Vulnerabilidad en Prestashop ante el malware XsamXadoo Bot. Soluci贸n.

Si tienes una tienda de Prestashop, puede que hayas recibido un aviso que tu tienda puede ser vulnerable ante ataques del malware XsamXadoo Bot. Mediante este malware, los atacantes pueden tomar el control de tu p谩gina web y acceder a tus datos.

No es un ataque exclusivo a Prestashop, muchos gestores y m贸dulos de diferentes entornos, creados en php con la herramienta PHPUnit, pueden ser vulnerables. Pero se ha detectado en Prestashop estos d铆as.

En qu茅 consiste la vulnerabilidad.

Este ataque hace uso de un fallo de seguridad conocido desde el 2017: el CVE-2017-9841. Este fallo est谩 presente en la herramienta PHPUnit, un framework que usan los desarrolladores de php para probar y crear sus m贸dulos y aplicaciones. La vulnerabilidad se ha corregido en las versiones de PHPUnit 7.5.19 y 8.5.1 , pero las anteriores la tienen. Y muchos creadores de Prestashop usan esta herramienta.

Lo curioso es que los desarrolladores dejan ciertas carpetas y ficheros de este framework cuando pasan los m贸dulos a producci贸n. Carpetas y ficheros que ya no son necesarios porque son s贸lo para desarrollo, pero que dejan ah铆. Y estos son los que contienen el fallo de seguridad.

C贸mo solucionarlo.

Lo que tienes que hacer es borrar todos los directorios phpunit tanto de Prestashop como de los m贸dulos (recuerda, la carpeta es s贸lo para desarrollo).

  • Si gestionas un servidor Linux puedes hacer esto con este comando:

    find . -type d -name "phpunit" -exec rm -rf {} \;

    En caso de no tener acceso a terminal, puedes buscar los directorios por FTP. Para ello.
  • En la carpeta de Prestashop busca la carpeta Vendor. Dentro de esa carpeta mira si tiene otra que se llame phpunit. Si es as铆, borra esa carpeta.
  • Ahora entra en cada carpeta de m贸dulo. Busca la carpeta Vendor dentro de cada m贸dulo. Si esta carpeta incluye el directorio phpunit borralo.

C贸mo saber si te han infectado.

Es dif铆cil porque pueden dejar diferentes rastros. Pero
1) mira en tu servidor a ver si tienes los siguientes ficheros:

File namemd5
XsamXadoo_Bot.php0890e346482060a1c7d2ee33c2ee0415 or b2abcadb37fdf9fb666f10c18a9d30ee
XsamXadoo_deface.php05fb708c3820d41c95e34f0a243b395e
0x666.phpedec4c4185ac2bdb239cdf6e970652e3
f.php45245b40556d339d498aa0570a919845

2) Entrar en Par谩metros Avanzados->Informaci贸n para ver si al final te indica si se ha modificado alg煤n fichero del core de Prestashop. Esto tambi茅n puede dar una pista de si te han infectado.

Para m谩s informaci贸n lee el anuncio de Prestashop y el art铆culo m谩s detallado al respecto.

Deja un comentario

Resumen de nuestra Pol铆tica de Privacidad

  • Responsable:聽SmythSys IT Consulting SLNE.
  • Finalidad:聽Gestionar y moderar los comentarios.
  • Legitimaci贸n:聽Necesitas dar tu consentimiento para publicar un comentario.
  • Destinatarios:聽Tus datos se alojan en los servidores de OVH.
  • Derechos:聽Tienes derecho a acceder, rectificar, limitar y suprimir los datos en la direcci贸n del responsable (en nuestra pol铆tica de privacidad).

Time limit is exhausted. Please reload CAPTCHA.