$\\w)\\s*=\\s*0;\\s*\\1\\s*<\\s*strlen\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*\\);\\s*\\1\\s*=\\s*\\1\\s*\\+\\s*\\d+\\s*\\)\\s*\\$search\\s*\\.?=\\s*[\'"]%[\'"]\\s*\\.\\s*substr\\s*\\(\\s*\\$wp_file_descriptions\\[[\'"]md5_check\\.php[\'"]]\\s*,\\s*\\1,\\s*\\d+\\s*\\);\\s*\\$wp_template\\s*=\\s*@?preg_replace\\s*\\(',
        '(\\$message)\\s*\\.?=\\s*[\'"][\\$\\-\\s\\:+\\.=_\\w]{10,40}\\\\n[\'"]\\s*;\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*(\\$\\w{1,12})\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\\)]{1,40}[\'"]\\);\\s*fwrite\\(\\2\\s*,\\s*\\1\\s*\\);\\s*fclose\\(\\s*\\2\\s*\\)\\s*;\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        '\\#!/usr/bin/(?:ba|z|t)?sh\\s*DIR=\\$1\\s*IFS=\\$[^\\&]{199,399}\\s*permnum=[\'"]0777[\'"]\\s*permhuman=[\'"]drwxrwxrw[\'"][^\\?]{500,}\\$permcolor\\\\[\'"]\\},\\s*done\\s*echo\\s*[\'"]\\{\\}\\][\'"]',
        '\\#!/usr/bin/perl\\s*[^\\?]{450,600};\\s*system\\(\\s*decode_base64\\s*\\(\\s*\\$\\w{1,40}\\s*\\{\\s*[\'"]cmd[\'"]\\s*\\}\\s*\\)\\s*\\)\\s*;\\s*print\\s*[\'"]</pre>[\'"]\\s*\\}\\s*\\}',
        '\\A\\s*<\\?php\\s*\\$(?:auth)?_?pass\\s*=\\s*[\'"]\\w{0,40}[\'"];\\s*[^\\$]{0,99}\\s*(?:\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{1,40}[\'"];)?\\s*\\$\\w{1,40}\\s*=\\s*[\'"]FilesMan[\'"];[^\\}]{1,200}header\\([\'"]HTTP/1\\.0\\s+404\\s+Not\\s+Found[\'"]\\);\\s*exit',
        ';\\s*(passthru|exec|shell_exec|popen|system|eval)\\(\\s*[\'"]\\./findsock[^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\][^\\$]{1,40}\\$_SERVER\\[[\'"]REMOTE_PORT[\'"]\\]\\s*\\)\\s*\\?>',
        '<(?:h\\d|title)>\\s*Moshkela\\s+Hacker',
        'cover\\(\\s*[\'"]IndoXploit[\'"]\\s*\\);',
        'exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*\\}\\s*if\\s*\\(\\s*(\\$_POST)\\s*\\[\\s*(\'_evalText\')\\s*\\]\\s*\\)\\s*@?eval\\s*\\(\\s*\\1\\s*\\[\\s*\\2\\s*\\]\\s*\\)\\s*;\\s*if\\s*\\(\\s*\\1\\s*\\[\\s*\'_upl\'\\s*\\]\\s*[^\\w]{2,3}\\s*[\'"][^\'"]*[\'"]\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@copy\\s*\\(\\s*(\\$_FILES)\\s*\\[\\s*[^\\)]+\\s*\\)\\s*\\)\\s*\\{[^\\}]+\\}\\s*else\\s*\\{[^\\}]+\\}\\s*\\}',
        'printf\\("Usage: findsock ip port',
        '<title>\\s*PHP\\s*.\\s*Mailer\\s*by\\s*iskorpitx',
        'IndoXploit\\s*\\$\\w{1,40}\\s*=\\s*[\'"][^\'"]{0,40}(?:aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3|aHR0cDovL3Bhc3RlYmluLmNvbS9yYXc)[^\'"]{0,40}[\'"]\\s*;',
        '(?:\\$(?:message|spam|bilsmg)\\s*\\.?=\\s*[\'"]\\s*(?:Password|Pass|PWD?)[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);)[^\\?]{1,600}\\$headers\\s*\\.=\\s*\\$_POST\\[[\'"]eMailAdd[\'"]\\]',
        '<title>\\s*Don\\s+Cordoba\\s+Mailer',
        'if\\s*\\(\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{(?:\\s*\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;){2,4}\\s*header\\(\\s*[\'"]Location:',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$\\w{1,40}\\s*=\\s*\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*(\\$message)\\s*\\.?=\\s*[\'"]Email[^\\n]{1,40}\\\\n[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Password',
        '\\A\\s*<\\?php\\s+/\\*\\*\\s*\\*\\s*Smtp\\s*Auto\\s*Change\\s*Password\\s*By\\s*VvebOs',
        '\\$subject\\s*=\\s*[\'"][^\\$]{1,40}[\'"]\\.\\$ip\\.[""]\\\\n[\'"];\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        '@gzinflate\\(\\s*@base64_decode\\(\\s*@str_replac',
        ';\\s*\\$\\{[\'"](?:G|\\\\x47)(?:L|\\\\x4c)(?:O|\\\\x4f)(?:B|\\\\x42)(?:A|\\\\x41)(?:L|\\\\x4c)(?:S|\\\\x53)[\'"]\\}\\[[\'"](?:z|r|_|\\\\x7a|\\\\x5f|\\\\x72){1,40}[\'"]\\]\\(\\$[zr_]{1,40},CURLOPT_USERAGENT,\\\\[\'"]WHR\\\\[\'"]\\);',
        'echo\\s*[\'"]<pre>[\'"];\\s*system\\(\\$_REQUEST\\[\'c\'\\]\\);\\s*die;',
        '(\\$b374k)\\s*=\\s*@\\$\\w{1,40}\\([^\\)]{20,99}\\)\\)\\);[\'"]\\);\\s*@\\1\\([\'"]',
        '\\A\\s*<\\?php\\s*\\$\\w{1,9}pass\\s*=\\s*[\'"][^\'"]{1,40}[\'"];[^\\<]{1,600}function\\s+masuk\\(\\)\\s*\\{\\s*die\\([\'"]',
        '<html>\\s*<title>\\s*Symlink\\s*Bypass\\s*\\d+\\s*by\\s+hAxOr',
        '(\\$\\w{1,40})\\s*=\\s*[\'"][^\'"]{1,40}\\.html?[\'"]\\s*;\\s*(\\$\\w{1,4})\\s*=\\s*fopen\\(\\s*\\1\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*[^;]{0,39}\\s*;\\s*fwrite\\(\\s*\\2\\s*,\\s*(\\$MESSAGE)\\s*\\);\\s*fclose\\(\\2\\);\\s*@?mail\\(\\$TO,\\$SUBJECT,\\3,\\$HEADER\\);',
        ';\\s*print\\s+"Flooded:\\s*\\$ip\\s*on\\s*port\\s*\\$rand',
        '<title>\\s*Fastest\\s+Zone-H\\s*Mass\\s+Deface\\s+Poster',
        '\\)\\s*\\)\\s*;\\s*\\}\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"]block-mail\\.txt[\'"],\\s*[\'"]r[\'"]\\);',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$datamasii\\s*=\\s*date\\([\'"][^\'"]{1,40}[\'"]\\);\\s*\\$(user|userid|login|email)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\1[\'"]\\s*\\]\\s*;\\s*\\$(pass|password|pwd)\\s*=\\s*\\$HTTP_POST_VARS\\s*\\[\\s*[\'"]\\2[\'"]\\s*\\]\\s*;\\s*[^\\?]{1,600}\\s+@?mail\\s*\\(',
        '\\|\\s*md5\\s*\\(\\s*\\$_GET\\[[\'"]?[^\'"]{1,10}[\'"]?\\]\\s*\\)\\s*[^\\w]{1,2}=\\s*[\'"]\\w{24,40}[\'"]\\s*\\)\\s*die\\s*;\\s*function\\s+execute\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{[^\\?]{100,300}\\s*(\\$\\w{1,40})\\s*=\\s*@?shell_exec\\(\\$\\w\\);\\s*return\\s*\\1;\\s*\\}\\s*elseif',
        '\\A\\s*<\\?php\\s*(?:\\s*die\\s*\\(\\s*)?@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"](?:\\s*\\)\\s*){1,6};\\s*(?:\\?>|\\Z)',
        '<title>\\s*Dark Shell\\s*</title>.*fsockopen',
        '\\$su\\s*=\\s*str_replace\\(\'\\$name\'\\s*,\\s*\\$n\\s*,\\s*stripslashes\\(\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'z2\'\\s*\\]\\s*\\)\\s*\\)\\s*\\);',
        '\\$data = curl_get_from_webpage_one_time\\(\\$url',
        '\\$weff_client\\s*=\\s*new\\s+TWeffClient\\(\\);',
        '\\$Content_mb=getHTTPPage\\(\\$Remote_server\\."/index\\.(html|php)\\?host',
        'str_replace\\(\'define\\("PRENAME","\\d+"\\);\'\\s*,\\s*\'define\\("PRENAME"',
        '<title>\\s*Dark Shell\\s*</title>.+clearstatcache',
        '<\\?php\\s*\\$arrId\\s*=\\s*array\\((\'\\d+-\\d+\'\\s*,\\s*)',
        '\\$array\\s*=\\s*base64_decode\\(\\$array\\);\\s*@assert\\(\\$array\\);',
        '\\$\\w{1,40}\\s*=\\s*"[^"]+";\\$\\w+\\s*=(\\s*\\$\\w{1,40}\\[\\d+\\]\\s*\\.?){5,};\\$\\w+\\s*=\\s*[^;]+;\\$\\w+\\s*=\\s*"[^"]+";\\$\\w+\\s*=\\s*\\$\\w+\\s*\\.\\s*"',
        'curl_setopt\\s*\\(\\s*(\\$cu)\\s*,\\s*CURLOPT_RETURNTRANSFER\\s*,\\s*\\d\\s*\\)\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*curl_exec\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*curl_close\\s*\\(\\s*\\1\\s*\\)\\s*;\\s*@?\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\s*\\2\\s*\\)\\s*;\\s*\\}\\s*;\\s*die\\s*\\(\\s*\\)\\s*;\\s*\\?>\\s*\\Z',
        '\\{\\s*\\$\\w{1,4}\\s*=\\s*\\$\\w{1,4}\\[\\d+\\]\\s*;\\s*\\$\\w{1,4}\\s*=\\s*[\'"]moban[\'"]\\s*;\\s*\\}\\s*if\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[^\\]]{1,40}\\s*\\]\\s*\\)\\s*\\{',
        'if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?]\\s*[^\\w]{1,2}=\\s*[\'"]eval[\'"]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"]?exec[\'"]?\\]\\);\\s*exit;\\s*\\}\\s*(?://[^\\n]{1,80})?\\s*if\\s*\\(\\s*\\$_GET\\[[\'"]?cmd[\'"]?\\]\\s*==\\s*[\'"]GetArticleById[\'"]',
        'if\\s*\\(\\$mode_work\\s*==\\s*[\'"]cngbot[\'"]\\s*\\)\\s*\\{',
        '\\(\\s*[\'"]{0,1}DZe1r',
        'fopen\\(\\$s1\\.\'accesson\\.php',
        '\\./\\*-/\\*-\\*/"',
        'code\\.google\\.com/p/b374k-shell',
        '\\$\\w{1,40}\\s*=\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\'\\w+\'\\]\\s*\\(\\s*\'\'\\s*,\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*\'\\w+\'\\s*\\]\\s*\\(\\s*\\$_POST\\[\\s*\'\\w+\'\\s*\\]\\s*\\)\\s*\\)\\s*;[^`]+?iterator_apply\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+,\\s*array\\s*\\(\\s*\\$\\w+\\s*\\)\\s*\\)\\s*;',
        '\\$MESSAGE\\s*=\\s*wordwrap\\(\\$MESSAGE,\\d+\\)\\s*;\\s*[\\#]{50,80}\\s*\\$SUBJECT\\s*=\\s*["\']\\(\\$\\w{1,40}\\)\\((?:BILLING|LOGIN)\\)\\(\\$IP\\)\\(\\$(?:nama_negara|country)\\)[\'"];',
        'echo\\swelcome\\sto\\sr57\\sshell',
        '[\\#]{2}\\s*ReCoded\\s*By\\s*Syechrul\\s*Imam',
        '\\A\\s*<\\?php\\s*\\$GLOBALS\\[[^\\%]{60000,}%[^\\?]{999,3000}\\?\\s*[^\\&]{1000,1500}\\.\\./wp-config\\.php',
        '\\A\\s*<\\?php\\s+if\\(!function_exists\\("(\\w{1,40})"\\)\\){function\\s\\w+\\(\\$\\w+\\)\\{\\$\\w+=base64_decode\\(\\$\\w+\\);\\$\\w+=0;\\$\\w+=0;\\$\\w+=0;\\$\\w+=\\(ord\\(\\$\\w+\\[1\\]\\)<<8\\)\\+ord\\([^\\?]{1500,3000}\\?"\\.">"\\.\\$\\w+;return\\s\\$\\w+;\\}\\}\\}\\}eval\\(\\1\\("QAIAPD9waHAgABEkY29sb3Ig',
        '\\A\\s*<\\?php[ ]+system\\s*\\(\\s*[\'"]pwd[\'"]\\s*\\)\\s*(?:\\?>)?\\s*\\Z',
        'phpversion\\s*\\(\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*@?mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[\'"]find\\s[^;]{1,99}<head[\'"]{1,3};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]<script\\s+src\\s*=\\s*[\'"]https?://[^\\?]{1,40}\\.js\\?',
        '<title>\\s*To0?olz\\s+\\d+\\s*-\\s*Cyb3r-dz',
        '\\$emailusr\\s*\\.?=\\s*[\'"][^@]{1,40}@protonmail\\.com[\'"]\\s*;\\s*\\{?\\s*@?mail\\([^\\;]{1,200}\\)\\s*;\\s*\\}?\\s*\\s*header\\s*\\(\\s*[\'"]Location\\s*:[^\\)]{1,100}\\);\\s*(?:exit\\(\\);)?\\?>',
        'mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*[\'"][^\'"]{0,40}[\'"]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*print\\s*[\'"]OK(?:\\s*By\\s*King)?<br>[\'"]\\s*;\\s*flush\\s*\\(\\s*\\)\\s*;',
        '<title>\\s*Mailer\\s+By\\s+ME',
        '\\$(email|user|username|login)\\s*=\\s*\\$_POST\\[[\'"](email|user|username|login)[\'"]\\];\\s*\\$((?:\\1)?(?:pass|password|passwd))\\s*=\\s\\$_POST\\[[\'"]\\3[\'"]\\];\\s*\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*\\$message\\s*=\\s*[\'"][^\\$]{0,250}facebook',
        '<title>\\s*[^\\w\\s]{0,3}\\s*T\\.C\\.T\\s*[^\\w\\s]{0,3}\\s*</',
        '\\#\\#\\s+\\w{1,40}\\s+(Priv8|Private)\\s+Webshell',
        '\\A\\s*<\\?php\\s*/\\*[^\\*]{0,99}Mini\\s+Shell\\.?\\s+(?:@\\s+c[o0]ded\\s+)?by\\s+:\\s+shutdown57',
        '(\\$\\w{1,40})\\s*=\\s*file_get_contents\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)\\w{1,40}[\'"]\\s*\\);\\s*[^\\}]{1,100}\\s*fwrite\\(\\s*\\$\\w{1,4}\\s*,\\s*\\1\\s*\\);',
        '\\#\\s*Jakarta-Blackhat\\s*Hacker(?:`|\'|")s',
        'if\\s*\\(\\s*!\\s*empty\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\)\\s*\\)\\s*include(?:_once)?\\s*\\(\\s*\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\[[\'"]?(?:\\w{1,40})[\'"]?\\]\\s*\\);\\s*(\\$\\w{1,40})\\s*=\\s*getcwd\\(\\);\\s*if\\s*\\(\\s*strpos\\(\\s*\\1',
        '<\\?php\\s+\\$GLOBALS\\[[\'"]\\w{1,40}[\'"]\\]=Array\\([\'"][^\\)]{200,600}[\'"]\\);function\\s*\\w{1,40}\\(\\$\\w{1,40}\\)\\{\\$\\w{1,40}=Array\\((?:[\'"][^\'"]{1,40}[\'"]\\s*,){0,5}\\s*[\'"]https?://stoligowo\\.ru/',
        ';@\\$fun\\(\\s*str_rot13\\(',
        '\\}\\s*Wordpress\\s*\\$\\w{1,40}\\s*=\\s*fopen\\([\'"]4O4\\.php[\'"],[\'"](a|w)\\+?[\'"]\\);',
        'if\\s*\\(\\s*isset\\s*\\(\\s*@?\\$_GET\\[[^\\]]{1,40}\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*DirFilesR\\s*\\(\\s*@?\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]]\\s*\\)\\s*;',
        '\\A\\s*<\\?(?:php)?\\s*@?eval\\s*\\(\\s*base64_decode\\s*\\(\\s*["\']ZXJyb3JfcmVwb3J0aW5nKDApOw0KJHNoX2[^\'"]{60000,}[\'"]\\)\\);\\s*\\?>\\Z',
        '(\\$headers)\\s*\\.?=\\s*\\$_POST\\[[\'"]\\$ip[\'"]\\]\\.?[\'"]?\\\\n[\'"];\\s*mail\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;\\s*header\\s*\\(\\s*[\'"]Location:[^\'"]{1,40}[\'"]\\s*\\)\\s*;\\s*\\?>',
