Una guida pratica, passo passo, per indagare su un server Linux compromesso. Comandi reali, output di esempio e cosa cercare in ogni fase.
Inizia gratisSe il tuo server si comporta in modo strano, potrebbe essere gia compromesso. Ecco i segnali piu comuni che indicano un'intrusione. Li abbiamo visti su decine di server in produzione — VPS su Aruba, dedicati su Netsons, droplet su DigitalOcean. Non importa il provider: i segnali sono gli stessi.
Il segnale piu evidente di un cryptominer. Se top mostra un processo sconosciuto che usa tutta la CPU (spesso con nomi come kdevtmpfsi, xmrig, o nomi casuali), il tuo server sta minando criptovaluta per qualcun altro.
Gli attaccanti scaricano ed eseguono malware in /tmp, /var/tmp o /dev/shm perche queste directory sono scrivibili da tutti. Se trovi eseguibili o script in queste cartelle, e un brutto segno.
Se ls, ps, netstat o ss sono stati sostituiti con versioni trojanizzate, non vedrai i processi malevoli. Questo e il segnale di un rootkit. Verifica con dpkg -V o rpm -Va.
Controlla ~/.ssh/authorized_keys per tutti gli utenti. Se trovi chiavi che non riconosci, un attaccante ha probabilmente installato una backdoor SSH per accedere senza password.
Se i file .env delle tue applicazioni Laravel, Django o Node.js sono leggibili da world (chmod 644 o peggio), contengono credenziali database, chiavi API e secret che un attaccante puo rubare tramite una semplice web shell.
I malware installano cron job per scaricare ed eseguire payload ogni pochi minuti. Se il malware viene cancellato, il cron lo reinstalla. Controlla crontab -l per root e per tutti gli utenti.
La prima cosa da fare e controllare cosa sta girando sul server. I cryptominer e le backdoor spesso si nascondono con nomi di processo innocui come [kworker/0:1] o httpd.
Cerca processi con nomi che non riconosci, file eseguibili in /tmp o /dev/shm, e cron job che scaricano script da URL esterni. Questi sono i nascondigli preferiti dei malware.
I rootkit modificano i binari di sistema per nascondere la loro presenza. Se ps o ls sono stati compromessi, non vedrai i processi malevoli con i comandi standard.
$ apt install rkhunter -y # Debian/Ubuntu
$ rkhunter --update && rkhunter --check --sk
Se /etc/ld.so.preload contiene qualcosa, il server e quasi certamente compromesso con un rootkit userland. Defensia controlla automaticamente questo file e altri indicatori di rootkit durante ogni scansione.
ClamAV e lo scanner antivirus piu diffuso su Linux, ma e progettato principalmente per malware desktop. Contro web shell PHP, backdoor specifiche per server e cryptominer, la detection rate e bassa. Defensia usa 64.000+ firme hash e 684 pattern dinamici specifici per malware web.
| Caratteristica | ClamAV | Defensia |
|---|---|---|
| Firme hash malware | ~8,6M (desktop) | 64.000+ (web server) |
| Pattern dinamici | Limitati | 684 specifici per web |
| Web shell PHP | Rilevamento parziale | Completo |
| Cryptominer | Parziale | Completo |
| Scansione WordPress | No | DB + file + admin rogue |
| Quarantena automatica | Manuale | Automatica |
| Monitoraggio realtime | No (solo on-demand) | Polling ogni 30s |
| Dashboard | No | Web con dettagli per finding |
Se un attaccante ha modificato binari di sistema (come ls, ps, netstat), i comandi standard non sono piu affidabili. Devi verificare l'integrita dei pacchetti installati.
Qualsiasi output indica file modificati rispetto al pacchetto originale. Presta attenzione ai binari in /usr/bin e /usr/sbin. Defensia esegue questa verifica automaticamente durante ogni scansione di sicurezza.
Una volta identificato il malware, devi rimuoverlo e chiudere la porta d'ingresso. Ecco i passaggi critici:
Elimina i file malevoli identificati. Se non sei sicuro, spostali in quarantena invece di cancellarli — potresti averne bisogno per l'analisi forense.
Password root, utenti SSH, database MySQL/PostgreSQL, pannelli di controllo, credenziali nei file .env. Cambia tutto. Un attaccante che ha avuto accesso potrebbe averle lette tutte.
Rimuovi tutte le chiavi da authorized_keys che non riconosci. Genera nuove coppie di chiavi e sostituisci quelle compromesse.
Installa tutti gli aggiornamenti di sicurezza disponibili. La vulnerabilita sfruttata dall'attaccante potrebbe essere gia stata corretta.
Rimuovi qualsiasi cron job sospetto. Controlla /etc/crontab, /etc/cron.d/, e i crontab di tutti gli utenti.
Previeni il prossimo attacco. Defensia rileva e blocca automaticamente brute force SSH, exploit web e nuovi tentativi di installazione malware.
Tutti i passaggi manuali descritti sopra richiedono 2-4 ore di lavoro per ogni server. E devi ripeterli periodicamente. Defensia automatizza tutto:
64.000+ firme hash e 684 pattern dinamici. Il malware trovato viene spostato in quarantena (/var/lib/defensia/quarantine/) dove non puo piu essere eseguito. Visibile dalla dashboard.
Punteggio da 0 a 100 con voto da A a F. Tiene conto di malware, vulnerabilita CVE, configurazione SSH, permessi file e indicatori di rootkit. Sai subito se il server e pulito.
Non basta fare una scansione una tantum. Defensia monitora le directory di upload ogni 30 secondi e rileva nuovi file malevoli in tempo reale. Gli attaccanti non riescono a reinstallare il malware.
I segnali principali: CPU costantemente al 100% (verifica con top o htop), processi con nomi sconosciuti come kdevtmpfsi o xmrig, traffico di rete verso mining pool, e bollette piu alte del solito se paghi per l'uso di CPU. Defensia rileva automaticamente i binari dei cryptominer piu diffusi.
No. ClamAV e progettato principalmente per malware desktop (Windows PE, macro Office). Il malware specifico per web server — web shell PHP, backdoor obfuscate, script di cryptomining — spesso non viene rilevato. Defensia usa 64.000+ firme hash e 684 pattern dinamici specifici per malware da web server.
Defensia sposta il malware in quarantena (/var/lib/defensia/quarantine/) dove non puo essere eseguito. Le informazioni su ogni file trovato sono visibili dalla dashboard con hash, path originale e tipo di rilevamento. Puoi anche segnalare falsi positivi con il pulsante "Non e malware".
Si, per 1 server. Il piano gratuito include protezione SSH brute force, dashboard in tempo reale e feed eventi. Il piano Pro a 9 euro/mese per server (7 euro annuale) include lo scanner malware, WAF, scansione CVE, geoblocking, gestione bot e avvisi.
Si. Defensia e ClamAV possono funzionare in parallelo perche usano metodi di rilevamento e database di firme completamente diversi. ClamAV e forte sul malware desktop; Defensia e specializzato sul malware da web server.
Installa Defensia adesso. Scanner malware, protezione SSH, WAF e monitoraggio continuo. Gratuito per un server.
Nessuna carta di credito richiesta.