9B 9BK Лечим зараженные сайты и возвращаем их в работу.
В Telegram
Проверить сайт

Shell и backdoor

Как найти shell на сайте и почему удаление одного файла редко помогает

Shell на сайте — это не просто “подозрительный файл”, а рабочая точка повторного доступа для злоумышленника. Именно поэтому многие сайты заражаются снова: владелец убирает видимый редирект или мусорные страницы, но оставляет скрытый backdoor. Если на проекте уже был взлом, вопрос shell почти всегда нужно проверять отдельно.

  • Объясняем, что такое shell и чем он опасен для повторного заражения
  • Показываем типовые места, где прячутся backdoor и загрузчики
  • Учим искать не один файл, а весь механизм возврата злоумышленника

Навигация по странице

Быстрый переход по разделам

Что обычно называют shell на сайтеГде shell чаще всего прячетсяКакие признаки должны насторожитьПочему опасно просто удалять найденный файл

Техническая диагностика

Что обычно называют shell на сайте

#
  • Скрипт для удаленного выполнения команд или загрузки новых файлов
  • Backdoor, через который злоумышленник возвращается после “очистки”
  • Небольшой загрузчик, который тянет основной вредоносный код извне
  • Скрытая точка входа, замаскированная под служебный или системный файл

Техническая диагностика

Где shell чаще всего прячется

#
  • В папках с загрузками и пользовательским контентом
  • В служебных PHP-файлах, которые не бросаются в глаза
  • В шаблонах, старых плагинах, кастомных модулях и временных скриптах
  • В местах, где на сайте исторически был “ручной” код без контроля версий и ревизии

Техническая диагностика

Какие признаки должны насторожить

#
1

Странные имена и недавние изменения файлов

Подозрительны не только явно кривые имена, но и файлы, которые маскируются под кэш, картинки, логи и служебные скрипты.

2

Обфусцированный или нетипичный код

Часто shell выдают длинные закодированные строки, конструкции для удаленного вызова, загрузки и выполнения произвольного кода.

3

Повторное появление симптомов после чистки

Если редирект, спам или warning возвращаются, очень высок шанс, что на проекте остался shell, backdoor или другой механизм повторного входа.

Техническая диагностика

Почему опасно просто удалять найденный файл

#

На зараженном сайте shell редко бывает один и сам по себе. Часто рядом остаются загрузчики, вторые backdoor, компрометированные доступы, вредоносные cron-задачи и изменения в базе данных.

Поэтому правильная логика звучит так: не “нашли shell и удалили”, а “поняли схему закрепления, закрыли точку входа, перепроверили проект и только потом считаем сайт чистым”.

FAQ

Частые вопросы

Shell всегда можно найти обычным антивирусом?

Не всегда. Сигнатурный поиск полезен, но часть shell и backdoor маскируется или выглядит как легитимный код. Поэтому важен еще и ручной разбор структуры проекта.

Если удалить shell, сайт автоматически станет безопасным?

Нет. Нужно еще понять, как он попал на сайт, нет ли вторых точек входа, зараженных доступов и других вредоносных хвостов.

Shell бывает только на PHP-сайтах?

Чаще всего его ищут именно там, но идея backdoor шире. На любом проекте может быть технический механизм, который позволяет злоумышленнику вернуться после частичной чистки.

Экспертность

Экспертная редакция 9BK

Готовим материалы о взломе, заражении и восстановлении сайтов так, чтобы владелец проекта понимал не только симптомы, но и правильный порядок действий.

  • Лечение сайта от вирусов
  • Восстановление после взлома
  • Разблокировка сайта у хостинга и поисковиков

Роль: Редакционная команда проекта

Проверено: Техническая редакция проекта

Страница автора

Перелинковка

Связанные материалы

Лечение сайта от вирусовПроверка сайта на вирусыХостинг заблокировал сайтWordPress: очистка от вирусовКак найти вредоносный код в WordPress

Следующий шаг

Подозреваете shell или backdoor после взлома?

Тогда важно искать не один странный файл, а всю схему возврата злоумышленника. Иначе сайт очень быстро повторно заражается.

Проверить сайт Связаться по кейсу