        '\\A\\s*<\\?php\\s*error_reporting\\(\\d\\);[^\\?]{300,600}</form>[\'"];\\s*if\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?]\\s*[^\\w]{1,2}=\\s*"home"\\s*\\)\\s*\\{\\s*if\\s*\\(\\s*@?copy\\(\\$_FILES\\[[\'"]?[^\'"]{1,40}[\'"]?\\][^\\?]{40,200}\\s*else\\s*\\{\\s*[^\\}]{1,40}\\s*\\}\\s*\\}\\s*exit;\\s*\\}\\s*\\?>\\s*\\Z',
        '\\$\\w{1,40}\\(\\);\\s*\\}\\s*\\}\\s*\\?>\\s*<html>\\s*<head><title>404\\s+Not\\s+Found',
        'implode\\(".r.n",array\\("%1html%3","%1head%3",head\\(\\),"%2head%3","%1body%3',
        '<\\?php\\s+\\$Class_WP_Index\\s*=\\s*"',
        '<title>\\s*Bypass\\s*Root\\s*Path\\s*by\\s*Mauritania\\s*Attacker',
        '\\A\\s*<\\?(?:php)?\\s+[^\\{]{1,400}\\s*class\\s+pBot\\s*\\{\\s*var\\s*\\$',
        '<br>\\s*(?:\\[info\\])?\\s*Gaza\\s+HaCKeR\\s+Team\\s*<',
        ',\\s*[\'"]index\\.html\\.bak\\.bak[^\\?]{1,600}\\$is_(?:wp|wordpress)\\s*=\\s*(?:false|0);\\s*\\$is_(?:jm|joomla)\\s*=\\s*(?:false|0);',
        'DOCUMENT_ROOT[\'"]\\]\\s*\\.\\s*[\'"][^\'"]{1,40}[\'"]\\s*;\\s*(\\$\\w{1,40})\\s*=\\s*\\w{1,40}\\s*\\(\\s*[\'"]https?://pastebin\\.com/(?:raw|download)(?:\\.php\\?i=|/)[^\'"]{1,40}[\'"]\\s*[^\'"]{1,40}[\'"](a|w)\\+?[\'"]\\)\\s*;\\s*fwrite\\s*\\(\\s*\\$\\w{1,40}\\s*,\\s*\\1\\s*\\)\\s*;',
        '<TITLE>\\s*cgi-shell\\.py',
        '\\A\\s*<\\?php\\s*if\\s*\\(\\s*\\!\\s*class_exists\\s*\\([^@]{250,600}const\\s*\\w{1,40}\\s*=\\s*[\'"][ ]{200,}\\s*@?(?:eval|assert|system|shell_exec|exec|popen|passthru)\\s*\\(\\$_(?:GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[[^\\]]{1,40}\\]\\s*\\)\\s*;\\s*[\'"]\\s*;',
        'my\\s*%\\w{1,9}\\s*=\\s*\\(\\);\\s*my\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]/etc/passwd[\'"];\\s*open\\s*\\(\\s*PASSWD,\\s*[\'"]\\s*<\\s*\\1',
        '<title>\\s*Small\\s*Web\\s*Shell\\s*by',
        '\\)\\s*,\\s*array\\(\\s*\\$resf,\\s*\\$ltime,\\s*\\$delp\\s*\\),\\s*base64_decode\\s*\\(\\s*[\'"][^\'"]{1000,5000}[\'"]\\s*\\)\\s*\\);\\s*file_put_contents\\s*\\(',
        '<title>\\s*Ani\\s*-\\s*Shell',
        ';\\s*[\\#]{5,200}\\s*\\$SUBJECT\\s*=\\s*[\'"]\\s*\\((AMAZON|ADOBE|AZURE)\\)\\s*\\((BILLING|LOGIN)\\)\\s*\\(\\s*\\$IP\\s*\\)\\s*\\(\\s*\\$COUNTRYNAME\\s*\\)\\s*[\'"]\\s*;',
        '<title>\\s*Katrina\\s+v\\d+\\.\\d+\\s*-\\s*Welcome\\s*Master',
        'if\\s*\\(\\s*\\$params\\s*[^\\w]{1,2}=\\s*false\\s*\\|\\|\\s*substr\\(\\$_SERVER\\[[\'"]HTTP_USER_AGENT[\'"]\\],\\s*\\d+,\\s*\\d+\\)\\s*[^\\w]{1,2}=\\s*[\'"]Spark[\'"]\\)\\s*\\{\\s*header\\([\'"]Status:\\s*404\\s*Not\\s*Found[\'"]\\);[^`]{2000,2500}botid\\s*=',
        '<title>\\s*Handanovix\\s*X_Shell\\s*GTA',
        '<title>\\s*C99\\s*(?:mad)?\\s*shell',
        '<title>\\s*Security007\\s+webshell',
        '\\}\\s*function\\s*comshelL\\(\\s*(\\$\\w{1,40})\\s*,\\s*(\\$\\w{1,40})\\s*\\)\\s*\\{\\s*(\\$\\w{1,40})\\s*=\\s*\\2->exec\\s*\\(\\s*"cmd\\.exe\\s+/?\\w?\\s*\\1"\\);\\s*(\\$\\w{1,40})\\s*=\\s*\\3->StdOut\\(\\);\\s*return\\s*\\4->ReadAll\\(\\);\\s*\\}\\s*function',
        '\\A\\s*<\\?php\\s*\\$\\w{1,40}\\s*=\\s*[^;]{1,40};\\s*\\$\\w{1,40}\\s*=\\s*[\'"]?\\$?_SERVER[\'"]?;[^\\}]{1,200}\\}\\s*\\}\\s*(\\$\\w{1,40})\\s*=\\s*[\'"]curl_init[\'"]\\s*;\\s*[^{]+if\\s*\\(\\s*is_callable\\(\\1\\)\\s*\\)',
        '<title>\\s*AnonymousFox',
        '\\}\\s*else\\s*\\{\\s*if\\s*\\(\\$_POST\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\)\\s*\\{\\s*@?eval\\(\\$_POST\\[[\'"][^\'"]{1,40}[\'"]\\]\\);\\s*\\}\\s*\\}\\s*\\}\\s*\\}\\s*add_filter\\(\\s*[\'"]init[\'"],\\s*[\'"]wp_is_plugin_load[\'"]\\);\\s*\\}\\s*add_action\\(\\s*[\'"]init[\'"],\\s*array\\(\\s*[\'"]Akismet[\'"],',
        '<title>\\s*EgY_SpIdEr\\s+ShElL',
        '\\A\\s*<\\?php\\s+if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(?:GET|POST|SERVER|REQUEST)\\[[\'"]?[^\'"]{1,40}[\'"]?\\]\\s*\\)\\s*\\)\\s*\\{\\s*[^;]{20,60};\\s*(\\$\\w{1,40})\\s*=\\s*(\\$_SERVER)\\[[\'"]HTTP_HOST[\'"]\\];\\s*(\\$inj)\\s*=\\s*\\2\\[[\'"]REQUEST_URI[\'"]\\];\\s*\\$\\w{1,40}\\s*=\\s*rawurldecode\\(\\1\\.\\3\\);\\s*\\$\\w{1,40}\\s*=\\s*@?mail\\s*\\(',
        '\\A\\s*<\\?php\\s+(\\$\\w{1,40})\\s*=\\s*[\'"].{100,200};\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\s*=\\s*\\1.{6000,8000}\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$GLOBALS\\[[\'"][^\'"]{1,40}[\'"]\\]\\(\\1,\\s*\\$\\w{1,40}\\[\\$\\w{1,40}\\]\\)\\);\\s*\\?>',
        '<title>\\s*Sim\\s*Shell\\s*-?\\s*Simorgh',
        '\\$\\w{1,40}\\[\\w{1,40}\\]\\s*=\\s*[\'"][^\'"]{1,40}[\'"];(\\s*(system|shell_exec|exec|popen|passthru)\\s*\\(\\)\\s*;){3,5}',
        '\\};@?eval\\(\\$[O0]{4,24}\\([\'"]QHNldF90aW1lX2xpbWl0KDM2MDApOw0KQGlnbm9yZV91c2VyX2Fib3',
        '(\\$message)\\s*=\\s*[\'"][^\'"]{0,40}OFFICE\\s+365\\s+[^\'"]{0,40}[\'"];\\s*[^\\?]{1,400}\\s*\\1\\s*\\.?=\\s*[\'"](Password|pwd|pass)',
        '\\A\\s*<\\?php\\s*\\$\\w{0,9}_pass\\s*=\\s*[\'"]\\w{20,40}[\'"]\\s*;(?:\\s*\\$\\w{1,40}\\s*=\\s*\\s*[\'"][^\'"]{1,40}[\'"]\\s*;)\\s*\\$\\w{0,9}title\\s*=\\s*[\'"]\\s*b374k',
        '\\]\\(""\\s*,\\s*@\\$_COOKIE\\[',
        '\\A\\s*(<\\?php\\s+)function\\s+\\w{1,40}\\(\\s*\\$\\w{1,40}\\s*\\)\\s*\\{\\s*[^/]{200,300};\\s*@?eval\\s*\\(\\s*\\$\\w{1,40}\\s*\\.\\s*[\'"]fZDdbtQwEIVfZS6q2pESlC3lZ4Ny1QYK6qp[^\\)]{500,600}\\);\\s*/\\*[^\\*]{20,48}\\*/',
        '(,\\s*[\'"]\\^[^\'"]+[\'"]\\s*,\\s*){1,}["\']\\^[^\'"]+["\']\\s*,\\s*"[^"]*"\\s*\\)\\s*;\\s*if\\s*\\(\\s*in_array\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*[\'"][^\'"]+[\'"]\\s*\\]\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*\\)\\s*\\{\\s*header\\s*\\(\\s*\'HTTP/1\\.0 404 Not Found\'\\s*\\)\\s*;\\s*exit\\s*\\(\\s*\\)\\s*;\\s*\\}\\s*else\\s*\\{\\s*foreach\\s*\\(\\s*\\$\\w{1,40}\\s*as\\s*\\$\\w{1,40}\\s*\\)\\s*\\{',
        '\\$g___g_\\s*=\\s*\\$',
        '\\)\\s*eval\\(gzuncompress\\(base64_decode\\(\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[',
        '<title>\\s*\\[?Mister\\]?\\s*\\[?Spy\\]?\\s*Masse\\s*-\\s*S3ND3R',
        '(\\$message)\\s*\\.=\\s*[\'"][^\'"]{1,40}Office365[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"]Email\\s*:\\s*[^;]{1,40}[\'"];\\s*\\1\\s*\\.?=\\s*[\'"](Password|Pass|Pwd)\\s*:[^;]{1,40}[\'"];\\s*[^`]{1,600}\\$send',
        '<title>\\s*[^\\<]{0,19}\\s*r57c99\\.com',
        'if\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]phoneNumber[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\|\\|\\s*\\$_POST\\s*\\[\\s*[\'"]recEmail[\'"]\\s*\\]\\s*!=[\'"]\\s*[\'"]\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=\\s*mail\\s*\\(\\s*[^\\)]{1,40}\\s*\\$message\\s*,\\s*\\$headers\\s*\\)\\s*;',
        '(\\$\\w{1,40})\\s*=\\s*array\\s*\\(\\s*(\\$\\w{1,40})\\s*,\\s*\\$ip\\s*\\)\\s*;\\s*foreach\\s*\\(\\s*\\1\\s*as\\s*\\2\\s*\\)\\s*mail\\s*\\(\\s*\\2\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*,\\s*\\$\\w{1,40}\\s*\\)\\s*;\\s*\\$\\w{1,40}\\s*=\\s*fopen\\s*\\(\\s*[\'"][^\'"]{1,40}[\'"]\\s*,\\s*[\'"](?:a|w)\\+?[\'"]\\s*\\)\\s*;',
        '\\?>\\s*<\\?(?:php)?\\s*eval\\(base64_decode\\([\'"][^\'"]{1000,3000}[\'"]\\)\\);\\s*\\?>\\s*</title>',
        '\\$ip\\s*=\\s*(?:getenv\\(|\\$_SERVER\\[)[\'"]REMOTE_ADDR[\'"](?:\\)|\\]);\\s*.{0,600}\\s*(\\$(?:message|spam|bilsmg))\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;(?:\\s*\\1\\s*\\.?=\\s*[\'"]\\s*(?!(Subscr|news))[^\\n]{1,60}([\'"]?\\\\n[\'"]|[\'"]/[\'"]);){1,12}\\s*\\1\\s*\\.?=\\s*[\'"][\\[\\]<>\\!\\*\\&\\-\\s\\:\\|+\\.=_\\w]{10,90}\\\\n[\'"]\\s*;',
        'else\\{print "preg_fail";\\}\\}else\\{print "preg_empty"',
        '(\\$\\w+)=\'base64_decode\';(\\$\\w+)=\'create_function\';if\\(!empty\\(\\$_REQUEST\\[\'(\\w+)\'\\]\\)\\){(\\$\\w+)=strrev\\(\\$_REQUEST\\[\'\\3\'\\]\\);(\\$\\w+)=\\2\\(\'\',\\1\\(\\4\\)\\);\\5\\(\\);}',
        '\\$_\\w{1,40}\\s*=\\s*basename\\s*\\(\\s*trim\\s*\\(\\s*preg_replace\\s*\\(\\s*rawurldecode\\s*\\(\\s*"[^"]{1,200}"\\s*\\)\\s*,\\s*\'\'\\s*,\\s*__FILE__\\s*\\)\\s*\\)\\s*\\)\\s*;',
        'base64_decode\\(\'ZXJyb3JfcmVwb3J0aW5n\'\\),base64_decode\\(\'Y3Vyb',
        '(\\$\\w+)=scandir\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\);for\\((\\$\\w+)=0;\\2<count\\(\\1\\);\\2\\+\\+\\){if\\(stristr\\(\\1\\[\\2\\],\'php\'\\)\\){(\\$\\w+)=filemtime\\(\\$_SERVER\\[\'DOCUMENT_ROOT\'\\]\\."/"\\.\\1\\[\\2\\]\\);break;}}touch\\(dirname\\(__FILE__\\),\\3\\);touch\\(\\$_SERVER\\[\'SCRIPT_FILENAME\'\\],\\3\\);.*?(\\$\\w+)=new ZipArchive\\(\\).*?\\4->extractTo\\(\\$\\w+\\);.*?<form enctype="multipart/form-data" method="post" action=""><label><input class="\\w+" type="file" name="\\w+" /></label><br /><input type="submit" name="submit" class="\\w+" value="\\w+" /></form></body></html>',
        '(\\$\\w+)=\'preg_replace\';(\\$\\w+)=\'eval\\(base64_decode\\("[^"]+"\\)\\);.*?;(\\$\\w+)="/(\\w+)/e";\\1\\(\\3,\\2,\'\\4\'\\);',
        '\\);\\$\\w+=\\$\\w+\\(\'\',\\$\\w+\\(\\$\\w+\\("\\w+","",\\$\\w+\\.\\$\\w+\\.\\$\\w+\\.\\$\\w+\\)\\)\\);\\$\\w+\\(\\);',
        '(\\$\\w+)="assert";\\1\\([\'|"]eval\\(gzuncompress\\(base64_decode\\([\'|"][^\'|^"]+\'\\)\\)\\);[\'|"]\\);exit;',
        '<\\?php\\s*goto\\s*\\w{1,40};\\w{1,40}.{24000,28000}goto\\s*\\w{1,40};\\w{1,40}:\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\(\\$\\w{1,40}\\)\\)\\)\\);\\?>',
        '\\]\\[\\d+\\]\\(\\$_\\d+\\);include\\("\\{\\$_\\d+\\}\\w{1,40}\\.php"\\);\\$GLOBALS\\[\'_',
        '<\\?php\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*(eval|assert)\\s*\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\?>',
        'if\\s*\\(\\s*isset\\s*\\(\\s*\\$\\s*\\{\\s*["\'][^\'"]*["\']\\s*\\}\\s*\\[\\s*[\'"][^"\']*[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*=["\'][^"\']*["\']\\s*;\\s*\\$\\w{1,40}\\s*\\(\\s*\'[^\']*\'\\s*,\\s*\\$\\s*\\{\\s*["\'][^"\']*["\']\\s*\\}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*,\\s*[\'"][^\']*[\'"]\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}',
        'if\\(isset\\((\\$_(?:GET|POST|REQUEST|COOKIE)\\[\'\\w{1,40}\'\\])\\)\\)\\{eval\\(\\1\\);exit;\\}',
        'extract\\(\\$_(?:GET|POST|REQUEST|COOKIE)\\)&&\\$shall\\(stripslashes\\(\\$\\w{1,40}\\)\\s*\\)&&exit;',
        '<\\?php\\s*if\\s*\\(\\s*!function_exists\\s*\\(\\s*\'(_[^\']*)\'\\s*\\)\\s*\\)\\s*\\{\\s*\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*=\\s*Array\\s*\\(\\s*\'[^\']*\'\\s*\\)\\s*;\\s*.+?\\$\\w{1,40}\\s*\\[\\s*\'[^\']*\'\\s*\\]\\s*\\[\\s*\\d+\\s*\\]\\s*\\(\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*,\\s*\\$_(GET|POST|COOKIE|REQUEST)\\s*\\[\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\]\\s*,\\s*\\1\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*;\\s*exit\\s*;\\s*\\}\\s*\\}',
        '(\\$\\w{1,20}(\\[[\'"].[\'"]\\])?\\s*\\.\\s*){10,20}',
        '\\$\\s*(?:\\{[^{}]+\\}\\s*)+\\([^()]*\\$\\s*\\{',
        'array_filter\\(\\s*(/\\*.+?\\*/)?\\s*@{0,}array\\(\\s*(/\\*.+?\\*/)?@{0,}\\${"_(GET|POST|COOKIE|REQUEST|SERVER)',
        '\\$\\w+\\s*=\\s*\\$\\w+\\s*\\(\\s*\\$\\w+\\s*,\\s*\\$\\w+\\s*,\\s*\'\'\\s*\\);',
        '(\\$\\w+\\s*=\\s*([\'"]\\w*[\'"]|\\d+);\\s*){2,}\\$\\w+\\s*=\\s*array\\s*\\((["\'][a-zA-Z0-9/+=_]{2,}["\']\\s*(,\\s*)?){10,}?',
        '\\${\\s*\\w+\\s*\\(\\s*["\':][^\':"]+["\']\\)\\s*}\\s*\\(\\w+\\s*\\(',
        'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*__FILE__\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|COOKIE|SERVER|REQUEST)\\[\\s*[\'"]\\w+[\'"]\\s*\\]\\s*\\)\\s*\\)\\s*\\)\\s*echo\\s*\'OK\';',
        '<iframe src="https?://[^"]+"\\s*frameborder="0%?"\\s*width="0%?"\\s*height="0%?"',
        '(\\$\\w{1,20}\\s*=\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+(\\^|\\&|\\|)\\s*(("[^"]+"|\'[^\']+\'|\\w{1,20})\\s*\\.?\\s*)+;\\s*){5,}',
        '\\b((pics|hot|online)|(cumshot|blowjob|uncensored|viagra|cialis|levitra|tramadol|nude|celebrity|porno?|gay|teens?|squirt|sexiest|sex|fuck|tits?|lesbian)\\b[\\s\\-]+){2,}',
        'new\\s*CoinHive\\.Anonymous',
        '<title>\\s*Navicat\\s*HTTP\\s*Tunnel\\s*Tester\\s*</title>',
