Rimozione malware Magento 2 e Adobe Commerce: skimmer al checkout, CosmicSting e SessionReaper

Rimozione Malware Magento 2 e Adobe Commerce — Bonifica e Messa in Sicurezza

Il tuo Magento 2 è stato compromesso, o temi di esserlo. Codice sospetto al checkout, file PHP estranei, account admin che non hai creato, o il sospetto che i dati delle carte dei tuoi clienti vengano rubati. Bonifico e metto in sicurezza il tuo store gestendo direttamente i server — analisi forense, rimozione completa, rotazione delle chiavi e hardening.

Richiedi intervento urgente Scrivimi una email

● Risposta entro 1 ora in orario lavorativo · Analisi iniziale gratuita

Riconosci un Magento 2 compromesso

Magento 2 e Adobe Commerce sono tra i bersagli preferiti degli attacchi a e-commerce. Se riconosci uno di questi segnali, agisci subito: ogni ora aumenta il volume di dati rubati, l'esposizione al GDPR e il rischio di blocco da parte dell'hosting o del circuito di pagamento.

Skimmer al checkout (eSkimmer / Magecart): JavaScript estraneo che intercetta i dati delle carte direttamente nel browser del cliente. Eseguendosi lato client, sfugge a molti controlli lato server.
Furto della chiave di cifratura: negli attacchi CosmicSting gli aggressori leggono app/etc/env.php per rubare la encryption_key, con cui generano un JWT che dà accesso illimitato alle API di Magento.
Account admin abusivi e backdoor: utenti con privilegi massimi e webshell PHP installate per rientrare anche dopo una pulizia superficiale.
Richieste API sospette nei log: chiamate anomale a endpoint come /rest/V1/guest-carts/... che restituiscono codici insoliti — un segnale classico di tentato furto della chiave.
Avvisi di Google: "Sito ingannevole" in Search Console, calo di traffico, pagina rossa di sicurezza.
File PHP estranei in root, pub/, app/ o tra i moduli.

Le vulnerabilità che stanno colpendo Magento 2

A differenza di Magento 1, Magento 2 è supportato e patchato — ma il problema non è la disponibilità delle patch, è la lentezza con cui vengono applicate. Gli scanner automatici degli attaccanti partono entro poche ore da ogni patch pubblicata.

CVE-2024-34102 · CosmicSting

Vulnerabilità XXE che, concatenata con una falla di PHP, ha permesso l'esecuzione di codice remoto su migliaia di store. Aspetto cruciale spesso ignorato: chi non ha aggiornato in tempo ha probabilmente già subìto il furto della chiave di cifratura, e finché quella chiave non viene disattivata manualmente lo store resta vulnerabile a nuove iniezioni anche dopo la patch.

CVE-2025-54236 · SessionReaper

Emersa a settembre 2025, sfrutta una falla di deserializzazione nelle API REST per l'esecuzione di codice remoto. A poche settimane dal rilascio della patch, la maggior parte degli store risultava ancora esposta. Per questo applicare l'aggiornamento non basta: serve verificare la compromissione, ruotare le chiavi e ripulire ciò che è già stato iniettato.

Come intervengo

Isolamento e backup forense

Sito in manutenzione protetta e istantanea completa pre-pulizia di file e database, per analisi e prove.

Analisi e identificazione

Scansione con signature aggiornate, ispezione dei log per tracce di CosmicSting/SessionReaper, controllo di env.php, del checkout e del database. Individuo origine, tipo di malware e ogni file compromesso.

Bonifica completa

Rimozione di skimmer, webshell, backdoor, account admin abusivi e codice malevolo da file system e database. Ripristino dei file core da fonti ufficiali.

Rotazione delle chiavi e patch

Applicazione delle patch mancanti, rigenerazione e disattivazione della vecchia encryption_key — passaggio che molti saltano e che lascia lo store vulnerabile — reset delle credenziali admin.

Hardening

Correzione dei permessi, configurazione WAF, protezione dell'area admin, attivazione della 2FA, chiusura degli endpoint sfruttati.

Ripresa SEO

Richiesta di revisione in Google Search Console, rimozione di pagine doorway, ripristino di title e description alterati.

Report e prevenzione

Documento di cosa è successo e cosa ho fatto, più un piano di patching e monitoraggio per evitare che riaccada.

Domande frequenti

In quanto tempo intervieni?

Prendo in carico la segnalazione entro un'ora in orario lavorativo. Un'infezione contenuta si risolve in poche ore; una compromissione profonda con payload nel database e più backdoor richiede più tempo e test di verifica.

Ho già applicato la patch. Sono al sicuro?

Non necessariamente. Se la chiave di cifratura è stata rubata prima dell'aggiornamento, lo store resta vulnerabile finché la vecchia chiave non viene disattivata. La patch va sempre accompagnata da verifica della compromissione e rotazione delle chiavi.

Quanto costa la bonifica di un Magento 2?

Il costo dipende dall'estensione dell'infezione e dalla complessità dell'infrastruttura. Ti do un preventivo chiaro e senza impegno dopo una prima analisi gratuita.

Il malware può tornare dopo la pulizia?

Solo se la pulizia è superficiale o se restano chiavi compromesse e backdoor. Rimuovo tutto, ruoto le chiavi, chiudo la vulnerabilità sfruttata e applico hardening.

Lavori su Adobe Commerce oltre che Magento Open Source?

Sì, entrambi: condividono la stessa base di codice e le stesse vulnerabilità.

Lavori da remoto?

Sì, intervengo da remoto su server in tutta Italia ed Europa.

Ogni ora che lo store resta compromesso è traffico, fiducia e dati che perdi.

Scrivimi adesso: analizzo la situazione e ti dico subito come intervenire.

Richiedi intervento urgente [email protected]