Sicurezza: controlli rapidi quando sospetti un accesso compromesso

Perché questo controllo va fatto subito

Quando c’è il sospetto di un accesso compromesso, il problema non è solo “trovare il colpevole”: il primo obiettivo è fermare l’eventuale danno in corso e raccogliere evidenze sufficienti per capire che cosa è successo. Più si aspetta, più aumentano i rischi di esfiltrazione dati, invio di spam, alterazione dei file e persistenza dell’attaccante.

Questa guida è pensata per ambienti comuni: server Linux, hosting condiviso, pannelli come cPanel, Plesk e FastPanel, siti WordPress e caselle email. L’approccio è sempre lo stesso: stabilizzare, verificare, contenere, bonificare, validare.

Regola pratica: se non sei certo dell’origine dell’anomalia, tratta ogni segnale come reale finché non hai una prova contraria.

Segnali tipici di compromissione

Non esiste un solo sintomo affidabile. Di solito il sospetto nasce da uno o più di questi segnali:

• File modificati senza intervento noto o con date di modifica incoerenti.
• Nuovi utenti admin, account FTP, SSH o email non autorizzati.
• Picchi di CPU, RAM o processi sospetti, spesso con nomi simili a file di sistema.
• Invio di spam, email respinte o code di posta che crescono rapidamente.
• Redirect strani, popup, pagine alterate o inserimento di codice offuscato.
• Accessi da IP insoliti o tentativi ripetuti di login.
• Malware segnalato da antivirus, scanner del pannello o plugin di sicurezza.

Un singolo segnale può essere un falso positivo. Più segnali insieme, soprattutto se correlati nel tempo, meritano un’indagine immediata.

Diagnosi probabile

La causa più comune è una combinazione di fattori: credenziali deboli o riutilizzate, CMS o plugin non aggiornati, password esposte tramite phishing o malware locale, oppure accesso abusivo a un account FTP, email o pannello hosting. In alcuni casi il punto d’ingresso è un modulo web vulnerabile o un plugin compromesso; in altri è semplicemente una password rubata da un dispositivo infetto.

Se il sito è WordPress o simile, spesso l’attacco lascia tracce nei file PHP, in `wp-content/uploads`, in cron interni o in utenti amministratori aggiunti di nascosto. Se il problema riguarda la posta, è frequente trovare regole di inoltro, alias o filtri creati per intercettare email o inviare spam.

Verifiche immediate

1. Controlla se l’anomalia è in corso adesso: accessi insoliti, invio email, picchi CPU o modifiche file continue. Se sì, considera il sistema sotto osservazione attiva.
2. Verifica gli ultimi login nel pannello, via SSH, FTP e email. Esito atteso: nessun accesso da IP, orari o paesi non riconosciuti.
3. Controlla gli account amministrativi del CMS e del pannello. Esito atteso: solo utenti noti e autorizzati.
4. Esamina le ultime modifiche ai file principali del sito e della posta. Esito atteso: cambi coerenti con i tuoi interventi.
5. Se hai un WAF, un antivirus o uno scanner del pannello, lancia una scansione rapida per cercare web shell, codice offuscato e file appena creati.

Se usi un pannello hosting, i controlli iniziali si fanno spesso più velocemente da interfaccia grafica:

• cPanel: controlla Metrics, FTP Accounts, Email Accounts, JetBackup o strumenti di sicurezza disponibili.
• Plesk: verifica Log Browser, utenti, estensioni di sicurezza, backup e attività recenti.
• FastPanel: controlla log, siti, utenti, cron e file manager con attenzione ai file modificati di recente.

Soluzione consigliata passo-passo

1. Stabilizza senza distruggere evidenze. Se il danno è in corso, disabilita temporaneamente solo i punti di ingresso più evidenti: account FTP sospetti, utenti CMS non riconosciuti, inoltri email anomali, chiavi SSH che non usi. Evita di cancellare file a caso: prima fai una copia o un backup dell’area interessata.
2. Isola gli account a rischio. Cambia subito le password di pannello, FTP, SSH, database e email. Se possibile, revoca tutte le sessioni attive e rigenera le chiavi API o i token. Usa password nuove e uniche. Se hai MFA, attivalo subito dove disponibile.
3. Blocca i vettori più probabili. Aggiorna CMS, plugin, temi, librerie e componenti server. Rimuovi estensioni non usate o abbandonate. Se il sospetto riguarda WordPress, verifica anche utenti admin, cron interni e i file `functions.php`, `wp-config.php` e `uploads` per codice anomalo.
4. Controlla persistenze e backdoor. Cerca file PHP in directory che dovrebbero contenere solo immagini o asset statici, script con nomi simili a file legittimi, e codice offuscato con funzioni come `base64_decode`, `gzinflate`, `eval` o concatenazioni insolite. Non basta cancellare il file visibile: spesso l’attaccante lascia più punti di accesso.
5. Verifica email e regole di inoltro. Controlla filtri, forward, risposte automatiche, alias e accessi SMTP. Esito atteso: nessuna regola non voluta e nessun invio verso indirizzi sconosciuti.
6. Rivedi i log. Analizza almeno gli ultimi accessi al pannello, al web server e alla posta. Cerca IP ripetuti, user-agent sospetti, richieste a file anomali e picchi di errore. Se non hai competenze sui log, punta almeno a individuare quando è iniziata l’anomalia e quale account era attivo in quel momento.
7. Ripristina da backup solo se pulito. Se il sito è troppo compromesso, il ripristino da un backup precedente può essere la via più sicura. Prima di farlo, verifica che il backup sia antecedente all’incidente e che non contenga già il problema. Se possibile, restauralo in un ambiente di test o in una copia temporanea prima della messa online.