        'default_action\\s*=\\s*\\\\[\'"]FilesMan',
        'default_action\\s*=\\s*[\'"]FilesMan',
        'IO::Socket::INET->new\\(Proto\\s*=>\\s*"tcp"\\s*,\\s*LocalPort\\s*=>\\s*36000\\s*,\\s*Listen\\s*=>\\s*SOMAXCONN',
        '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]{0,1}p2[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}chmod[\'"]{0,1}',
        'Captain\\s+Crunch\\s+Team',
        'by\\s+Grinay',
        'hacked\\s+by\\s+Hmei7',
        'system\\s+file\\s+do\\s+not\\s+delete',
        '\\$info \\.= \\(\\(\\$perms\\s*&\\s*0x0040\\)\\s*\\?\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\\\\[\'"]s\\\\[\'"]\\s*:\\s*\\\\[\'"]x\\\\[\'"]\\s*\\)\\s*:\\(\\(\\$perms\\s*&\\s*0x0800\\)\\s*\\?\\s*\'S\'\\s*:\\s*\'-\'\\s*\\)',
        'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*\\\\[\'"]HTTP_HOST\\\\[\'"]\\s*\\]\\s*\\)',
        'WSOsetcookie\\s*\\(\\s*md5\\s*\\(\\s*@?\\$_SERVER\\[\\s*[\'"]HTTP_HOST[\'"]\\s*\\]\\s*\\)',
        'wsoEx\\s*\\(\\s*\\\\[\'"]\\s*tar\\s*cfzv\\s*\\\\[\'"]\\s*\\.\\s*escapeshellarg\\s*\\(\\s*\\$_POST\\[\\s*\\\\[\'"]p2\\\\[\'"]\\s*\\]\\s*\\)',
        'eval\\s*\\(?\\s*base64_decode\\s*\\(?\\s*@?\\$_',
        'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*\\\\[\'"]filepath\\\\[\'"]\\s*\\]\\s*\\)',
        'filepath\\s*=\\s*@?realpath\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]filepath[\'"]\\s*\\]\\s*\\)',
        'rename\\s*\\(\\s*\\s*[\'"]{0,1}wso\\.php[\'"]{0,1}\\s*,',
        '\\$MessageSubject\\s*=\\s*base64_decode\\s*\\(\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}msgsubject[\'"]{0,1}\\s*\\]\\s*\\)',
        'SELECT\\s+1\\s+FROM\\s+mysql\\.user\\s+WHERE\\s+concat\\(\\s*`user`\\s*,\\s*\'@\'\\s*,\\s*`host`\\s*\\)',
        'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*[\'"]HTTP_ACCEPT_LANGUAGE',
        'passthru\\s*\\(?\\s*getenv\\s*\\(?\\s*\\\\[\'"]HTTP_ACCEPT_LANGUAGE',
        '{\\s*\\$\\s*{\\s*passthru\\s*\\(?\\s*\\$cmd\\s*\\)\\s*}\\s*}\\s*<br>',
        'runcommand\\s*\\(\\s*[\'"]shellhelp[\'"]\\s*,\\s*[\'"](GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]',
        'ncftpput\\s*-u\\s*\\$ftp_user_name',
        '\\$login\\s*=\\s*@?posix_getuid\\(?\\s*\\)?',
        '!@?\\$_REQUEST\\s*\\[\\s*[\'"]c99sh_surl[\'"]\\s*\\]\\s*\\)',
        'setcookie\\(?\\s*[\'"]mysql_web_admin_username[\'"]\\s*\\)?',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]\\$cmd\\s+1>\\s*/tmp/cmdtemp\\s+2>&1;\\s*cat\\s+/tmp/cmdtemp;\\s*rm\\s+/tmp/cmdtemp[\'"]\\);',
        '\\$fe\\([\'"]\\$cmd\\s+2>&1[\'"]\\)',
        '\\$function\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}cmd[\'"]{0,1}\\s*\\]\\s*\\)?',
        '\\$cmd\\s*=\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*\\)',
        'eva1[a-zA-Z0-9_]+Sir',
        '\\$ini\\s*\\[\\s*[\'"]{0,1}users[\'"]{0,1}\\s*\\]\\s*=\\s*array\\s*\\(\\s*[\'"]{0,1}root[\'"]{0,1}\\s*=>',
        'proc_open\\s*\\(\\s*[\'"]{0,1}IHSteam',
        '[\'"]{0,1}httpd\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}vhosts\\.conf[\'"]{0,1}\\s*,\\s*[\'"]{0,1}cfg\\.php[\'"]{0,1}\\s*,\\s*[\'"]{0,1}config\\.php[\'"]{0,1}',
        '\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}root[\'"]{0,1}\\s*\\]\\s*}',
        'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*/e[\'"]{0,1}',
        'eval\\s*\\(?\\s*file_get_contents\\s*\\(?',
        '@?setcookie\\s*\\(?\\s*[\'"]{0,1}hit[\'"]{0,1},\\s*1\\s*,\\s*time\\s*\\(?\\s*\\)?\\s*\\+',
        'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*@?\\$_',
        'eval\\s*\\(?@?\\s*stripslashes\\s*\\(?\\s*array_pop\\s*\\(?\\s*@?\\$_',
        'fopen\\s*\\(?\\s*[\'"]{0,1}/etc/passwd[\'"]{0,1}',
        '\\$GLOBALS\\[[\'"]{0,1}____',
        'is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\)?\\s+and\\s+!in_array\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*,\\s*\\$disablefuncs',
        'file_get_contents\\s*\\(?\\s*trim\\s*\\(\\s*\\$.+?\\[\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}.+?[\'"]{0,1}\\]\\]\\)\\);',
        'wp_posts\\s+WHERE\\s+post_type\\s*=\\s*[\'"]{0,1}post[\'"]{0,1}\\s+AND\\s+post_status\\s*=\\s*[\'"]{0,1}publish[\'"]{0,1}\\s+ORDER\\s+BY\\s+`ID`\\s+DESC',
        'exec\\s*\\(\\s*[\'"]ipfw',
        'strrev\\(?\\s*[\'"]{0,1}tressa[\'"]{0,1}\\s*\\)?',
        'strrev\\(?\\s*[\'"]{0,1}edoced_46esab[\'"]{0,1}\\s*\\)?',
        'function\\s+urlGetContents\\s*\\(?\\s*\\$url\\s*,\\s*\\$timeout\\s*=\\s*\\d+\\s*\\)',
        'fwrite\\s*\\(?\\s*\\$fpsetv\\s*,\\s*getenv\\s*\\(\\s*[\'"]HTTP_COOKIE[\'"]\\s*\\)\\s*',
        'isset\\s*\\(?\\s*\\$_POST\\s*\\[\\s*[\'"]{0,1}execgate[\'"]{0,1}\\s*\\]\\s*\\)?',
        'UNION\\s+SELECT\\s+[\'"]{0,1}0[\'"]{0,1}\\s*,\\s*[\'"]{0,1}<\\? system\\(\\\\\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[cpc\\]\\);exit;\\s*\\?>[\'"]{0,1}\\s*,\\s*0\\s*,0\\s*,\\s*0\\s*,\\s*0\\s+INTO\\s+OUTFILE\\s+[\'"]{0,1}\\$[\'"]{0,1}',
        '\\$GLOBALS\\[[\'"]{0,1}.+?[\'"]{0,1}\\]=Array\\s*\\(\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)\\s*,\\s*base64_decode\\s*\\(\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\)',
        'preg_replace\\s*\\(?\\s*[\'"]{0,1}/\\.\\*\\[.+?\\]\\?/e[\'"]{0,1}\\s*,\\s*str_replace',
        '\\$GLOBALS\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\d+\\s*,\\s*_\\d+\\s*\\(\\s*\\d+\\s*\\)\\s*\\)\\s*\\)',
        '\\$beecode\\s*=@?file_get_contents\\s*\\(?[\'"]{0,1}\\s*\\$urlpurs\\s*[\'"]{0,1}\\)?\\s*;\\s*echo\\s+[\'"]{0,1}\\$beecode[\'"]{0,1}',
        '\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"].+?[\'"]\\s*;\\s*\\$x\\d+\\s*=\\s*[\'"]',
        '<\\?php\\s+\\$_F\\s*=\\s*__FILE__\\s*;\\s*\\$_X\\s*=',
        'if\\s+\\(?\\s*mail\\s*\\(\\s*\\$recp\\s*,\\s*\\$subj\\s*,\\s*\\$stunt\\s*,\\s*\\$frm',
        'if\\s+\\(\\s*strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/mootools\\.js[\'"]\\s*\\)\\s*===\\s*false\\s+&&\\s+strpos\\s*\\(\\s*\\$url\\s*,\\s*[\'"]js/caption\\.js[\'"]{0,1}',
        'eval\\s*\\(?\\s*stripslashes\\s*\\(?\\s*array_pop\\(?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'if\\s*\\(?\\s*isset\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\]\\s*\\)?\\s*\\)\\s*{\\s*\\$\\w+\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}\\w+[\'"]{0,1}\\s*\\];\\s*eval\\s*\\(?\\s*\\$\\w+\\s*\\)?',
        'preg_replace\\s*\\(\\s*[\'"]/\\^\\(www\\|ftp\\)\\\\\\./i[\'"]\\s*,\\s*[\'"][\'"],\\s*@\\$_SERVER\\s*\\[\\s*[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\s*\\]\\s*\\)',
        'if\\s*\\(!function_exists\\s*\\(\\s*[\'"]posix_getpwuid[\'"]\\s*\\)\\s*&&\\s*!in_array\\s*\\(\\s*[\'"]posix_getpwuid',
        '=\\s*preg_split\\s*\\(\\s*[\'"]/\\\\,\\(\\\\ \\+\\)\\?/[\'"],\\s*@?ini_get\\s*\\(\\s*[\'"]disable_functions',
        '\\$b\\s*\\.\\s*\\$p\\s*\\.\\s*\\$h\\s*\\.\\s*\\$k\\s*\\.\\s*\\$v',
        '\\(\\s*[\'"]INSHELL[\'"]\\s*',
        '(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]___[\'"]\\s*',
        'array_pop\\s*\\(?\\s*\\$workReplace\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*,\\s*\\$countKeysNew',
        'if\\s*\\(?\\s*@?preg_match\\s*\\(?\\s*str',
        '@\\$_COOKIE\\[[\'"]{0,1}statCounter[\'"]{0,1}\\]',
        'fopen\\s*\\(?\\s*[\'"]http://[\'"]\\s*\\.\\s*\\$check_domain\\s*\\.\\s*[\'"]:80[\'"]\\s*\\.\\s*\\$check_doc\\s*,\\s*[\'"]r[\'"]',
        '@?gzinflate\\s*\\(\\s*@?base64_decode\\s*\\(\\s*@?str_replace',
        'file_put_contentz\\s*\\(?\\s*\\$',
        '&&\\s*function_exists\\s*\\(?\\s*[\'"]{0,1}getmxrr[\'"]{0,1}\\)\\s*\\)\\s*{\\s*@getmxrr\\s*\\(?\\s*\\$',
        '\\$postResult\\s*=\\s*curl_exec\\s*\\(?\\s*\\$ch',
        'function\\s+sql2_safe\\s*\\(',
        'exit\\s*\\(\\s*[\'"]{0,1}<script>\\s*setTimeout\\s*\\(\\s*\\\\[\'"]{0,1}document\\.location\\.href',
        'eval\\(\\s*stripslashes\\(\\s*\\\\\\$_REQUEST',
        '!touch\\([\'"]{0,1}\\.\\./\\.\\./language/',
        'Dc0RHa[\'"]',
        'header\\s*\\([\'"]Location:\\s*[\'"]\\s*\\.\\s*\\$to\\s*\\.\\s*urldecode',
        'if\\s*\\(\\s*stripos\\s*\\(\\s*\\$_SERVER\\[[\'"]{0,1}HTTP_USER_AGENT[\'"]{0,1}\\]\\s*,\\s*[\'"]{0,1}Android[\'"]{0,1}\\)\\s*!==false\\s*&&\\s*!\\$_COOKIE\\[[\'"]{0,1}dle_user_id',
        'echo\\s+@file_get_contents\\s*\\(\\s*\\$get',
        'default_action\\s*=\\s*[\'"]{0,1}FilesMan[\'"]{0,1}',
        'Mysterious\\s+Wire',
        'preg_replace\\s*\\(?\\s*[\'"]/\\.\\+/esi',
        'define\\s*\\(?\\s*[\'"]SBCID_REQUEST_FILE[\'"]\\s*,',
        '\\$tld\\s*=\\s*array\\s*\\(\\s*[\'"]com[\'"],[\'"]org[\'"],[\'"]net[\'"]',
        'Brazil\\s+HackTeam',
        'if\\(!empty\\(\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)\\s+AND\\s+\\(md5\\(\\$_POST\\[[\'"]{0,1}nick[\'"]{0,1}\\]\\)\\s*==\\s*[\'"]{0,1}',
        'time\\(\\)\\s*\\+\\s*10000\\s*,\\s*[\'"]/[\'"]\\);\\s*echo\\s+\\$m_zz;\\s*eval\\s*\\(\\$m_zz',
        'return\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'echo\'\\s*\\)\\s*==\\s*false\\s*\\?\\s*\\(\\s*strstr\\s*\\(\\s*\\$s\\s*,\\s*\'print\'',
        'set_time_limit\\s*\\(\\s*0\\s*\\);\\s*if\\s*\\(!SecretPageHandler::checkKey',
        '@header\\([\'"]Location:\\s*[\'"]\\.[\'"]h[\'"]\\.[\'"]t[\'"]\\.[\'"]t[\'"]\\.[\'"]p[\'"]',
        'IrSecTeam',
        '\\$rBuffLen\\s*=\\s*ord\\s*\\(\\s*VC_Decrypt\\s*\\(\\s*fread\\s*\\(\\s*\\$input,\\s*1\\s*\\)\\s*\\)\\s*\\)\\s*\\*\\s*256',
        'clearstatcache\\(\\s*\\);\\s*if\\s*\\(\\s*!is_dir\\s*\\(\\s*\\$fld\\s*\\)\\s*\\)\\s*return',
        'content=[\'"]{0,1}no-cache[\'"]{0,1};\\s*\\$config\\[[\'"]{0,1}description[\'"]{0,1}\\]\\s*\\.=\\s*[\'"]{0,1}',
        'tmhapbzcerff',
        'file_get_contents\\s*\\(?\\s*ADMIN_REDIR_URL\\s*,\\s*false\\s*,\\s*\\$ctx\\s*\\)',
        'if\\s*\\(\\s*\\$i\\s*<\\s*\\(\\s*count\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}q[\'"]{0,1}\\s*\\]\\s*\\)\\s*-\\s*1',
        'isset\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*is_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*\\)\\s*\\?\\s*\\(\\s*copy\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}x[\'"]{0,1}\\s*\\]',
        '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\s*\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\s*\\)\\s*\\]',
        '@?move_uploaded_file\\s*\\(\\s*\\$_FILES\\[\\s*[\'"]{0,1}message[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}tmp_name[\'"]{0,1}\\s*\\]\\s*,\\s*\\$security_code\\s*\\.\\s*"/"\\s*\\.\\s*\\$_FILES\\[[\'"]{0,1}message[\'"]{0,1}\\]\\[[\'"]{0,1}name[\'"]{0,1}\\]\\)',
        'eval\\s*\\(?\\s*strrev\\s*\\(?\\s*str_replace',
        '\\$res=mysql_query\\([\'"]{0,1}SELECT\\s+\\*\\s+FROM\\s+`watchdog_old_05`\\s+WHERE\\s+page',
        '\\^downloads/\\(\\[0-9\\]\\*\\)/\\(\\[0-9\\]\\*\\)/\\$\\s+downloads\\.php\\?c=\\$1&p=\\$2',
        'preg_replace\\s*\\(\\s*\\$exif\\[\\s*\\\\[\'"]Make\\\\[\'"]\\s*\\]\\s*,\\s*\\$exif\\[\\s*\\\\[\'"]Model\\\\[\'"]\\s*\\]',
        'fclose\\(\\$f\\);\\s*echo\\s*[\'"]o\\.k\\.[\'"]',
        'function\\s+inject\\(\\$file,\\s*\\$injection=',
        'execl\\([\'"]/bin/sh[\'"]\\s*,\\s*[\'"]/bin/sh[\'"]\\s*,\\s*[\'"]-i[\'"]\\s*,\\s*0\\)',
        'find\\s+/\\s+-type\\s+f\\s+-perm\\s+-04000\\s+-ls',
        'if\\s*\\(\\s*function_exists\\s*\\(\\s*\'pcntl_fork',
        'urlencode\\(print_r\\(array\\(\\),1\\)\\),5,1\\)\\.c\\),\\$c\\);}eval\\(\\$d\\)',
        'array_key_exists\\s*\\(\\s*\\$fileRas\\s*,\\s*\\$fileType\\)\\s*\\?\\s*\\$fileType\\[\\s*\\$fileRas\\s*\\]',
        'if\\s*\\(\\s*fwrite\\s*\\(\\s*\\$handle\\s*,\\s*file_get_contents\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'if\\s*\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}path[\'"]{0,1}\\s*\\]\\s*==\\s*[\'"]{0,1}[\'"]{0,1}\\s*\\)\\s*{\\s*\\$uploadfile\\s*=\\s*\\$_FILES\\[\\s*[\'"]{0,1}file[\'"]{0,1}\\s*\\]\\[\\s*[\'"]{0,1}name[\'"]{0,1}\\s*\\]',
