Куки теперь как бэкдор - через cookie можно управлять сайтом и не палиться

Интересная штука всплыла, начали использовать куки как канал управления взломанным сайтом, и это уже не классическая история с файлами на сервере. Схема простая, на сервере лежит веб-шелл, но он никак себя не проявляет, пока не приходит нужный cookie, и со стороны это выглядит как обычный запрос, без явных признаков атаки.

За счет этого детект падает, потому что системы защиты привыкли смотреть на файлы, запросы, параметры, а тут команда прилетает в cookie и триггерит выполнение. Дальше стандартно, выполнение кода, загрузка файлов, доступ к системе, но входная точка не светится, и можно долго сидеть незаметно.

Еще момент, который напрягает. Такие штуки часто делают самовосстанавливающимися, если удалить файл, он через время создается заново, через задания или другие куски кода, и начинаешь чистить, а оно возвращается. И это не всегда сложные взломы. Часто хватает доступа к аккаунту хостинга или панели, дальше уже через обычные инструменты все разворачивается, без каких-то экзотических уязвимостей. Сайт может выглядеть чистым, в админке тишина, а по факту управление уже отдано наружу.

Кто сталкивался с таким, ловили подобные истории или пока только в новостях?

Новые темы	Объявления	Свободное общение
14:56 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов? 14:37 Как настроить robots.txt и sitemap, чтобы страницы нормально заходили в индекс 14:00 Ninja Forms дырявый - можно залить файл без авторизации и получить доступ к сайту 13:57 Куки теперь как бэкдор - через cookie можно управлять сайтом и не палиться 13:48 Ап выдачи Яндекса 8 апреля - есть движение, но интереснее что творится с AI-ответами Google 12:41 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу 12:30 Выбор CMS для первого блога в 2026 - реально ли новичку войти без кода?	10:35 От $0.015 за IP \| $0.68 за ГБ \| 9PROXY.COM \| 20+ млн резидентных прокси \| 99,95% аптайм \| Без чёрных списков 10:30 BestChange – обменивать электронную валюту можно быстро и выгодно 10:21 TUNNEL-to-PROXY: превращает тысячи публичных сетевых конфигураций - в стабильные SOCKS5-прокси! 09:03 Администратор сайта WordPress + контент-менеджер. Недорого. 08:40 Swapwatch.org — Мониторинг криптовалютных обменников 23:47 Volna.money 23:46 GoodsMoney.io	15:29 арбитражники 14:18 "Вымпелком" предложил белые списки для части абонентов - выборочный интернет вместо полного доступа 14:06 С юмором по жизни! 14:04 Список обновленных тем пуст... 14:00 А вы бегаете? 10:18 Добро пожаловать в цифровой мир... 06:20 Огородники

Новые темы

Объявления

Свободное общение

14:56 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов?
14:37 Как настроить robots.txt и sitemap, чтобы страницы нормально заходили в индекс
14:00 Ninja Forms дырявый - можно залить файл без авторизации и получить доступ к сайту
13:57 Куки теперь как бэкдор - через cookie можно управлять сайтом и не палиться
13:48 Ап выдачи Яндекса 8 апреля - есть движение, но интереснее что творится с AI-ответами Google
12:41 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу
12:30 Выбор CMS для первого блога в 2026 - реально ли новичку войти без кода?

10:35 От $0.015 за IP | $0.68 за ГБ | 9PROXY.COM | 20+ млн резидентных прокси | 99,95% аптайм | Без чёрных списков
10:30 BestChange – обменивать электронную валюту можно быстро и выгодно
10:21 TUNNEL-to-PROXY: превращает тысячи публичных сетевых конфигураций - в стабильные SOCKS5-прокси!
09:03 Администратор сайта WordPress + контент-менеджер. Недорого.
08:40 Swapwatch.org — Мониторинг криптовалютных обменников
23:47 Volna.money
23:46 GoodsMoney.io

15:29 арбитражники
14:18 "Вымпелком" предложил белые списки для части абонентов - выборочный интернет вместо полного доступа
14:06 С юмором по жизни!
14:04 Список обновленных тем пуст...
14:00 А вы бегаете?
10:18 Добро пожаловать в цифровой мир...
06:20 Огородники

Prapovednik Модератор Сообщений: 65788 Регистрация: Мар 2010	#1 8 Апреля 2026 13:57 Интересная штука всплыла, начали использовать куки как канал управления взломанным сайтом, и это уже не классическая история с файлами на сервере. Схема простая, на сервере лежит веб-шелл, но он никак себя не проявляет, пока не приходит нужный cookie, и со стороны это выглядит как обычный запрос, без явных признаков атаки. За счет этого детект падает, потому что системы защиты привыкли смотреть на файлы, запросы, параметры, а тут команда прилетает в cookie и триггерит выполнение. Дальше стандартно, выполнение кода, загрузка файлов, доступ к системе, но входная точка не светится, и можно долго сидеть незаметно. Еще момент, который напрягает. Такие штуки часто делают самовосстанавливающимися, если удалить файл, он через время создается заново, через задания или другие куски кода, и начинаешь чистить, а оно возвращается. И это не всегда сложные взломы. Часто хватает доступа к аккаунту хостинга или панели, дальше уже через обычные инструменты все разворачивается, без каких-то экзотических уязвимостей. Сайт может выглядеть чистым, в админке тишина, а по факту управление уже отдано наружу. Кто сталкивался с таким, ловили подобные истории или пока только в новостях? Продвигай сайты ЛЮБОЙ тематики! Вечные ссылки и статьи. * Тренды SEO 2026: Как продвигать сайт и сделать его магнитом для посетителей (и поисковиков в придачу)