Se devi intervenire via terminale su un server Linux, usa comandi solo per verifiche o backup, non per “pulizie” impulsive. Esempio di controllo base per vedere file modificati di recente in una directory del sito:

find /var/www/vhosts/DOMINIO/ -type f -mtime -7 | head

Esito atteso: una lista breve e comprensibile dei file toccati negli ultimi 7 giorni. Se compaiono file inattesi in directory di upload o cache, approfondisci prima di eliminarli.

Controlli su WordPress e CMS

In un CMS, il compromesso passa spesso dai plugin. I controlli più utili sono pochi ma mirati:

• Elenco utenti amministrativi: esiste un admin che non riconosci?
• Plugin e temi: c’è qualcosa installato e non aggiornato da tempo?
• File core: sono stati alterati rispetto alla versione ufficiale?
• Directory upload: contiene file eseguibili o script che non dovrebbero esserci?
• Cron interni: ci sono job sconosciuti o che richiamano URL esterni?

Se usi WordPress, controlla anche `wp-config.php` per definizioni insolite, chiavi aggiunte di recente o riferimenti a file esterni. Un intervento utile e reversibile è disattivare temporaneamente i plugin uno per uno, partendo da quelli meno critici o più recenti, per capire se il comportamento anomalo si interrompe.

Controlli su server Linux e hosting

Se il problema riguarda un VPS o un server, i segnali da non ignorare sono processi insoliti, servizi avviati con parametri strani, utenti nuovi e chiavi SSH non autorizzate. Verifica anche:

• `/etc/passwd` e `sudoers` per utenti o privilegi inattesi.
• `~/.ssh/authorized_keys` degli account amministrativi.
• Crontab di root e degli utenti applicativi.
• Log di autenticazione per login ripetuti o riusciti da IP sospetti.

Se il sistema è in produzione, evita il riavvio non necessario: rischi di perdere tracce utili. Prima fotografa la situazione con backup dei log e degli elementi sospetti.

Controlli su posta ed email

La compromissione di una casella email è spesso il primo passo per un attacco più ampio. Una casella violata può servire per inviare spam, resettare password di altri servizi o intercettare comunicazioni sensibili. Controlla subito:

• Accessi recenti alla webmail o via IMAP/SMTP.
• Regole di inoltro e filtri automatici.
• Indirizzi di recupero e numeri associati.
• Nuove firme, risposte automatiche o alias non autorizzati.

Se noti invii massivi o rimbalzi, sospendi temporaneamente l’account e cambia le credenziali da un dispositivo affidabile. Se il provider lo consente, forza la disconnessione di tutte le sessioni attive.

Errore comune: pulire prima di capire

La tentazione è cancellare subito i file sospetti. È comprensibile, ma spesso sbagliato. Se elimini tutto senza una verifica minima, perdi la possibilità di capire l’ingresso iniziale e rischi di lasciare una backdoor altrove. La sequenza corretta è: contenere, copiare, verificare, bonificare, ripristinare.

Se il materiale è molto compromesso e il tempo è poco, la strada più sicura è spesso ripristinare un backup sano e poi ruotare tutte le credenziali collegate. Questo non sostituisce l’analisi, ma riduce il rischio operativo.

Controlli finali / rollback

1. Verifica che non ci siano nuovi accessi anomali dopo il cambio password e la revoca sessioni. Esito atteso: solo login noti e coerenti.
2. Controlla che il sito, la posta e gli eventuali servizi collegati funzionino senza redirect strani, invii anomali o errori improvvisi.
3. Riesegui una scansione di sicurezza o un controllo manuale sui file sospetti. Esito atteso: nessuna ulteriore traccia evidente di persistenza.
4. Se qualcosa peggiora dopo la bonifica, esegui rollback al backup precedente alla modifica più invasiva e ripeti la verifica in ambiente isolato o di staging.

Assunzione operativa: i controlli proposti presuppongono accesso almeno al pannello hosting o a un account amministrativo legittimo per verifiche e ripristini.

Checklist rapida finale

• Ho bloccato gli accessi sospetti senza cancellare prove utili.
• Ho cambiato password e revocato sessioni da dispositivi affidabili.
• Ho verificato utenti, plugin, file recenti e regole email.
• Ho controllato log e backup prima di fare pulizie aggressive.
• Ho un piano di rollback se la bonifica non è completa.

Prevenzione minima dopo l’incidente

Dopo la bonifica, non fermarti al “sito tornato online”. La prevenzione minima da applicare subito è semplice: aggiornamenti regolari, password uniche, MFA dove possibile, backup automatici verificati, account ridotti al minimo indispensabile e monitoraggio dei log. Se gestisci più siti o più caselle, separa i ruoli: un compromesso su un account non deve aprire tutto il resto.

Per i siti web, aggiungi anche un controllo periodico dei file modificati, della lista utenti admin e delle regole email. Per i server, monitora accessi SSH, uso disco, processi e cambiamenti nei cron. Per i pannelli hosting, tieni sotto controllo gli account FTP e gli accessi al pannello stesso.

La sicurezza efficace non è un blocco unico: è una serie di verifiche piccole ma costanti, che rendono più difficile sia l’ingresso sia la persistenza di un attaccante.