        'if\\s*\\(\\s*\\$dataSize\\s*<\\s*BOTCRYPT_MAX_SIZE\\s*\\)\\s*rc4\\s*\\(\\s*\\$data,\\s*\\$cryptkey',
        ',\\s*array\\s*\\(\'\\.\',\'\\.\\.\',\'Thumbs\\.db\'\\)\\s*\\)\\s*\\)\\s*{\\s*continue;\\s*}\\s*if\\s*\\(\\s*is_file',
        '\\)\\s*\\.\\s*substr\\s*\\(\\s*md5\\s*\\(\\s*strrev\\s*\\(\\s*\\$',
        'assert\\s*\\(\\s*@?stripslashes',
        '[\'"]e/\\*\\./[\'"]',
        'echo[\'"]{0,1}<center><b>Done\\s*==>\\s*\\$userfile_name',
        'if\\s*\\(\\$key\\s*!=\\s*[\'"]{0,1}mail_to[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_server[\'"]{0,1}\\s*&&\\s*\\$key\\s*!=\\s*[\'"]{0,1}smtp_port',
        'strpos\\(\\$ua,\\s*[\'"]{0,1}yandexbot[\'"]{0,1}\\)\\s*!==\\s*false',
        'if\\(CheckIPOperator\\(\\)\\s*&&\\s*!isModem\\(\\)\\)',
        'url=<\\?php\\s*echo\\s*\\$rand_url;\\?>',
        'echo\\s*[\'"]answer=error[\'"]',
        '\\$post\\s*=\\s*[\'"]\\\\x77\\\\x67\\\\x65',
        'if\\s*\\(detect_mobile_device\\(\\)\\)\\s*{\\s*header',
        'IrIsT\\.Ir',
        '\\$letter\\s*=\\s*str_replace\\s*\\(\\s*\\$ARRAY\\[0\\]\\[\\$j\\]\\s*,\\s*\\$arr\\[\\$ind\\]\\s*,\\s*\\$letter',
        'create_function\\s*\\(\\s*[\'"]\\$m[\'"]\\s*,\\s*[\'"]if\\s*\\(\\s*\\$m\\s*\\[\\s*0x01\\s*\\]\\s*==\\s*[\'"]L[\'"]',
        '\\$p\\s*=\\s*strpos\\(\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)',
        '\\$user_agent\\s*=\\s*preg_replace\\s*\\(\\s*[\'"]\\|User\\\\\\.Agent\\\\:\\[\\\\s \\]\\?\\|i[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$user_agent',
        'print\\("\\#\\s+info\\s+OK\\\\n\\\\n"\\)',
        '\\]\\s*}\\s*=\\s*trim\\s*\\(\\s*array_pop\\s*\\(\\s*\\${\\s*\\${',
        '\\]=[\'"]{0,1}ip[\'"]{0,1}\\s*;\\s*if\\s*\\(\\s*isset\\s*\\(\\s*\\$_SERVER\\[',
        'print\\s*\\$sock "PRIVMSG "\\.\\$owner',
        'if\\(/\\^\\\\:\\$owner!\\.\\*\\\\@\\.\\*PRIVMSG\\.\\*:\\.msgflood\\(\\.\\*\\)/\\){',
        '\\[-\\]\\s+Connection\\s+faild',
        '<!--\\#exec\\s+cmd=[\'"]{0,1}\\$HTTP_ACCEPT[\'"]{0,1}\\s*-->',
        '[\'"]{0,1}From:\\s*[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}realname[\'"]{0,1}\\]\\.[\'"]{0,1} [\'"]{0,1}\\.[\'"]{0,1} <[\'"]{0,1}\\.\\$_POST\\[[\'"]{0,1}from[\'"]{0,1}\\]\\.[\'"]{0,1}>\\\\n[\'"]{0,1}',
        'if\\s*\\(\\s*is_dir\\s*\\(\\s*\\$FullPath\\s*\\)\\s*\\)\\s*AllDir\\s*\\(\\s*\\$FullPath\\s*,\\s*\\$Files\\s*\\);\\s*}\\s*}',
        '\\$p\\s*=\\s*strpos\\s*\\(\\s*\\$tx\\s*,\\s*[\'"]{0,1}{\\#[\'"]{0,1}\\s*,\\s*\\$p2\\s*\\+\\s*2\\)',
        'preg_match_all\\([\'"]{0,1}/<a href="\\\\/url\\\\\\?q=\\(\\.\\+\\?\\)\\[&\\|"\\]\\+/is[\'"]{0,1}, \\$page\\[[\'"]{0,1}exe[\'"]{0,1}\\], \\$links\\)',
        '\\$url\\s*=\\s*\\$url\\s*\\.\\s*[\'"]{0,1}\\?[\'"]{0,1}\\s*\\.\\s*http_build_query\\(\\$query\\)',
        'print\\s+\\$sock\\s+[\'"]{0,1}NICK [\'"]{0,1}\\s+\\.\\s+\\$nick\\s+\\.\\s+[\'"]{0,1}\\\\n[\'"]{0,1}',
        'PRIVMSG\\.\\*:\\.owner\\\\s\\+\\(\\.\\*\\)',
        '\\$resultFUL\\s*=\\s*stripcslashes\\s*\\(\\s*\\$_POST\\[[\'"]{0,1}resultFUL[\'"]{0,1}',
        '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\s*\\)',
        'if\\s*\\(\\s*@?md5\\s*\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'echo\\s+file_get_contents\\s*\\(\\s*base64_url_decode\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'fwrite\\s*\\(\\s*\\$fh\\s*,\\s*stripslashes\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'if\\s*\\(\\s*mail\\s*\\(\\s*\\$mails\\[\\$i\\]\\s*,\\s*\\$tema\\s*,\\s*base64_encode\\s*\\(\\s*\\$text',
        '\\$gzip\\s*=\\s*@?gzinflate\\s*\\(\\s*@?substr\\s*\\(\\s*\\$gzencode_arg',
        'move_uploaded_file\\(\\$_FILES\\[[\'"]{0,1}elif[\'"]{0,1}\\]\\[[\'"]{0,1}tmp_name',
        'header\\([\'"]{0,1}s:\\s*[\'"]{0,1}\\s*\\.\\s*php_uname\\s*\\(\\s*[\'"]{0,1}n[\'"]{0,1}\\s*\\)',
        'By\\s+WebRooT',
        '\\$OOO0O0O00=__FILE__;\\s*\\$OO00O0000\\s*=\\s*0x1b540;\\s*eval',
        '\\$mailer\\s*=\\s*\\$_POST\\[[\'"]{0,1}x_mailer[\'"]{0,1}\\]',
        'preg_match\\([\'"]/\\(yandex\\|google\\|bot\\)/i[\'"],\\s*getenv\\([\'"]HTTP_USER_AGENT',
        'echo\\s+\\$ifupload=[\'"]{0,1}\\s*ItsOk\\s*[\'"]{0,1}',
        'fsockopen\\s*\\(\\s*\\$ConnectAddress\\s*,\\s*25',
        '\\$_SESSION\\[[\'"]{0,1}session_pin[\'"]{0,1}\\]\\s*=\\s*[\'"]{0,1}\\$PIN',
        '\\$url[\'"]{0,1}\\s*\\.\\s*\\$session_id\\s*\\.\\s*[\'"]{0,1}/login\\.html',
        'f\\s*=\\s*\\$q\\s*\\.\\s*\\$a\\s*\\.\\s*\\$b\\s*\\.\\s*\\$x',
        'if\\s*\\(md5\\(trim\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'die\\s*\\(\\s*PHP_OS\\s*\\.\\s*chr\\s*\\(',
        'create_function\\s*\\([\'"][\'"]\\s*,\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)',
        '\\$headers\\s*=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}headers[\'"]{0,1}\\]',
        'file_put_contents\\s*\\([\'"]{0,1}1\\.txt[\'"]{0,1}\\s*,\\s*print_r\\s*\\(\\s*\\$_POST\\s*,\\s*true',
        'fwrite\\s*\\(\\s*\\$flw\\s*,\\s*\\$fl\\s*\\)',
        '\\$sys_params\\s*=\\s*@?file_get_contents',
        '\\$allemails\\s*=\\s*@split\\("\\\\n"\\s*,\\s*\\$emaillist\\)',
        'file_put_contents\\(SVC_SELF\\s*\\.\\s*[\'"]/\\.htaccess',
        'create_function\\([\'"][\'"],\\s*\\$opt\\[1\\]\\s*\\.\\s*\\$opt\\[4\\]',
        '<script\\s+type=[\'"]{0,1}text/javascript[\'"]{0,1}\\s+src=[\'"]{0,1}jquery-u\\.js[\'"]{0,1}></script>',
        'URL=<\\?echo\\s+\\$index;\\s+\\?>',
        '\\#\\s*securityspace\\.com',
        '\\#\\s*stealth\\s*bot',
        'Apple\\s+SpAm\\s+ReZulT',
        'is_writable\\(\\$dir\\.[\'"]wp-includes/version\\.php[\'"]',
        'if\\(empty\\(\\$_COOKIE\\[[\'"]x[\'"]\\]\\)\\){echo',
        '\\)\\];}if\\(isset\\(\\$_SERVER\\[_',
        'if\\(@\\$vars\\(get_magic_quotes_gpc\\(\\)\\s*\\?\\s*stripslashes\\(\\$uri\\)',
        'base[\'"]{0,1}\\.\\(\\d+\\s*\\*\\s*\\d+\\)',
        '\\$param\\s*=\\s*\\$param\\s*x\\s*\\$n\\.substr\\s*\\(\\$param\\s*,\\s*length\\(\\$param\\)',
        'register_shutdown_function\\(\\s*[\'"]{0,1}read_ans_code',
        'base64_decode\\(\\$_POST\\[[\'"]{0,1}_-',
        'if\\(isset\\(\\$_POST\\[[\'"]{0,1}msgsubject[\'"]{0,1}\\]\\)\\)',
        'mail\\(\\$arr\\[[\'"]{0,1}to[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}subj[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}msg[\'"]{0,1}\\],\\$arr\\[[\'"]{0,1}head[\'"]{0,1}\\]\\);',
        'file_get_contents\\(trim\\(\\$f\\[\\$_GET\\[',
        'ini_get\\([\'"]{0,1}filter\\.default_flags[\'"]{0,1}\\)\\){foreach',
        'chunk_split\\(base64_encode\\(fread\\(\\${\\${[\'"]{0,1}',
        '\\$str=[\'"]{0,1}<h1>403\\s+Forbidden</h1><!--\\s*token:',
        '<\\?php\\s+rename\\([\'"]wso\\.php[\'"]',
        '\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/\\s*\\.\\s*\\$[a-zA-Z0-9_]+/\\*.{1,10}\\*/',
        '@?mail\\(\\$mosConfig_mailfrom, \\$mosConfig_live_site',
        '\\$t=\\$s;\\s*\\$o\\s*=\\s*[\'"][\'"];\\s*for\\(\\$i=0;\\$i<strlen\\(\\$t\\);\\$i\\+\\+\\){\\s*\\$o\\s*\\.=\\s*\\$t{\\$i}',
        'mmcrypt\\(\\$data, \\$key, \\$iv, \\$decrypt = FALSE',
        'tnega_resu_ptth',
        'tsoh_ptth',
        'REREFER_PTTH',
        'webi\\.ru/webi_files/php_libmail',
        'substr_count\\(getenv\\(\\\\[\'"]HTTP_REFERER',
        'function reload\\(\\){header\\("Location',
        'img src=[\'"]opera000\\.png',
        'echo\\s*md5\\(\\$_POST\\[[\'"]{0,1}check[\'"]{0,1}\\]',
        'eVaL\\(\\s*trim\\(\\s*baSe64_deCoDe\\(',
        'fsockopen\\(\\$m\\[0\\],\\$m\\[10\\],\\$_,\\$__,\\$m',
        '[\'"]=>\\${\\${[\'"]\\\\x',
        'preg_replace\\([\'"].UTF\\\\-8:\\(.\\*\\).Use',
        '::[\'"]\\.phpversion\\(\\)\\.[\'"]::',
        '@stream_socket_client\\([\'"]{0,1}tcp://\\$',
        '==0\\){jsonQuit\\(\\$',
        'loc\\s*=\\s*[\'"]{0,1}<\\?echo\\s+\\$redirect;\\s*\\?>',
        'array\\(\\$en,\\$es,\\$ef,\\$el\\)',
        '[\'"]{0,1}.c.[\'"]{0,1}\\.substr\\(\\$vbg,',
        'fuck\\s+your\\s+mama',
        'call_user_func\\(\\s*[\'"]action[\'"]\\s*\\.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'str_replace\\(\\$find\\s*,\\s*\\$find\\s*\\.\\s*\\$html\\s*,\\s*\\$text',
        'file_exists\\s*\\(?\\s*[\'"]/var/tmp/',
        '&&\\s*!empty\\(\\s*\\$_COOKIE\\[[\'"]fill[\'"]\\]',
        'function\\s+inDiapason',
        'make_dir_and_file\\(\\s*\\$path_joomla',
        'listing_page\\(\\s*notice\\(\\s*[\'"]symlinked',
        'list\\s*\\(\\s*\\$host\\s*,\\s*\\$port\\s*,\\s*\\$size\\s*,\\s*\\$exec_time',
        'filemtime\\(\\$basepath\\s*\\.\\s*[\'"]/configuration\\.php',
        'function\\s+read_pic\\(\\s*\\$A\\s*\\)\\s*{\\s*\\$a\\s*=\\s*\\$_SERVER',
        'chr\\(\\s*\\$table\\[\\s*\\$string\\[\\s*\\$i\\s*\\]\\s*\\*\\s*pow\\(64\\s*,\\s*1',
        '\\]\\s*\\){eval\\(\\s*\\$[a-zA-Z0-9_]+\\[\\s*\\$',
        'Location::isFileWritable\\(\\s*EncodeExplorer::getConfig',
        'by\\s+Shunceng',
        '{eval\\(\\${\\$s2',
        'eval\\(\\$s21\\(\\${\\$',
        'RamZkiE\\s+-\\s+exploit',
        '[\'"]remove_scripts[\'"]\\s*=>\\s*array\\([\'"]Remove',
        '\\$back_connect_pl\\s*=\\s*[\'"]',
        '\\$site_root\\.\\$fileunp_dir\\.\\$fileunp_fn',
        '@preg_replace\\([\'"]/ad/e',
        '<b>\\$uid\\s*\\(\\$uname\\)</b>',
        'Fx29Googler',
        'envir0nn',
        'array\\([\'"]\\*/[\'"],[\'"]/\\*[\'"]\\),base64_decode',
        '<\\?=\\s*@php_uname\\(\\);\\s*\\?>',
        'sUxCrew\\s+V',
        'WarBot\\s+sUxCrew',
        'exec\\([\'"]cd\\s+/tmp;curl\\s+-O\\s+[\'"]\\.\\$url',
        'Batavi4\\s+Shell',
        '@extract\\(\\$_REQUEST\\[[\'"]fx29shcook',
        'TuX_Shadow',
        '=@fopen\\s*\\([\'"]php\\.ini[\'"]\\s*,\\s*[\'"]w',
        'LebayCrew',
        '\\$headers\\s*\\.=\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*[\'"]eMailAdd[\'"]\\s*\\]',
        'bogel\\s*-\\s*exploit',
        '\\[uname\\][\'"]\\s*\\.\\s*php_uname\\(\\s*\\)\\s*\\.\\s*[\'"]\\[/uname\\]',
        '\\]\\(\\$_1,\\$_1\\)\\);else{\\$GLOBALS',
        'file:file:////',
        'function\\s+MCLogin\\(\\)\\s*{\\s*die',
        '{echo [\'"]yes[\'"]; exit;}else{echo [\'"]no[\'"]; exit;}}}',
        ';\\?><\\?=\\${[\'"]_[\'"]\\.\\$_}\\[[\'"]_[\'"]\\]',
        '\\$a\\[1\\]==[\'"]bypassip[\'"]\\);\\$c=self::c1',
        '\\$dir\\.[\'"]/[\'"]\\.\\$f\\.[\'"]/wp-config\\.php',
        'eval\\([\'"]return\\s+eval',
        'fwrite\\(\\$[a-zA-Z0-9_]+,"\\\\xEF\\\\xBB\\\\xBF"\\.iconv\\([\'"]gbk[\'"],[\'"]utf-8//IGNORE[\'"],\\$body',
        'echo\\s+[\'"]__success__[\'"]\\s*\\.\\s*\\$NowSubFolders\\s*\\.\\s*[\'"]__success__',
        'ob_start\\(\\);\\s*var_dump\\(\\$_POST\\s*,\\s*\\$_GET\\s*,\\s*\\$_COOKIE\\s*,\\s*\\$_FILES',
        'getenv\\("HTTP_HOST"\\)\\.\' ~ Shell I',
        'eval/\\*\\*/\\("eval\\(gzinflate\\(base64_decode',
        'assert\\(\\$[a-zA-Z0-9_]+\\(',
        '\\$defacer=\'ReZK2LL',
        '<%\\s*eval\\s+request',
        'new_time\\(\\$path2file,\\$GLOBALS',
        '\\$str=str_replace\\("\\[t\\d+\\]"\\s*,\\s*"<\\?",\\s*\\$res\\);',
        '\\$__a="[a-zA-Z0-9_]+";\\s*\\$__a\\s*=\\s*str_replace\\("[a-zA-Z0-9_]+",\\s*"[a-zA-Z0-9_]+",\\s*\\$__a\\);',
        '<!--\\w{32}--><\\?php\\s*@ob_start\\(\\);@ini_set',
        'if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{\\$function',
        '\\$s\\("~\\[discuz\\]~e",\\$_POST',
        'PlgSystemXcalendarHelper::getInstance\\(\\)',
        'is_dir_empty\\(\\$_POST\\[[\'"]directory[\'"]\\]\\)\\)\\s*{\\s*echo\\s+1;',
        'if\\(isset\\(\\$_POST\\[[\'"]__bscode',
        'base64_encode\\(clean_url\\(\\$_SERVER',
        '\\$_GET\\[[\'"]mod[\'"]\\]==[\'"]0XX',
        '\\$folder\\.[\'"]/please_rename_UNZIPFIRST\\.zip',
