Prestashop malware detectado XSAMXADOO BOT

Prestashop indica un fallo de seguridad que implica que tu tienda puede ser manipulada e incluso poder tomar el control sobre ella, el malware en cuestión es XSAMXADOO BOT, mediante phpunit

08 Ene 2020

Ayer 7 de Enero recibí un correo de Prestashop indicando un fallo de seguridad que implicaba que tu tienda podía ser manipulada e incluso poder tomar el control total de tu tienda, aunque por los foros oficiales de Prestashop ya estaba anunciado desde hace varios días, el malware en cuestión es XSAMXADOO BOT, mediante phpunit

Qué hace el malware en Prestashop

Una vez han accedido a su tienda, suelen colocar unos archivos nuevos, o modificar los existentes, con los cuales, les permiten tener el control de la tienda. Estos archivos que mencionamos a continuación son lo que Prestashop indica que deberíamos buscar:

  • XsamXadoo_Bot.php
  • XsamXadoo_deface.php
  • 0x666.php
  • f.php

Si han modificado archivos, lo más sencillo es buscar los archivos por última modificación, de esta forma podremos tener de un vistazo rápido por directorios que archivos del core de Prestashop han podido ser manipulados.

¿Qué es PHPUnit?

Phpunit es un entorno para realizar pruebas unitarias de programación php, es decir, no viene por defecto en Prestashop, es un framework que el desarrollador debe meter en la aplicación, en nuestro caso desde 4webs, no usamos este framework, pero puedes tener desarrollos de terceros que si que lo usen, por lo que es recomendable buscar en toda la tienda y solucionarlo.

Como solucionar el problema de phpunit

Si algún desarrollador ha usado phpunit en su tienda habrá dejado carpetas con el nombre phpunit, si esas carpetas se encuentran en la carpeta vendor es probable que que puedan tener control sobre su tienda, lo mejor es buscarlas y borrarlas. Lo debe encontrar en la siguiente ruta:

  • /vendor/

También debe revisar todos y cada uno de los módulos de su tienda, ya que también pueden contener estas carpetas llamadas “phpunit”, la solución es sencilla ya que basta con borrarlas, el borrado en teoría no debería afectar al funcionamiento del módulo.

  • /modules/nombre_modulo/vendor/

Si dispone de acceso root al servidor, su administrador de sistemas también puede ejecutar las búsquedas mediante terminal, si es un usuario del servidor no podrá ejecutarlo, esta instrucción borrará las carpetas del directorio seleccionado, aunque nosotros no somos partidarios de borrar sin conocimiento, aunque no pase nada en teoría, siempre puede pasar algo…

  • find . -type d -name «phpunit» -exec rm -rf {} \;

En el caso que hayamos tenido que borrar archivos o carpetas sería recomendable cambiar contraseñas de todo.

Coloquio sobre cyberseguridad
Coloquio sobre cyberseguridad

Módulos confirmados con phpunit

Los siguientes módulos han sido confirmados por Prestashop como que incluyen phpunit y es recomendable revisarlos, ya hay versiones nuevas:

  • 1-Click Upgrade (autoupgrade): versions 4.0 beta and later
  • Cart Abandonment Pro (pscartabandonmentpro): versions 2.0.1~2.0.2
  • Faceted Search (ps_facetedsearch): versions 2.2.1~3.0.0
  • Merchant Expertise (gamification): versions 2.1.0 and later
  • PrestaShop Checkout (ps_checkout): versions 1.0.8~1.0.9

Espero que con esta explicación tengáis más información sobre la vulnerabilidad aparecida de forma oficial el 7 de Enero de 2020 XSAMXADOO BOT bajo phpunit, y reviséis vuestras tiendas por seguridad.

Deja una respuesta