Странные изменения на сайте

@Aleks_U · Регистрация: 24.11.2014

Студворк — интернет-сервис помощи студентам

Всех приветствую!

На сайте, поддержкой, которого занимаюсь стали появляться в контенте странные ссылки на ресурсы типа vtraxe и т.п. Причем появляться стали в тех частях сайта, которые нельзя поправить через админку. Из-за чего это может быть?

quwy · 26.11.2014, 13:37

Это значит что сайт был взломан через уязвимость CMS, туда залит шелл и злоумышленник может делать все что угодно.

@Aleks_U · 26.11.2014, 13:40 **[ТС]**

А где может лежать этот вредоносный код? Как его обычно ищут?

quwy · 26.11.2014, 13:51

Где угодно и называться он может как угодно. Проще всего сравнить каталог сайта с бекапом. У вас ведь есть бекап?

@Aleks_U · 26.11.2014, 13:56 **[ТС]**

Бекапы есть. Попробую сравнить.
А в чем может быть причина уязвимости?

quwy · 26.11.2014, 14:01

Это зависит от типа и версии CMS. После нахождения шелла можно просмотреть логи web-сервера на предмет вхождения имени файла. Так есть вероятность найти запрос, которым шелл был подсажен. Но лучше просто поискать информацию об уязвимостях ваших скриптов и установить последние версии.

@Amet13 · 26.11.2014, 20:02

Какая CMS? Каие плагины используются? strace, lsof в помощь.

@Aleks_U · 27.11.2014, 12:00 **[ТС]**

CMS самописная, причем написанная очень давно и не мной. Возможно у неё есть какая-то основа, но как это определить я не знаю.
Ещё есть форум на PHPBB3, но с ним все ok (тьфу-тьфу-тьфу).

quwy · 27.11.2014, 12:19

Сообщение от Aleks_U

Ещё есть форум на PHPBB3, но с ним все ok (тьфу-тьфу-тьфу).

А с чего вы решили, что с ним все хорошо? То, что сам форум не пострадал, еще не значит, что влезли не через него. Тем более такой древний. Еще дерьмо лезет через phpMyAdmin, даже если он вроде бы выключен.

@Glueon · 27.11.2014, 12:22

Самое примитивное прогнать подобным скриптом: http://revisium.com/ai/
В целом, проблема может быть куда более глубокая, руткиты никто не отменял. Поэтому платите админу, пусть разбирается.

@JohnyV · 01.12.2014, 11:20

Можете прислать мне зараженный архив и я помогу Вам просканировать его на вирусы и наличии вредоносного кода.

Новые блоги и статьи Все статьи Все блоги /
Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .
SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .

@Aleks_U 34 / 30 / 10 Регистрация: 24.11.2014 Сообщений: 188 Записей в блоге: 12

	Странные изменения на сайте 26.11.2014, 13:33. Показов 760. Ответов 10 Метки нет (Все метки) Всех приветствую! На сайте, поддержкой, которого занимаюсь стали появляться в контенте странные ссылки на ресурсы типа vtraxe и т.п. Причем появляться стали в тех частях сайта, которые нельзя поправить через админку. Из-за чего это может быть? 0

quwy Native x86 6857 / 3790 / 1025 Регистрация: 13.02.2013 Сообщений: 11,861
	26.11.2014, 13:37
	Это значит что сайт был взломан через уязвимость CMS, туда залит шелл и злоумышленник может делать все что угодно. 0

@Aleks_U 34 / 30 / 10 Регистрация: 24.11.2014 Сообщений: 188 Записей в блоге: 12
	26.11.2014, 13:40 [ТС]
	А где может лежать этот вредоносный код? Как его обычно ищут? 0

quwy Native x86 6857 / 3790 / 1025 Регистрация: 13.02.2013 Сообщений: 11,861
	26.11.2014, 13:51
	Где угодно и называться он может как угодно. Проще всего сравнить каталог сайта с бекапом. У вас ведь есть бекап? 0

@Aleks_U 34 / 30 / 10 Регистрация: 24.11.2014 Сообщений: 188 Записей в блоге: 12
	26.11.2014, 13:56 [ТС]
	Бекапы есть. Попробую сравнить. А в чем может быть причина уязвимости? 0

quwy Native x86 6857 / 3790 / 1025 Регистрация: 13.02.2013 Сообщений: 11,861
	26.11.2014, 14:01
	Это зависит от типа и версии CMS. После нахождения шелла можно просмотреть логи web-сервера на предмет вхождения имени файла. Так есть вероятность найти запрос, которым шелл был подсажен. Но лучше просто поискать информацию об уязвимостях ваших скриптов и установить последние версии. 0

@Amet13 1362 / 1074 / 110 Регистрация: 16.03.2012 Сообщений: 4,543
	26.11.2014, 20:02
	Какая CMS? Каие плагины используются? strace, lsof в помощь. 0

@Aleks_U 34 / 30 / 10 Регистрация: 24.11.2014 Сообщений: 188 Записей в блоге: 12
	27.11.2014, 12:00 [ТС]
	CMS самописная, причем написанная очень давно и не мной. Возможно у неё есть какая-то основа, но как это определить я не знаю. Ещё есть форум на PHPBB3, но с ним все ok (тьфу-тьфу-тьфу). 0

@Glueon 11 / 11 / 7 Регистрация: 25.11.2014 Сообщений: 81
	27.11.2014, 12:22
	Самое примитивное прогнать подобным скриптом: http://revisium.com/ai/ В целом, проблема может быть куда более глубокая, руткиты никто не отменял. Поэтому платите админу, пусть разбирается. 0

@JohnyV 72 / 75 / 4 Регистрация: 05.11.2012 Сообщений: 471 Записей в блоге: 1
	01.12.2014, 11:20
	Можете прислать мне зараженный архив и я помогу Вам просканировать его на вирусы и наличии вредоносного кода. 0