        '@\\$strings\\(str_rot13\\(\'riny\\(onfr64_qrpbqr',
        '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\)',
        '\\$this->server\\s*=\\s*[\'"]http://[\'"]\\.\\$this->server\\.[\'"]/img/\\?q=',
        'echo\\s*"<center><b>Done\\s*==>\\s*\\$userfile_name',
        'file_get_contents\\(\\$[a-zA-Z0-9_]+\\);\\s*[a-zA-Z0-9_]+\\([\'"]https://dl\\.dropboxusercontent\\.com',
        'if\\(file_exists\\(\\$newPath\\)\\)\\s*{\\s*echo\\s*"publish success',
        'function\\s+KillMe\\(\\)\\s*{\\s*unlink\\(\\s*MyFileName\\(\\)',
        '<\\?php\\s*error_reporting\\(E_ERROR\\);\\s*\\$remote_path="http://',
        'echo\\s+php_uname\\(\\);\\s*@unlink\\(__FILE__\\);',
        '<title><\\?php\\s+echo\\s+\\$shell_title;\\s+\\?></title>',
        'chr\\(ord\\(\\$str\\[\\$i\\]\\)\\s*\\^\\s*\\$key\\);\\s*eval\\(\\$ev\\);',
        '\\$wp__wp=\\$wp__wp\\(str_replace',
        '<\\?php\\s*\\$wp__wp=',
        '<\\?php\\s*eval\\([\'"]\\\\x65',
        '@preg_replace\\([\'"]/\\(\\.\\*\\)/e[\'"]\\s*,\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        '<title>W3Lcome</title>',
        'if\\(stristr\\(\\$files\\[\\$i\\],\\s*[\'"]php[\'"]\\)\\)\\s*{\\s*\\$time\\s*=\\s*filemtime',
        '\\)\\){\\s*include\\(getcwd\\(\\)\\.[\'"]/[a-zA-Z0-9_]+\\.php[\'"]\\);\\s*exit;}\\s*\\?>',
        '<title>[\'"]\\.ucfirst\\(\\$key\\)',
        '<\\?php\\s*/\\*\\s*WSO',
        'function_exists\\("c99_sess_put',
        '3xp1r3\\s*Cyber\\s*Army',
        'file_get_contents\\(~\\s*base64_decode\\(',
        'hexdec\\(substr\\(md5\\(\\$_SERVER\\[[\'"]REQUEST_URI',
        'root_path=substr\\(\\$absolutepath,0,strpos\\(\\$absolutepath,\\$localpath\\)\\);include_once',
        '\\$_SERVER\\["REMOTE_ADDR"\\];if\\(\\(preg_match\\("/69\\.42\\.',
        '<\\?php\\s*if\\(isset\\(\\$_GET\\[php\\]\\)\\)\\s*{',
        '\\)\\){if\\(isset\\(\\$_FILES\\[[\'"]im[\'"]\\]\\)\\){\\$dim=getcwd\\(\\)',
        'class\\s+JSYSOPERATION_SetPassword',
        '\\);array_filter\\(\\$mcdata\\s*,\\s*base64_decode\\(',
        '<\\?php if\\(\\$message\\) echo "<p>\\$message</p>"; \\?>\\s*<form',
        'touch\\(dirname\\(__FILE__\\),\\s*\\$time\\);touch\\(\\$_SERVER\\[[\'"]SCRIPT_FILENAME[\'"]\\],',
        '<title>FakeSender',
        '\\$Conf\\s*=\\s*@?file_get_contents\\(\\$pg\\.[\'"]/\\?d=[\'"]\\s*\\.\\s*\\$_SERVER\\[[\'"]HTTP_HOST[\'"]\\]\\);',
        '<\\?\\s*include\\([\'"][\'"]\\.\\$droot\\.[\'"]/bitrix/images/iblock/',
        '\\$file\\[\\$key\\]\\s*=\\s*\\$ex\\[0\\]\\.\\$link\\.[\'"]</body>[\'"]\\.\\$ex\\[1\\];',
        '\\$\\w{1,45}\\[\\$\\w{1,45}\\]=chr\\(ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}\\]\\)\\^ord\\(\\$\\w{1,45}\\[\\$\\w{1,45}%\\$\\w{1,45}\\]\\)\\);return\\s*\\$\\w{1,45};}private static function',
        'if\\s*\\(\\s*move_uploaded_file\\(\\s*\\$nazwa_plik\\s*,\\s*\\$uploadfile\\)',
        'if\\(strstr\\(\\$tempStr,[\'"]//file end',
        'trim\\(\\s*removeBOM\\(\\s*_file_get_contents\\(\\s*API_URL\\s*\\)\\s*\\)\\s*\\)',
        '\\$\\w{1,45}\\s*=\\s*str_replace\\(\\s*[\'"]\\[t1\\][\'"]\\s*,\\s*[\'"]<.php[\'"]\\s*,\\s*\\$',
        '\\*/\\$\\w{1,45}\\s*=\\s*@\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[\\s*\\w{1,45}\\s*\\];',
        'foreach\\(\\s*\\$RandomNum\\s*as\\s*\\$key\\)\\s*{\\s*\\$Keys\\s*\\.=\\s*chr',
        'touch\\(\\$extract_path\\s*\\.\\s*\\$stat\\[[\'"]name[\'"]\\]\\s*,\\s*filemtime\\(\\s*\\$archive_path',
        '\\$Conf\\s*=\\s*@file_get_contents\\(\\s*[\'"]http://',
        '\\$zip_status\\s*=\\s*\\$zip->open\\(\\s*[\'"][a-zA-Z0-9_]+\\.zip[\'"]\\s*\\);\\s*if\\s*\\(\\s*\\$zip_status\\s*===\\s*true\\s*\\)\\s*{\\s*if\\s*\\(\\s*\\$zip->setPassword',
        '>config\\s*root\\s*man<',
        '=\\s*create_function\\([\'"][\'"]\\s*,\\s*\\$JSubMenu\\s*\\)',
        '\\$arrayRows\\[count\\(\\$arrayRows\\)\\]\\s*=\\s*\\$email\\.[\'"]::1[\'"];',
        'Post\\.new\\(URI\\.encode\\("/\\?q=user/password&name\\[\\#post_render',
        'unserialize\\(\\s*\\$this->getImageDecodedText\\(\\s*file_get_contents',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_POST\\s*\\[\\s*[\'"].+?[\'"]\\s*\\]\\s*\\.\\s*"\\s*2\\s*>\\s*&1\\s*[\'"]',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]uname\\s+-a[\'"]\\s*\\)?',
        '@?assert\\s*\\(?\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\\s*[\'"]{0,1}.+?[\'"]{0,1}\\s*\\]\\s*',
        'php\\s+[\'"]\\s*\\.\\s*\\$wso_path',
        'find\\s+/\\s+-name\\s+\\.ssh\\s+>\\s+\\$dir/sshkeys/sshkeys',
        'system\\s*\\(?\\s*[\'"]{0,1}whoami[\'"]{0,1}\\s*\\)?',
        'curl_setopt\\s*\\(\\s*\\$ch\\s*,\\s*CURLOPT_URL\\s*,\\s*[\'"]{0,1}http://\\$host:\\d+[\'"]{0,1}\\s*\\)',
        '\\beval\\(\\s*\\$\\s*{\\s*\\$[a-zA-Z0-9_]+',
        'if\\(\\s*in_array\\(\\s*\\$_SERVER\\[[\'"]REMOTE_ADDR[\'"]\\]\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\)\\s*\\$[a-zA-Z0-9_]+=\\$[a-zA-Z0-9_]+\\[rand\\(0,count\\(\\$[a-zA-Z0-9_]+\\)-1\\)\\];',
        'arr2html\\(\\$_REQUEST',
        '\\$mdetails\\s*\\.=\\s*[\'"]<!--Deregister\\(\\)\\s*Default\\s*Widgets:',
        'wp_remote_retrieve_body\\(\\s*wp_remote_get\\(\\s*\\$jquery',
        '@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*\\);\\s*[\'"]\\s*\\);\\s*\\$\\w{1,45}\\(\\s*\\)',
        'js_infection\\s*=\\s*array_reverse\\(\\s*str_split',
        '\\$host\\.[\'"]ui[\'"]\\.[\'"]jquery\\.org/jquery',
        'handle_bot_cmd_shell',
        '{echo\\s*[\'"]200[\'"]\\s*;\\s*exit\\s*;\\s*}',
        'eval\\(\\s*KeyRegistration\\(\\s*KeyGeneration',
        '\\$to\\s*=\\s*base64_decode\\(\\$par\\[1\\]\\);\\s*redirect\\(\\$to\\);',
        '\\$pager\\s*=\\s*new\\s*ADODB_Pager\\(\\);\\s*\\$pager->render_pagelinks\\(\\);',
        'eval\\(\\${\\$',
        'password\\s*=\\s*str_replace\\([\'"]%%DOMAIN%%[\'"]\\s*,\\s*\\$first_lvl_domain',
        '\\$_POST\\[gogogo\\]',
        'if\\(file_exists\\(\\$redate_file\\)\\){',
        '\\$this->quit\\(file_put_contents',
        '\\$data\\s*=\\s*\\$db->{\\s*\\$cmd\\[[\'"]m[\'"]\\]\\s*}\\s*\\(\\s*\\);',
        '\\$ncontent=gethttpcnt\\(',
        '\\$testcloack\\s*=\\s*cloack\\(\\$ip\\);',
        '\\$2\\.php\\?rewrite_params=\\$1&page_url=',
        '\\$\\w{1,45}\\s*=\\s*\\(\\s*-\\s*\\(\\s*-\\d+\\)\\s*\\+\\s*\\d+',
        'return\\s*\\$\\w{1,45}\\s*\\^\\s*str_repeat\\s*\\(\\s*\\$\\w{1,45}\\s*,\\s*ceil\\s*\\(\\s*strlen',
        '=[\'"]base64_decode[\'"]\\s*;\\s*return\\s*\\$\\w{1,45}\\s*\\(\\s*\\$\\w{1,45}\\s*\\)',
        'class\\s*WapClick',
        '\\b(include|include_once|require|require_once)\\s*[\'"]{0,1}zip:',
        '\\b(include|include_once|require|require_once)\\s*\\(\\s*[\'"]{0,1}zip:',
        'file_get_contents\\(SRV_NAME\\s*\\.\\s*[\'"]\\?action=get_sites&noda_name=',
        'Location:\\s*[a-zA-Z0-9_]+\\.document\\.exe',
        'if\\(!preg_match\\([\'"]/Hacked by/i[\'"],\\$',
        'By\\s+Am!r',
        'Content-Type:\\s*\\$_',
        'eval\\s*\\(?\\s*gzinflate\\s*\\(?\\s*str_rot13',
        'if\\s*\\(\\s*is_callable\\s*\\(?\\s*[\'"]{0,1}\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)[\'"]{0,1}\\s*\\)?',
        'eval\\s*\\(?\\s*get_option\\s*\\(?',
        'add_filter\\s*\\(?\\s*[\'"]{0,1}the_content[\'"]{0,1}\\s*,\\s*[\'"]{0,1}_bloginfo[\'"]{0,1}\\s*,\\s*.+?\\)?',
        'is_writable\\s*\\(?\\s*[\'"]/var/tmp',
        'symlink\\s*\\(?\\s*[\'"]/home/',
        'isset\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\s*or\\s*die\\(?.+?\\)?',
        'gzuncompress\\s*\\(?\\s*substr\\s*\\(?\\s*base64_decode',
        '\\$___\\s*=',
        'if\\s*\\(\\s*preg_match\\s*\\(\\s*[\'"]\\#yandex',
        '@setcookie\\([\'"]m[\'"],\\s*[\'"][a-zA-Z0-9_]+[\'"],\\s*time\\(\\)\\s*\\+\\s*86400',
        'echo\\s+[\'"]o\\.k\\.[\'"];\\s*\\?>',
        'symbian\\|midp\\|wap\\|phone\\|pocket',
        'function\\s*chmod_R\\s*\\(\\s*\\$path\\s*,\\s*\\$perm\\s*',
        'eval\\s*\\(\\s*gzinflate\\s*\\(\\s*str_rot13',
        'eval\\s*\\(\\s*str_rot13',
        'preg_replace\\s*\\(\\s*[\'"]/\\.\\*/',
        '\\$mailer\\s*=\\s*\\$_POST\\[\\s*[\'"]{0,1}x_mailer[\'"]{0,1}\\s*\\]',
        'preg_replace\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'echo\\s+[\'"]{0,1}install_ok[\'"]{0,1}',
        'Spam\\s+completed',
        'array\\(\\s*[\'"]Google[\'"]\\s*,\\s*[\'"]Slurp[\'"]',
        '<h1>403 Forbidden</h1><!-- token',
        '/e[\'"]\\s*,\\s*[\'"]\\\\x',
        'php_[\'"]\\.\\$ext\\.[\'"]\\.dll[\'"]{0,1}',
        'mx2\\.hotmail\\.com',
        'preg_replace\\(\\s*[\'"]e[\'"],[\'"]{0,1}',
        'fopen\\([\'"]{0,1}\\.\\./\\.\\./\\.\\./[\'"]{0,1}\\.\\$filepaths',
        '\\$data\\s*=\\s*array\\([\'"]{0,1}terminal[\'"]{0,1}\\s*=>',
        '\\$b\\s*=\\s*md5_file\\(\\$fileb\\)',
        'portlets/framework/security/login',
        '\\$fileb\\s*=\\s*file_get_contents',
        'site_from=[\'"]{0,1}\\.\\$_SERVER\\[[\'"]{0,1}HTTP_HOST[\'"]{0,1}\\]\\.[\'"]{0,1}&site_folder=[\'"]{0,1}\\.\\$f\\[1\\]',
        'while\\(count\\(\\$lines\\)>\\$col_zap\\) array_pop\\(\\$lines\\)',
        '\\$string\\s*=\\s*\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[[\'"]{0,1}nutzername[\'"]{0,1}\\]',
        'if \\(!strpos\\(\\$strs\\[0\\],[\'"]{0,1}<\\?php',
        '\\$isevalfunctionavailable',
        'David\\s+Blaine',
        'if \\(date\\([\'"]{0,1}j[\'"]{0,1}\\)\\s*-\\s*\\$newsid',
        '<!--\\s+js-tools',
        'if\\(@preg_match\\(strtr\\([\'"]{0,1}/',
        '_[\'"]{0,1}\\]\\[2\\]\\([\'"]{0,1}Location:',
        '\\$_POST\\[[\'"]{0,1}smtp_login',
        'if\\s*\\(@is_writable\\(\\$index',
        '@ini_set\\s*\\([\'"]{0,1}include_path[\'"]{0,1},[\'"]{0,1}ini_get\\s*\\([\'"]{0,1}include_path',
        'Zend\\s+Optimization\\s+ver\\s+1\\.0\\.0\\.1',
        '\\$_SESSION\\[[\'"]{0,1}data_a[\'"]{0,1}\\]\\[\\$name\\]\\s*=\\s*\\$value',
        'if\\s*\\(function_exists\\([\'"]scan_directory',
        'array\\(\\s*[\'"]h[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]t[\'"]\\s*,\\s*[\'"]p[\'"]',
        '\\$counterUrl\\s*=\\s*[\'"]{0,1}http://',
        'for\\(\\$[a-zA-Z0-9_]+=\\d+;\\$[a-zA-Z0-9_]+<\\d+;\\$[a-zA-Z0-9_]+-=\\d+\\){if\\(\\$[a-zA-Z0-9_]+!=\\d+\\)\\s*break;}',
        'if\\(@function_exists\\([\'"]{0,1}fread',
        '\\$opt\\s*=\\s*\\$file\\(@?\\$_COOKIE\\[',
        'preg_replace\\(\\){return\\s+__FUNCTION__',
        'if\\s*\\(check_acc\\(\\$login,\\$pass,\\$serv',
        'print\\s+[\'"]{0,1}dle_nulled[\'"]{0,1}',
        'if\\(mail\\(\\$email\\[\\$i\\],\\s*\\$subject,\\s*\\$message,\\s*\\$headers',
        'TeaM\\s+MosTa',
        '[\'"]{0,1}DZe1r',
        'pack\\s+"SnA4x8"',
        '\\$_Post\\[[\'"]{0,1}SSN[\'"]{0,1}\\]',
        'Ethnic\\s+Albanian\\s+Hackers',
        'By\\s+DZ27',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}cmd\\.exe',
        'Auto\\s*Xploiter',
        'by\\s+g00n',
        'if\\(\\$o<16\\){\\$h\\[\\$e\\[\\$o\\]',
        'if\\(is_dir\\(\\$path\\.[\'"]{0,1}/wp-content[\'"]{0,1}\\)\\s+AND\\s+is_dir\\(\\$path\\.[\'"]{0,1}/wp-admin',
        'if\\s*\\(\\s*file_put_contents\\s*\\(\\s*\\$index_path\\s*,\\s*\\$code',
        '@array\\(\\s*\\(string\\)\\s*stripslashes\\(\\s*\\$_REQUEST',
        'str_replace\\s*\\(\\s*[\'"]{0,1}/public_html',
        'if\\(\\s*isset\\(\\s*\\$_REQUEST\\[[\'"]{0,1}cid',
        'catatan\\s+situs',
        '/index\\.php\\?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=\\d+',
        'setcookie\\(\\s*\\$z\\[0\\]\\s*,\\s*\\$z\\[1\\]',
        '\\$S\\[\\$i\\+\\+\\]\\(\\$S\\[\\$i\\+\\+\\]\\(',
        '\\[\\$o\\]\\);\\$o\\+\\+\\){if\\(\\$o<16\\)',
        'typeof\\s*\\(dle_admin\\)\\s*==\\s*[\'"]{0,1}undefined[\'"]{0,1}\\s*\\|\\|\\s*dle_admin\\s*==',
