più posti chiaramente e più ci capiamo qualcosa naturalmente e che mi suona strano sta cosa.. in teoria dovrebbe essere niente privilegi niente accessi... per questo ti dicevo se sospetti degli script in particolare rimuovili temporaneamente in modo da isolare la fonte poi la passi qui e vediamo tutti i possibili rimedi...io credo che cmq ti convenga per sicurezza cambiare le pwd...magari sollecitando la cosa in visione dell'attacco...