PrestaShop, aviso de nuevo malware Xsam Xadoo Bot
Hemos recibido un aviso de PrestaShop en el que se indica que existe un nuevo malware llamado XsamXadoo Bot que puede ser utilizado para tener acceso a la tienda online y tomar control de la misma.
Esta vulnerabilidad esta relacionada con la herramienta PHP llamada PHPUNIT (CVE-2017-9841).
¿Es mi tienda online vulnerable?
Según indica PrestaShop, para saber si la tienda es vulnerable al ataque de malware se debe buscar desde el FTP o un administrador de archivos, una carpeta llamada «phpunit». Esta carpeta puede encontrarse en:
- En el raíz del sitio web.
- Dentro de una carpeta «vendor» en el raíz del sitio web.
- Dentro de las carpetas de módulos (modules). En este caso hay que ir módulo por módulo buscando la carpeta phpunit. Esta carpeta puede estar incluida dentro de una carpeta llamada «vendor».
Si le localiza la carpeta «phpunit», simplemente se debe borrar dicha carpeta y su contenido. Esto no afectará al comportamiento de los módulos.
¿Que pasa si mi tienda ya está infectada?
Esta vulnerabilidad permite a un atacante acceder a su sitio web y por ejemplo robar los datos de sus clientes. Si encuentras archivos recientes en tu tienda con estos nombres: XsamXadoo_Bot.php, XsamXadoo_deface.php, 0x666.php, f.php, o similares, indica que tu sitio web está comprometido.
Lo más sencillo sería recuperar un backup previo a la fecha de infección y realizar la búsqueda de la carpeta «phpunit» como se ha indicado anteriormente. En caso contrario sería necesario:
- Realizar una limpieza manual de todos los archivos recientes sospechosos como los indicados anteriormente.
- Cambiar la contraseña del backoffice y pedir a todos los usuarios y clientes que cambien sus contraseñas.
- Pedir al proveedor de hosting o a un experto que realice un escaneo exhaustivo del contenido del sitio web.
En todos los casos
Antes de hacer nada, realiza un backup de tu tienda online y comprueba si existen copias anteriores. Así mismo, PrestaShop recomienda actualizar los módulos más críticos. En concreto comprobar que tenemos la versión igual o superior de estos módulos si están instalados:
- 1-Click upgrade: v4.10.1
- Cart Abandonment Pro: v2.0.10
- Faceted Search: v3.4.1
- Merchant Expertise: v2.3.2
- PrestaShop Checkout: v1.2.9
Puedes ver más información sobre el caso en el post original: https://build.prestashop.com/news/critical-security-vulnerability-in-prestashop-modules/