        'create_function\\(substr\\(2,1\\),\\$s\\)',
        'plugins/search/query\\.php\\?____pgfa=http%3A%2F%2Fwww\\.google',
        'return\\s+base64_decode\\(\\$a\\[\\$i\\]\\)',
        '\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'curl_init\\(\\s*base64_decode',
        'eval\\([\'"]\\?>[\'"]\\.base64_decode',
        '[\'"][\'"]\\s*\\.\\s*BAse64_deCoDe',
        '[\'"][\'"]\\s*\\.\\s*gzUncoMpreSs',
        'grep\\s+-v\\s+crontab',
        'crc32\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}cmd',
        '\\$bkeyword_bez=[\'"]',
        'file_get_contents\\(basename\\(\\$_SERVER\\[[\'"]{0,1}SCRIPT_NAME',
        '\\s*[\'"]{0,1}rookee[\'"]{0,1}\\s*,\\s*[\'"]{0,1}webeffector',
        '\\s*[\'"]{0,1}slurp[\'"]{0,1}\\s*,\\s*[\'"]{0,1}msnbot',
        'eval\\s*\\(\\s*TPL_FILE',
        '@?array_diff_ukey\\(\\s*@?array\\(\\s*\\(string\\)\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        '\\$path\\s*=\\s*\\$_SERVER\\[\\s*[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\s*\\]\\s*\\.\\s*[\'"]{0,1}/images/stories/[\'"]{0,1}',
        '\\$sape_option\\[\\s*[\'"]{0,1}fetch_remote_type[\'"]{0,1}\\s*\\]\\s*=\\s*[\'"]{0,1}socket[\'"]{0,1}',
        'file_put_contents\\(\\s*\\$name\\s*,\\s*base64_decode\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'ereg_replace\\([\'"]{0,1}%5C%22[\'"]{0,1}\\s*,\\s*[\'"]{0,1}%22[\'"]{0,1}\\s*,\\s*\\$message',
        '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}ur[\'"]{0,1}\\]\\)\\)\\s*\\$mode\\s*\\|=\\s*0400',
        '/plugins/search/query\\.php\\?____pgfa=http',
        '@?file_put_contents\\(\\s*\\$this->file\\s*,\\s*strrev',
        'preg_match_all\\(\\s*[\'"]\\|\\(\\.\\*\\)<\\\\!-- js-tools',
        'header\\([\'"]{0,1}r:\\s*no\\s+com',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]ls\\s+/var/mail',
        '\\$dor_content=preg_replace',
        '__url_get_contents\\(\\$l',
        '\\$GLOBALS\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\s*NULL',
        'uname\\][\'"]{0,1}\\s*\\.\\s*php_uname\\(\\)\\s*\\.\\s*[\'"]{0,1}\\[/uname',
        '@\\$func\\(\\$cfile, \\$cdir\\.\\$cname',
        '\\beval\\(\\s*\\$[a-zA-Z0-9_]+\\(\\s*\\$<amc',
        '\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+\\s*\\]\\(\\$_\\[\\s*\\d+\\s*\\]\\(\\s*\\$_\\[\\s*\\d+',
        'eregi\\(\\s*sql_regcase\\(\\s*\\$_',
        '\\#Use[\'"]{0,1}\\s*,\\s*file_get_contents\\(',
        'mkdir\\(\\s*[\'"]/home/',
        'fopen\\(\\s*[\'"]/home/',
        '\\$user_agent_to_filter\\s*=\\s*array\\(',
        'file_put_contents\\([\'"]{0,1}\\./libworker\\.so',
        '\\#!/bin/shncd\\s+[\'"]{0,1}[\'"]{0,1}\\.\\$SCP\\.[\'"]{0,1}[\'"]{0,1}nif',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]{0,1}at\\s+now\\s+-f',
        'crontab\\s+-l\\|grep\\s+-v\\s+crontab',
        'David\\s*Blaine',
        'exploit-db\\.com/search/',
        'file_put_contents\\(\\s*[\'"]{0,1}/home',
        'mail\\(\\s*\\$MailTo\\s*,\\s*\\$MessageSubject\\s*,\\s*\\$MessageBody',
        '\\$content\\s*=\\s*http_request\\([\'"]{0,1}http://[\'"]{0,1}\\s*\\.\\s*\\$_SERVER\\[[\'"]{0,1}SERVER_NAME[\'"]{0,1}\\]\\.[\'"]{0,1}/',
        '!file_put_contents\\(\\s*\\$dbname\\s*,\\s*\\$this->getImageEncodedText\\(\\s*\\$dbname',
        'scripts\\[\\s*gzuncompress\\(\\s*base64_decode\\(',
        'send_smtp\\(\\s*\\$email\\[[\'"]{0,1}adr[\'"]{0,1}\\]\\s*,\\s*\\$subj\\s*,\\s*\\$text',
        '=\\$file\\(@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'touch\\(\\s*[\'"]{0,1}\\$basepath/components/com_content',
        '\\([\'"]\\$tmpdir/sess_fc\\.log',
        'file_exists\\(\\s*[\'"]/tmp/tmp-server',
        'mail\\(\\s*\\$retorno\\s*,\\s*\\$asunto\\s*,\\s*\\$mensaje',
        '\\$URL\\s*=\\s*\\$urls\\[\\s*rand\\(\\s*0\\s*,\\s*count\\(\\s*\\$urls\\s*\\)\\s*-\\s*1\\)\\s*\\]\\.rand',
        '__file_get_url_contents\\(\\s*\\$remote_url',
        '=by\\s+DRAGON=',
        'substr\\(\\s*\\$string2\\s*,\\s*strlen\\(\\s*\\$string2\\s*\\)\\s*-\\s*9\\s*,\\s*9\\)\\s*==\\s*[\'"]{0,1}\\[l,r=302\\]',
        '\\[\\]\\s*=\\s*[\'"]RewriteEngine\\s+on',
        'fwrite\\(\\s*\\$f\\s*,\\s*get_download\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'tar\\s+-czf\\s+"\\s*\\.\\s*\\$FORM{tar}\\s*\\.\\s*"\\.tar',
        'scopbin[\'"]',
        '<div\\s+id=[\'"]link1[\'"]><button onclick=[\'"]processTimer\\(\\);[\'"]>',
        '<guid><\\?php\\s+echo\\s+\\$current_url',
        'int32\\(\\(\\(\\$z\\s*>>\\s*5\\s*&\\s*0x07ffffff\\)\\s*\\^\\s*\\$y\\s*<<\\s*2',
        'fopen\\(\\s*\\$root_dir\\s*\\.\\s*[\'"]/\\.htaccess',
        '\\$in_Perms\\s+&\\s+0x4000',
        'file_get_contents\\(\\s*[\'"]/var/tmp',
        '/pmt/rav/',
        'fwrite\\(\\$fp\\s*,\\s*strrev\\(\\s*\\$context\\s*\\)\\s*\\)',
        'Masri\\s+Cyber\\s+Team',
        'Us3\\s+Y0ur\\s+br41n',
        'Masr1\\s+Cyb3r\\s+Te4m',
        'tHANKs\\s+tO\\s+Snoppy',
        ',\\s*[\'"]/index\\\\\\.\\(php\\|html\\)/i[\'"]\\s*,\\s*RecursiveRegexIterator',
        'file_put_contents\\(\\s*\\$index_path\\s*,\\s*\\$code',
        'getprotobyname\\(\\s*[\'"]tcp[\'"]\\s*\\)\\s+\\|\\|\\s+die\\s+shit',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]cd\\s+/tmp;wget',
        '<a\\s+href=[\'"]oshibka-',
        'if\\(\\s*\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]!=\\s*[\'"][\'"]\\s*\\)\\s*\\$id=\\$_GET\\[\\s*[\'"]id[\'"]\\s*\\]',
        'if\\([\'"]substr_count\\([\'"]\\$_SERVER\\[[\'"]REQUEST_URI[\'"]\\]\\s*,\\s*[\'"]query\\.php[\'"]',
        '\\$fill = \\$_COOKIE\\[\\\\[\'"]fill\\\\[\'"]\\]',
        '\\$result=smartCopy\\(\\s*\\$source\\s*\\.\\s*[\'"]/[\'"]\\s*\\.\\s*\\$file',
        '\\$bannedIP\\s*=\\s*array\\(\\s*[\'"]\\^66\\.102',
        '<loc><\\?php\\s+echo\\s+\\$current_url;',
        '\\$setcook\\);setcookie\\(\\$set',
        '\\);function\\s+string_cpt\\(\\$',
        '[\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"][\'"]\\.[\'"]',
        'if\\(preg_match\\([\'"]\\#wordpress_logged_in\\|admin\\|pwd',
        'g_delete_on_exit\\s*=\\s*new\\s+DeleteOnExit',
        'SELECT\\s+\\*\\s+FROM\\s+dor_pages',
        'Academico\\s+Result',
        'value=[\'"]<\\?\\s+\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]',
        '\\d+&@preg_match\\(\\s*strtr\\(',
        'chr\\(\\s*hexdec\\(\\s*substr\\(\\s*\\$makeup',
        'read_file_new_2\\(\\$result_path',
        '\\$index_path\\s*,\\s*0404',
        '\\$file_for_touch\\s*=\\s*\\$_SERVER\\[[\'"]{0,1}DOCUMENT_ROOT[\'"]{0,1}\\]',
        '\\$_SERVER\\[[\'"]{0,1}REMOTE_ADDR[\'"]{0,1}\\];if\\(\\(preg_match\\(',
        '==\\s*[\'"]cshell[\'"]',
        'file_exists\\(\\s*\\$FileBazaTXT',
        'resultsign_warning',
        'function\\s+getfirstshtag',
        'file_get_contents\\(ROOT_DIR\\.[\'"]/templates/[\'"]\\.\\$config\\[[\'"]skin[\'"]\\]\\.[\'"]/main\\.tpl',
        'new\\s+conectBase\\([\'"]aHR',
        '\\$id\\s*\\.\\s*[\'"]\\?d=[\'"]\\s*\\.\\s*base64_encode\\(\\s*\\$_SERVER\\[\\s*[\'"]HTTP_USER_AGENT',
        'do_work\\(\\s*\\$index_file\\s*\\)',
        'header\\s*\\(\\s*_\\d+\\(',
        'By\\s+WebRooT',
        'Coded\\s+by\\s+EXE',
        'trim\\(\\s*\\$headers\\s*\\)\\s*\\)\\s*as\\s*\\$header\\s*\\)\\s*header\\(\\s*\\$header',
        '@\\$_SERVER\\[\\s*HTTP_HOST\\s*\\]>[\'"]\\s*\\.\\s*[\'"]\\\\r\\\\n[\'"]',
        'file_get_contents\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine',
        'touch\\(\\s*\\$_SERVER\\[\\s*[\'"]DOCUMENT_ROOT[\'"]\\s*\\]\\s*\\.\\s*[\'"]/engine',
        'PHPSHELL_VERSION',
        '<\\?\\s*=@`\\$[a-zA-Z0-9_]+`',
        '&_SESSION\\[payload\\]=',
        'gzuncompress\\(\\s*file_get_contents\\(\\s*[\'"]http',
        'if\\(\\s*!empty\\(\\s*\\$_POST\\[\\s*[\'"]{0,1}tp2[\'"]{0,1}\\s*\\]\\)\\s*and\\s*isset\\(\\s*\\$_POST',
        'if\\(\\s*true\\s*&\\s*@preg_match\\(\\s*strtr\\(\\s*[\'"]/',
        '==\\s*0\\)\\s*{\\s*echo\\s*PHP_OS\\s*\\.\\s*\\$',
        'isset\\(\\s*\\$_SERVER\\[\\s*_\\d+\\(\\s*\\d+\\s*\\)\\s*\\]\\s*\\)\\s*\\?\\s*\\$_SERVER\\[\\s*_\\d+\\(\\d+\\)\\s*\\]\\s*:\\s*_\\d+\\(\\d+\\)',
        '\\$index\\s*=\\s*str_replace\\(\\s*[\'"]<\\?php\\s*ob_end_flush\\(\\);\\s*\\?>[\'"]\\s*,\\s*[\'"][\'"]\\s*,\\s*\\$index',
        '\\$status_loc_sh\\s*=\\s*file_exists',
        '\\$POST_STR\\s*=\\s*file_get_contents\\("php://input',
        'ge\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]mes',
        '\\$table\\[\\$string\\[\\$i\\]\\]\\s*\\*\\s*pow\\(64\\s*,\\s*2\\)\\s*\\+\\s*\\$table',
        'if\\(\\s*stripos\\(\\s*[\'"]\\*\\*\\*\\$ua',
        'flush_end_file\\(\\s*\\$filename\\s*,\\s*\\$filecontent',
        'preg_match\\(\\s*[\'"]{0,1}~Location:\\(\\.\\*\\?\\)\\(\\?:\\\\n\\|\\$',
        'touch\\(\\s*\\$this->conf->root',
        '\\beval\\(\\s*\\${\\s*\\$[a-zA-Z0-9_]+\\s*}\\[',
        'if\\s*\\(\\s*@filetype\\(\\$leadon\\s*\\.\\s*\\$file',
        'file_put_contents\\(\\s*\\$dir\\s*\\.\\s*\\$file\\s*\\.\\s*[\'"]/index',
        'filesize\\(\\s*\\$put_k_failu',
        'age\\s*=\\s*stripslashes\\s*\\(\\s*\\$_POST\\s*\\[[\'"]{0,1}mes[\'"]\\]',
        'function\\s+findHeaderLine\\s*\\(\\s*\\$template',
        '\\$status_create_glob_file\\s*=\\s*create_file',
        'echo\\s+show_query_form\\(\\s*\\$sqlstring',
        '==\\s*FALSE\\s*\\?\\s*\\d+\\s*:\\s*ip2long',
        'function\\s+mailer_spam',
        'EditHtaccess\\(\\s*[\'"]RewriteEngine',
        '\\$pathToDor',
        '\\$cur_cat_id\\s*=\\s*\\(\\s*isset\\(\\s*\\$_GET',
        '@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\(\\s*@\\$_COOKIE\\[\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*\\]\\s*\\)\\s*\\)',
        'header\\([\'"]Location:\\s*http://\\$pp\\.org',
        'return\\s+[\'"]/home/[a-zA-Z0-9_]+/[a-zA-Z0-9_]+/',
        '[\'"]wp-[\'"]\\s*\\.\\s*generateRandomString',
        '\\$[a-zA-Z0-9_]+==[\'"]featured[\'"]\\s*\\)\\s*\\){\\s*echo\\s+base64_decode',
        '\\$[a-zA-Z0-9_]+\\s*=\\s*\\$jq\\s*\\(\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]',
        'exploit\\s*::\\.</title>',
        '\\$[a-zA-Z0-9_]+=str_replace\\([\'"]\\*a\\$\\*',
        'chr\\(\\s*\\$[a-zA-Z0-9_]+\\s*\\);\\s*}\\s*eval\\(\\s*\\$[a-zA-Z0-9_]+',
        'if\\(\\s*isInString1?\\(\\$[a-zA-Z0-9_]+,[\'"]google',
        '\\$pp\\s*=\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]\\s*\\.\\s*\\$p\\[\\d+\\]',
        'file_put_contents\\(DIR\\.[\'"]/[\'"]\\.[\'"]index\\.php',
        '@get_headers\\(\\s*\\$fullpath\\)',
        '@\\$_GET\\[[\'"]pw[\'"]\\]',
        'json_encode\\(alexusMailer',
        '=[\'"]\\)\\);[\'"]\\)\\);',
        '=\\s*\\$[a-zA-Z0-9_]+\\(\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(',
        '\\]\\s*}\\s*\\(\\s*{\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        'request\\.servervariables\\(\\s*[\'"]HTTP_USER_AGENT[\'"]\\s*\\)\\s*,\\s*[\'"]Googlebot',
        'eval\\([\'"]\\?>[\'"]\\s*\\.\\s*join\\([\'"][\'"],file\\(\\$',
        'setopt\\(\\$ch\\s*,\\s*CURLOPT_POSTFIELDS\\s*,\\s*http_build_query\\(\\$data',
        'mysql_connect\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'request\\.servervariables\\([\'"]HTTP_USER_AGENT[\'"]\\),[\'"]aidu[\'"]',
        '\\]\\s*\\)\\s*\\)\\s*{\\s*eval\\s*\\(\\s*\\${\\$',
        'by\\s+Error\\s+7rB',
        '@ircservers\\[rand\\s+@ircservers\\]',
        'set_time_limit\\(intval\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'nick\\s+[\'"]chanserv[\'"];',
        'Magic\\s+Include\\s+Shell',
        '\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+=create_function\\([\'"][\'"],\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+\\(\\)',
        'curlOpen\\(\\$remote_path\\.\\$param_value',
        'fwrite\\(\\$fp,[\'"]\\\\xEF\\\\xBB\\\\xBF[\'"]\\.\\$body\\);',
