🚨 Взломали сайт, что делать? Пошаговый план без паники
Вы заметили странное поведение сайта. Хостинг Timeweb прислал уведомление о подозрительной активности. В логах — непонятные запросы. Вы чувствуете тревогу: бизнес под угрозой, клиенты могут пострадать, репутация — на кону.
«Первая реакция — паника. Но именно сейчас нужны холодная голова и чёткий план. Мы поможем пройти этот путь за 24 часа».
🔍 Шаг 1: Диагностика — где прячется угроза
Запрос клиента: «Проверить наличие вредоносного кода на аккаунте timeweb.ru, удалить вредоносный код, по возможности защитить в дальнейшем».
Когда взламывают сайт на MODX (мы выбрали эту CMS для примера, но работаем со всеми), заражённый скрипт часто маскируется под легитимные файлы:
✅ В папке
✅ В сниппетах или плагинах — вставки с
✅ В конфигурационных файлах — скрытые редиректы или внешние подключения
✅ В базе данных — вредоносный JavaScript для инъекций на фронтенде
/assets/cache/ — файлы, которые не должны исполняться✅ В сниппетах или плагинах — вставки с
eval(), base64_decode, gzinflate✅ В конфигурационных файлах — скрытые редиректы или внешние подключения
✅ В базе данных — вредоносный JavaScript для инъекций на фронтенде
📌 Актуальные уязвимости MODX (2021–2026), которые мы закрываем:
|
Уязвимость
|
Тип угрозы
|
Год
|
|---|---|---|
|
CVE-2023-27434
|
XSS в менеджере, позволяющий внедрить malware
|
2023
|
|
CVE-2022-24734
|
Небезопасная обработка файлов в загрузчике
|
2022
|
|
CVE-2024-28947
|
Обход аутентификации через API-эндпоинты
|
2024
|
|
CVE-2021-42389
|
SQL-инъекция в поисковом модуле
|
2021
|
💡 На хостинге Timeweb такие угрозы безопасности часто активируются при устаревших версиях компонентов. Мы проверяем не только файлы, но и настройки сервера.
🚀 Бесплатный экспресс-аудит за 1-2 часа
Не гадайте — получите точный ответ, есть ли угроза прямо сейчас.
📞 Напишите нам — проверим ваш аккаунт на Timeweb, найдём вредоносный код, дадим рекомендации.
🔧 Удаление угроз: 4500 ₽ | ⏱ Готовность за 24 часа | 🛡 Гарантия 30 дней
🔧 Удаление угроз: 4500 ₽ | ⏱ Готовность за 24 часа | 🛡 Гарантия 30 дней
«За 10 лет работы (с 2014 года) мы помогли 600+ владельцам сайтов. Знаем, как действовать, когда время на исходе».
⚙️ Шаг 2: Протокол лечения — 6 этапов восстановления
Мы не просто «чистим файлы». Мы возвращаем контроль и спокойствие.
📋 Как мы работаем (все этапы — за 24 часа):
1️⃣ Изоляция — временно ограничиваем доступ к сайту, чтобы остановить распространение malware
2️⃣ Глубокое сканирование — проверяем ядро MODX, сниппеты, плагины, базу, логи
3️⃣ Ручной анализ — ищем обфусцированный код, бэкдоры, скрытые задачи в cron
4️⃣ Очистка — удаляем заражённые вставки, восстанавливаем файлы из оригинала
5️⃣ Патчинг — обновляем ядро и компоненты, закрываем известные уязвимости
6️⃣ Тестирование + защита — проверяем работу сайта, настраиваем базовый мониторинг
✅ Что вы получаете после нашей работы:
- ✅ Сайт на хостинге Timeweb работает стабильно, без ошибок и редиректов
- ✅ Все файлы сверены с официальным дистрибутивом MODX
- ✅ Удалены бэкдоры, скрытые пользователи, спам-скрипты
- ✅ Настроены рекомендации по обновлению и безопасному доступу
- ✅ Гарантия 30 дней: если та же угроза безопасности вернётся — исправим бесплатно
📋 Чек-лист: 7 признаков, что сайт взломан
Отметьте пункты, которые совпадают с вашей ситуацией:
- Хостинг прислал уведомление о подозрительной активности
- Сайт периодически «тормозит» или показывает ошибку 500
- В логах — запросы к
/manager/или/assets/с неизвестных IP - В файлах найдены строки с
base64_decode,eval,preg_replace+/e - Посетители жалуются на редиректы на сторонние сайты
- Почта с домена попадает в спам или не отправляется
- После прошлого «лечения» проблемы вернулись
Если отметили 2+ пункта — пора действовать профессионально.
🧾 Мини-кейс: как мы вернули контроль за 18 часов
Ситуация: Клиент на хостинге Timeweb, CMS MODX. После взлома сайт начал рассылать спам, хостинг прислал предупреждение.
Что мы обнаружили:
- 🔍 Скрытый плагин в
/core/components/, отправляющий данные на внешний сервер - 🔍 Изменённый сниппет с внедрённым
eval()-кодом - 🔍 Устаревший компонент с уязвимостью CVE-2022-24734
Что сделали:
- 🗑️ Удалили бэкдоры и скрытые задачи
- 🔄 Обновили ядро MODX и проблемные компоненты
- 🛡️ Настроили мониторинг изменений в критических файлах
- 📤 Помогли составить ответ для хостинга
Результат: ✅ Сайт работает без сбоев
✅ Уведомления от хостинга прекратились
✅ Клиент получил отчёт и чек-лист профилактики
✅ Уведомления от хостинга прекратились
✅ Клиент получил отчёт и чек-лист профилактики
💬 Цитата эксперта
«В MODX вредоносный код часто прячут в кастомных сниппетах или плагинах. Автоматические сканеры могут пропустить такие вставки. Только ручной аудит с пониманием архитектуры даёт результат».
— Ведущий специалист по безопасности, 10 лет в очистке сайтов