Sito PHP hackerato su Hetzner o OVH: il protocollo che applico nelle prime ore fra contenimento, forensics e ripartenza pulita
Quando un sito PHP viene compromesso su un server Hetzner o OVH, il riflesso istintivo del cliente è "rimuovere i file infetti e ripartire". È sbagliato e fa danni. Il protocollo corretto è cinque fasi strutturate: contenimento immediato senza distruggere evidenze, raccolta forensics, eradicazione completa, ripristino da fonte fidata, hardening permanente. E sotto NIS2 va aggiunta una sesta fase giuridica: la notifica al Garante entro 72 ore. Continua a leggere
Ultima modifica:
Quando lo sviluppatore sparisce e il business dipende da un'applicazione PHP su Hetzner, OVH o Aruba, le prime 72 ore decidono se il subentro va liscio o diventa un disastro. Il protocollo che applico: inventario accessi strutturato, recupero credenziali con i provider, codebase forensics su Git, stop-the-bleeding chirurgico e mappa del debito tecnico ereditato. Cinque fasi sequenziali con comandi concreti per riprendere il controllo di un progetto orfano. 
La differenza fra senior e junior non è il numero di anni: è un set di abitudini operative misurabili. Definition of done estesa, lettura prima di scrittura nel rapporto 10:1, refactoring incrementale del 10% per PR, KISS sopra cleverness, ADR scritti come codice di prima classe, regole non negoziabili su Git e migrazioni. Sei abitudini che difendo in ogni code review PMI e che abbattono il debito tecnico in modo misurabile nei tre-quattro mesi successivi. 
Le macchine degli sviluppatori sono il punto di ingresso preferito per cercare persistenza in una PMI. Git offre tre vettori ignorati: hooks locali in `.git/hooks/`, alias con prefisso `!` in `~/.gitconfig`, e CVE-2024-32002 che ha trasformato `git clone --recurse-submodules` in code execution. Cosa cercare in audit, e perché un endpoint developer compromesso vale più di un server. 
CVE-2025-32433 ha colpito il server SSH di Erlang/OTP con un pre-auth RCE da CVSS 10.0. Non è memory corruption: è una logic flaw nello state machine, che accetta CHANNEL_OPEN prima dell'autenticazione. Anatomia del bug, mappa dei componenti Erlang nascosti in produzione PMI (RabbitMQ, CouchDB, ejabberd) e cinque mitigation che applico dal maggio 2025. 
I cinque principi di sicurezza che qualunque manuale elenca al capitolo uno - defense in depth, least privilege, separation of duties, secure by design, KISS - sono facili da conoscere e difficili da applicare in una PMI italiana da 5 a 40 persone. Racconto come li spiego ai clienti, gli errori più comuni che vedo in audit, e il principio anti-sicurezza che uccide chi ci crede. 
Dalla backdoor di xz-utils scoperta da Andres Freund per un ritardo di 500ms sul login SSH al compromise di tj-actions/changed-files del marzo 2025, il 2024-2025 ha ridefinito cosa significhi "sicurezza della supply chain" per le PMI. Racconto il mio audit post-xz sui clienti PHP e Node, cinque contromisure operative e perché SBOM e SLSA nel 2026 sono il nuovo baseline. 
regreSSHion (CVE-2024-6387) ha riaperto un buco nella sshd di OpenSSH 18 anni dopo che era stato chiuso. Anatomia del race condition nel signal handler SIGALRM, perché il refactor del 2020 ha rimosso la fix originale, quanto era realisticamente sfruttabile su 64-bit, e l'hardening SSH che applico oggi alle PMI dopo aver patchato circa 200 server in produzione la notte del 1 luglio 2024. 
Un anno dopo la quasi-shutdown del programma CVE/MITRE del 16 aprile 2025, il finanziamento è stato rinnovato ma la fragilità strutturale resta. Cosa è successo davvero, perché EUVD lanciato a maggio 2025 non è un sostituto pronto, e come una PMI italiana sotto NIS2 dovrebbe costruire una strategia di vulnerability management che non dipenda da un singolo punto di rottura. 
Bug bounty: alcune classi di vulnerabilità - DoS da password lunghe, bypass anti-bruteforce, rate limit aggirabili - non si risolvono con un fix tecnico ma con un threat model. Anatomia di un caso ricorrente da Django 2013 a Nextcloud 2022, le tre classi di mitigazioni che restano "non risolvibili", e come triagiare i report di bug bounty senza inseguire un gioco infinito.