        '\\$[a-zA-Z0-9_]+\\+\\+\\)\\s*{\\s*\\$[a-zA-Z0-9_]+\\s*=\\s*array_unique\\(array_merge\\(\\$[a-zA-Z0-9_]+\\s*,\\s*[a-zA-Z0-9_]+\\([\'"]\\$[a-zA-Z0-9_]+',
        'and\\s*\\(!\\s*strstr\\(\\$ua,[\'"]rv:11[\'"]\\)\\)',
        'echo\\s+\\$ok\\s+\\?\\s+[\'"]SHELL_OK[\'"]',
        ';eval\\(\\$todocontent\\[0\\]\\)',
        'or\\s+strtolower\\(@ini_get\\([\'"]safe_mode',
        'if\\(!isset\\(\\$_REQUEST\\[chr\\(',
        '\\$processo\\s*=\\s*\\$ps\\[rand\\s+scalar\\s+@ps\\]',
        'echo\\s+[\'"]uname\\s+-a;\\s*\\$uname',
        '\\.tcpflood\\s+<target>',
        '\\$bot\\[[\'"]server[\'"]\\]=\\$servban\\[rand\\(0,count\\(',
        '\\.:\\s+w33d\\s+:\\.',
        'BLACKUNIX\\s+CREW',
        ';\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$[a-zA-Z0-9_]+\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$',
        'case\\s*[\'"]create_symlink[\'"]:',
        'socket_connect\\(\\$[a-zA-Z0-9_]+,\\s*[\'"]gmail-smtp-in\\.l\\.google\\.com[\'"]\\s*,\\s*25\\)\\s*==\\s*FALSE',
        'call_user_func\\(@unhex\\(0x[a-zA-Z0-9_]+\\)\\(\\$_',
        '\\$_=@\\$_REQUEST\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)\\.@\\$_\\(\\$_REQUEST\\[',
        '\\$GLOBALS\\[\\$GLOBALS\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\[\\d+\\]\\.\\$GLOBALS\\[',
        '\\.\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\.[\'"]{[\'"]\\)\\);};unset\\(\\$',
        'http_build_query\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\)\\.[\'"]&ip=[\'"]\\s*\\.\\s*\\$_SERVER',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\(\\s*[\'"]/sbin/ifconfig[\'"]',
        '<\\?php\\s+if\\s*\\(isset\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]images[\'"]\\]\\)\\)\\s*{\\$',
        '<title>GORDO\\s+20',
        'copy\\(\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)',
        'sprintf\\([a-zA-Z0-9_]+\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\)\\s*\\)',
        '=\\s*str_replace\\(\\s*[\'"]\\|\\|\\|[a-zA-Z0-9_]+\\|\\|\\|[\'"]\\s*,\\s*[\'"][\'"]',
        '\\$[a-zA-Z0-9_]+\\[0\\]=pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]\\);array_filter\\(\\$[a-zA-Z0-9_]+,pack\\([\'"]H\\*[\'"],[\'"][a-zA-Z0-9_]+[\'"]',
        'eval\\(\\${\\${"',
        '--visitorTracker--',
        '<%--SuExp--%>',
        'str_rot13\\(\\s*[\'"]riny',
        '\\$__a\\s*=\\s*str_replace\\(".",\\s*".",\\s*\\$__.\\);\\s*\\$__.\\s*=\\s*str_replace',
        'echo\\s*exec\\([\'"]whoami[\'"]\\);',
        'file_put_contents\\([\'"][a-zA-Z0-9_]+\\.php[\'"],\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\],FILE_APPEND\\);',
        '\\$dirpath\\.[\'"]/[\'"]\\.\\$value\\.[\'"]/wp-config\\.php[\'"]\\)\\.',
        'array_diff_ukey\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[',
        '\\$[a-zA-Z0-9_]+=file_get_contents\\([\'"]http://www\\.ask\\.com/web\\?q=',
        'if\\(!empty\\(\\s*\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\)\\){copy\\(\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\],\\$_FILES\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\);}',
        'register_shutdown_function\\s*\\(\\s*create_function\\(\\s*@?\\${\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*,\\s*@?\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\);',
        '@?filter_var\\s*\\(@?\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\s*FILTER_CALLBACK\\s*,\\s*array\\s*\\(\\s*[\'"][a-zA-Z0-9_]+[\'"]\\s*=>\\s*\\${\\s*[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]\\s*}{\\s*[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\s*}\\s*\\)\\s*\\)\\s*;',
        'if\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]!=\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\){extract\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\);\\s*usort\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\);}',
        'declare\\(\\s*ticks=\\d+\\s*\\)\\s*;@?register_tick_function\\(\\s*\\${[\'"]_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\s*,\\${[\'"]{0,1}_(GET|POST|SERVER|COOKIE|REQUEST|FILES)[\'"]{0,1}}\\s*{[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\);',
        'define\\([a-zA-Z0-9_]+\\s*,\\s*\\$_SERVER\\[[a-zA-Z0-9_]+\\]\\);\\s*@?register_shutdown_function\\(\\s*create_function\\(\\$[a-zA-Z0-9_]+,[a-zA-Z0-9_]+\\)\\s*\\);',
        '\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}=@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES);@?!\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]&&@?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\)\\?\\${@?[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}:@?@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\(@?\\${[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}}\\[\\d+\\]\\);',
        'setcookie\\([\'"][a-zA-Z0-9_]+[\'"]\\s*,\\s*serialize\\(@?\\$_<GPC>\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\)',
        '</div>\\s*<%--PortScan--%>',
        'GIF89...<\\?php',
        '\\$[a-zA-Z0-9_]+\\s*=\\s*fopen\\([\'"][a-zA-Z0-9_]+\\.php[\'"]\\s*,\\s*[\'"]w\\+?[\'"]\\);\\s*fputs\\(\\$[a-zA-Z0-9_]+\\s*,\\s*\\$[a-zA-Z0-9_]+\\);\\s*fclose\\(\\$[a-zA-Z0-9_]+\\);\\s*unlink\\(__FILE__\\);',
        'CreateJoomCode\\(\\$[a-zA-Z0-9_]+\\);',
        'function\\s+CreateWpCode',
        '<br>[\'"]\\.php_uname\\(\\)\\.[\'"]<br></b>',
        'if\\(\\$[a-zA-Z0-9_]+\\s*=\\s*@?strpos\\(\\$[a-zA-Z0-9_]+,"check_meta\\(\\);"\\)\\)',
        'if\\(isset\\(\\$_GET\\[[\'"]install[\'"]\\]\\)\\){\\s*\\$db->exec\\([\'"]CREATE TABLE IF NOT EXISTS article',
        'arr2html\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\);',
        'function\\s+get_text_fr_serv\\(\\s*\\$url_s',
        'function\\s+curl_get_from_webpage_one_time\\(\\s*\\$url',
        '\\$article\\d+\\s*=\\s*explode\\("\\#\\#\\#",\\$str\\d+\\)',
        'echo\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]\\s*.\\s*\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"]\\w{1,45}[\'"]\\]',
        'file_get_contents\\([\'"]http://\\d+\\.\\d+\\.\\d+\\.\\d+/\\w{1,45}\\.php\\?h=',
        'class\\s*LLM_base',
        'fn_dolly_get_filename_from_headers',
        '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*,\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}',
        '\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\[[\'"][a-zA-Z0-9_]+[\'"]\\]\\s*\\)\\s*;\\s*array_filter\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}',
        'eval\\s*\\([\'"]\\?>[\'"]\\s*\\.\\s*\\$\\w{1,45}\\)\\s*;',
        'if\\s*\\(!\\s*\\$_POST\\s*\\[[\'"]to[\'"]\\]\\s*&&\\s*!\\s*\\$_GET\\s*\\[[\'"]ch[\'"]\\]\\s*&&\\s*count',
        'google\'\\)\\s*!==\\s*false\\s*\\)\\s*\\\\{\\s*header\\(\'HTTP/1\\.0\\s*404',
        'call_user_func\\(\\$\\w{1,45},\'\\$code=function',
        'eval\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        'assert\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*@?\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[',
        '<b>eval\\s*\\(\\s*\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\s*\\(',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\s*\\(?\\s*[\'"]wget',
        '==[\'"]\\)\\);return;\\?>',
        'uggc://',
        '\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]=chr\\(\\$[a-zA-Z0-9_]+\\[ord\\(\\$[a-zA-Z0-9_]+\\[\\$[a-zA-Z0-9_]+\\]\\)\\]\\);',
        '\\$[a-zA-Z0-9_]+\\[chr\\(\\d+\\)\\]\\([a-zA-Z0-9_]+\\(',
        '\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)\\s*\\.\\s*\\$[a-zA-Z0-9_]+\\s*\\(\\s*\\d+\\s*\\^\\s*\\d+\\s*\\)',
        '\\b(ftp_exec|system|shell_exec|passthru|popen|proc_open)\\([\'"]{0,1}\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\["',
        '\\$[a-zA-Z0-9_]+=array\\([\'"]\\$[a-zA-Z0-9_]+\\[\\s*\\]=array_pop\\(\\$[a-zA-Z0-9_]+\\);\\$[a-zA-Z0-9_]+',
        '\\$[a-zA-Z0-9_]+=pack\\([\'"]H\\*[\'"],substr\\(\\$[a-zA-Z0-9_]+,\\s*-\\d+\\)\\);\\s*return\\s+\\$[a-zA-Z0-9_]+\\(substr\\(',
        '\\$[a-zA-Z0-9_]+\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\[[\'"]{0,1}[a-zA-Z0-9_]+[\'"]{0,1}\\]\\(\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+,\\$[a-zA-Z0-9_]+\\[',
        '</form>[\'"];if\\(isset\\(\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){if\\(is_uploaded_file\\(\\$_FILES\\[[\'"]\\w{1,45}[\'"]\\]\\[[\'"]\\w{1,45}[\'"]\\]\\)\\){@copy\\(\\$_FILES',
        '\\./host\\s+encrypt\\s+publickey\\.pub\\s+[\'"]/home',
        '\\$res_el\\[[\'"]link[\'"]\\]\\.[\'"]-\\|\\|-good[\'"]',
        '=\\s*explode\\([\'"]_\\|\\|_[\'"],\\$_POST',
        '\\$current\\s*=\\s*file_get_contents\\([\'"]http://.{0,500}?\\$id[\'"]\\);\\s*file_put_contents\\(\\$id,\\s*\\$current\\);',
        '\\$domain\\s*=\\s*\\$domains\\[array_rand\\(\\$domains,\\s*1\\)\\];\\s*\\$url',
        '\\$\\w{1,45}\\s*=\\s*\\$\\w{1,45}\\.[\'"]/api\\.php\\?action=fulltxt&config=[\'"]\\.\\$\\w{1,45}\\.[\'"]&\\w{1,45}=[\'"]\\.\\$\\w{1,45};',
        '\\$_POST\\[[\'"]\\w{1,45}[\'"]\\]\\);@eval',
        'function\\s*rs2html\\(&\\$rs,\\$ztabhtml=false,\\$zheaderarray=false',
        'if\\(isset\\(\\$_GET\\[[\'"]p[\'"]\\]\\)\\)\\s*{\\s*header\\([\'"]Content-Type:\\s*text/html;charset=windows-1251[\'"]\\);\\s*\\$path=\\$_SERVER\\[[\'"]DOCUMENT_ROOT[\'"]\\]',
        'session_write_close\\(\\);\\s*LocalRedirect\\(\\$download_dir',
        'GetThisIp\\(\\);\\s*if\\(\\$action\\s*==\\s*"fileinfo',
        'if\\s*\\(\\s*s\\.indexOf\\([\'"]google[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]bing[\'"]\\)\\s*>\\s*0\\s*\\|\\|\\s*s\\.indexOf\\([\'"]yahoo[\'"]\\)',
        '@chmod\\([\'"]\\.htaccess[\'"],\\d+\\);\\s*@chmod\\([\'"]index\\.php[\'"],\\d+\\);',
        'ping\\s+-c\\s+[\'"]\\s*\\.\\s*\\$ping_count',
        'Antichat\\s+Socks5',
        'function\\s+BridgeEstablish2',
        'function\\s*__obfuscate_redirect',
        '\\$_POST\\[\\s*[\'"]pwd[\'"]\\]=[\'"]Weak\\s+Liver',
        '\\[BITRIX\\]\\s*\\[WordPress\\]\\s*\\[osCommerce\\]\\s*\\[Joomla\\]</h3>',
        '<title>\\s*Kazuya404',
        'if \\(@\\$array\\[\\d+\\] == \\d+\\)\\s*{\\s*header\\s*\\(\\s*[\'"]Location:\\s*\\$url',
        'if\\s*\\(\\s*isset\\(\\s*\\$_POST\\[[\'"]proxy[\'"]\\]\\s*\\)\\s*\\)\\s*{\\s*curl_setopt',
        '\\b(include|include_once|require|require_once)\\s*\\(\\s*\\$path\\s*\\.\\s*\\$_',
        'die\\(substr\\(md5\\(microtime\\(\\)\\)\\s*,',
        'function mkdirr\\(\\$pn,\\$mode=null',
        '\\]}\\){return self::MOBILE_GRADE_A;}',
        'if\\s*\\(\\$_(GET|POST|SERVER|COOKIE|REQUEST|FILES)\\s*\\[\'\\w{1,45}\'\\]\\s*\\)\\s*{\\s*echo\\s*"OK";\\s*exit\\s*\\(\\s*\\);\\s*}',
        '\\b(eval|base64_decode|strrev|preg_replace|preg_replace_callback|urldecode|strstr|gzinflate|sprintf|gzuncompress|assert|str_rot13|md5|array_walk|array_filter)\\(file_get_contents\\([\'"]http://',
        '}\\s*=\\s*file_get_contents\\([\'"]http://',
        'if\\s*\\(\\s*is_mobile\\(\\s*\\)\\s*\\)\\s*exit\\([\'"]<script',
        '\\$\\w{1,45}\\s*,\\s*"\\.php\\.suspected"',
        '\\$\\w{1,45}\\s*=\\s*\\$_GET\\["link"\\];\\s*switch\\s*\\(\\$\\w{1,45}\\)\\s*{\\s*case\\s*"[a-zA-Z0-9_]+"\\s*:\\s*\\$\\w{1,45}="http',
        'include_once\\(urldecode\\(',
        'gethttpcnt\\(\\$url\\s*,\\s*\\$timeout',
        ';eval\\(""\\);if',
        '\\.php";@file_put_contents\\(\\$\\w{1,45}\\s*,\\s*\\$\\w{1,45}\\);echo\\s*"http',
        '@preg_replace\\(\\$exif\\[[\'"]{0,1}ImageDescription',
        '\\$testcloack\\s*=\\s*cloack\\(\\s*\\$ip\\s*\\)',
        'function\\s*get_exec_local',
        'preg_match\\("/\\$engines/"\\s*,\\s*\\$_SERVER',
        'preg_match\\("/\\$spider/"\\s*,\\s*\\$uagent',
        'echo\\s*eval\\s*/\\*\\*/\\s*\\(\'\\?>\'\\s*\\.\\s*join\\(""\\s*,\\s*file',
    ];

    /**
     * Get all signatures optimized.
     */
    public static function getAll()
    {
        static $optimized;

        if (empty($optimized)) {
            $optimized = self::$regex;
            $raw = self::$raw;
            foreach ($raw as &$pattern) {
                $pattern = preg_quote($pattern, '#');
                $pattern = str_replace([' ', "'", '"'], ['[\s]*', '[\'"]', '[\'"]'], $pattern);
            }
            $optimized = array_merge($optimized, $raw);
            self::optimizeSignatures($optimized);
        }

        return $optimized;
    }

    /**
     * Optimize signatures.
     *
     * @param $sigs
     */
    public static function optimizeSignatures(&$sigs)
    {
        $sigs = array_unique($sigs);

        // Add SigId
        foreach ($sigs as &$s) {
            $s .= '(?<X' . hash('crc32b', $s) . '>)';
        }
        unset($s);

        $fix = [
            '([^\?\s])\({0,1}\.[\+\*]\){0,1}\2[a-z]*e' => '(?J)\.[+*](?<=(?<d>[^\?\s])\(..|(?<d>[^\?\s])..)\)?\g{d}[a-z]*e',
            'http://.+?/.+?\.php\?a' => 'http://[^?\s]++(?<=\.php)\?a',
            '\s*[\'"]{0,1}.+?[\'"]{0,1}\s*' => '.+?',
            '[\'"]{0,1}.+?[\'"]{0,1}' => '.+?',
        ];

        $sigs = str_replace(array_keys($fix), array_values($fix), $sigs);

        $fix = [
            '~^\\\\[d]\+&@~' => '&@(?<=\d..)',
            '~^((\[\'"\]|\\\\s|@)(\{0,1\}\.?|[?*]))+~' => '',
        ];

        $sigs = preg_replace(array_keys($fix), array_values($fix), $sigs);

        self::optimizeSignaturesCheck($sigs);

        $tmp = [];
        foreach ($sigs as $i => $s) {
            if (!preg_match('#^(?>(?!\.[*+]|\\\\\d)(?:\\\\.|\[.+?\]|.))+$#', $s)) {
                unset($sigs[$i]);
                $tmp[] = $s;
            }
        }

        usort($sigs, 'strcasecmp');
        $txt = implode("\n", $sigs);

        for ($i = 24; $i >= 1; ($i > 4) ? $i -= 4 : --$i) {
            $txt = preg_replace_callback('#^((?>(?:\\\\.|\\[.+?\\]|[^(\n]|\((?:\\\\.|[^)(\n])++\))(?:[*?+]\+?|\{\d+(?:,\d*)?\}[+?]?|)){' . $i . ',})[^\n]*+(?:\\n\\1(?![{?*+]).+)+#im', [self::class, 'optimizeSignatureMergePrefixes'], $txt);
        }

        $sigs = array_merge(explode("\n", $txt), $tmp);

        self::optimizeSignaturesCheck($sigs);
    }

    /**
     * Merge signatures prefixes.
     *
     * @param $m
     *
     * @return string
     */
    protected static function optimizeSignatureMergePrefixes($m)
    {
        $limit = 8000;

        $prefix = $m[1];
        $prefixLen = strlen($prefix);

        $len = $prefixLen;
        $r = [];

        $suffixes = [];
        foreach (explode("\n", $m[0]) as $line) {
            if (strlen($line) > $limit) {
                $r[] = $line;
                continue;
            }

            $s = substr($line, $prefixLen);
            $len += strlen($s);
            if ($len > $limit) {
                $r[] = count($suffixes) === 1 ? $prefix . $suffixes[0] : $prefix . '(?:' . implode('|', $suffixes) . ')';
                $suffixes = [];
                $len = $prefixLen + strlen($s);
            }
            $suffixes[] = $s;
        }

        if (!empty($suffixes)) {
            $r[] = count($suffixes) === 1 ? $prefix . $suffixes[0] : $prefix . '(?:' . implode('|', $suffixes) . ')';
        }

        return implode("\n", $r);
    }

    /**
     * Checking errors in pattern.
     *
     * @param $signs
     *
     * @return bool
     */
    protected static function optimizeSignaturesCheck(&$signs)
    {
        $result = true;
        foreach ($signs as $k => $sign) {
            if (trim($sign) === '') {
                unset($signs[$k]);
                $result = false;
            }

            if (@preg_match('#' . $sign . '#smiS', '') === false) {
                unset($signs[$k]);
                $result = false;
            }
        }

        return $result;
    }
}