{"id":5919,"date":"2020-01-08T12:19:07","date_gmt":"2020-01-08T12:19:07","guid":{"rendered":"https:\/\/www.k3bone.com\/blog\/?p=5919"},"modified":"2021-11-29T17:48:41","modified_gmt":"2021-11-29T17:48:41","slug":"prestashop-aviso-de-nuevo-malware-xsam-xadoo-bot","status":"publish","type":"post","link":"https:\/\/www.k3bone.com\/blog\/2020\/01\/prestashop-aviso-de-nuevo-malware-xsam-xadoo-bot\/","title":{"rendered":"PrestaShop, aviso de nuevo malware Xsam Xadoo Bot"},"content":{"rendered":"<p>Hemos recibido un aviso de PrestaShop en el que se indica que existe un nuevo malware llamado XsamXadoo Bot que puede ser utilizado para tener acceso a la tienda online y tomar control de la misma.<\/p>\n<p>Esta vulnerabilidad esta relacionada con la herramienta PHP llamada PHPUNIT (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9841\" target=\"_blank\" rel=\"noopener\">CVE-2017-9841<\/a>).<\/p>\n<h3>\u00bfEs mi tienda online vulnerable?<\/h3>\n<p>Seg\u00fan indica PrestaShop, para saber si la tienda es vulnerable al ataque de malware se debe buscar desde el FTP o un administrador de archivos,\u00a0 una carpeta llamada \u00abphpunit\u00bb. Esta carpeta puede encontrarse en:<\/p>\n<ul>\n<li>En el ra\u00edz del sitio web.<\/li>\n<li>Dentro de una carpeta \u00abvendor\u00bb en el ra\u00edz del sitio web.<\/li>\n<li>Dentro de las carpetas de m\u00f3dulos (modules). En este caso hay que ir m\u00f3dulo por m\u00f3dulo buscando la carpeta phpunit. Esta carpeta puede estar incluida dentro de una carpeta llamada \u00abvendor\u00bb.<\/li>\n<\/ul>\n<p>Si le localiza la carpeta \u00abphpunit\u00bb, simplemente se debe borrar dicha carpeta y su contenido. Esto no afectar\u00e1 al comportamiento de los m\u00f3dulos.<\/p>\n<h3>\u00bfQue pasa si mi tienda ya est\u00e1 infectada?<\/h3>\n<p>Esta vulnerabilidad permite a un atacante<b> acceder a su sitio web<\/b> y por ejemplo robar los datos de sus clientes. Si encuentras archivos recientes en tu tienda con estos nombres: XsamXadoo_Bot.php, XsamXadoo_deface.php, 0x666.php, f.php, o similares, indica que tu sitio web est\u00e1 comprometido.<\/p>\n<p>Lo m\u00e1s sencillo ser\u00eda recuperar un backup previo a la fecha de infecci\u00f3n y realizar la b\u00fasqueda de la carpeta \u00abphpunit\u00bb como se ha indicado anteriormente. En caso contrario ser\u00eda necesario:<\/p>\n<ul>\n<li>Realizar una limpieza manual de todos los archivos recientes sospechosos como los indicados anteriormente.<\/li>\n<li>Cambiar la contrase\u00f1a del backoffice y pedir a todos los usuarios y clientes que cambien sus contrase\u00f1as.<\/li>\n<li>Pedir al proveedor de hosting o a un experto que realice un escaneo exhaustivo del contenido del sitio web.<\/li>\n<\/ul>\n<h3>En todos los casos<\/h3>\n<p>Antes de hacer nada, realiza un backup de tu tienda online y comprueba si existen copias anteriores. As\u00ed mismo, <strong>PrestaShop<\/strong> recomienda actualizar los m\u00f3dulos m\u00e1s cr\u00edticos. En concreto comprobar que tenemos la versi\u00f3n igual o superior de estos m\u00f3dulos si est\u00e1n instalados:<\/p>\n<ul>\n<li>1-Click upgrade: v4.10.1<\/li>\n<li>Cart Abandonment Pro: v2.0.10<\/li>\n<li>Faceted Search: v3.4.1<\/li>\n<li>Merchant Expertise: v2.3.2<\/li>\n<li>PrestaShop Checkout: v1.2.9<\/li>\n<\/ul>\n<p>Puedes ver m\u00e1s informaci\u00f3n sobre el caso en el post original: <a href=\"https:\/\/build.prestashop.com\/news\/critical-security-vulnerability-in-prestashop-modules\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/build.prestashop.com\/news\/critical-security-vulnerability-in-prestashop-modules\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hemos recibido un aviso de PrestaShop en el que se indica que existe un nuevo malware llamado XsamXadoo Bot que puede ser utilizado para tener acceso a la tienda online y tomar control de la misma. Esta vulnerabilidad esta relacionada con la herramienta PHP llamada PHPUNIT (CVE-2017-9841). \u00bfEs mi tienda online vulnerable? Seg\u00fan indica PrestaShop, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":5921,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[42],"tags":[],"class_list":["post-5919","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-prestashop"],"featured_image_src":{"landsacpe":["https:\/\/www.k3bone.com\/blog\/wp-content\/uploads\/2020\/01\/prestashop-malware.jpg",726,445,false],"list":["https:\/\/www.k3bone.com\/blog\/wp-content\/uploads\/2020\/01\/prestashop-malware.jpg",463,284,false],"medium":["https:\/\/www.k3bone.com\/blog\/wp-content\/uploads\/2020\/01\/prestashop-malware-300x184.jpg",300,184,true],"full":["https:\/\/www.k3bone.com\/blog\/wp-content\/uploads\/2020\/01\/prestashop-malware.jpg",1059,649,false]},"_links":{"self":[{"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/posts\/5919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/comments?post=5919"}],"version-history":[{"count":1,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/posts\/5919\/revisions"}],"predecessor-version":[{"id":6412,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/posts\/5919\/revisions\/6412"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/media\/5921"}],"wp:attachment":[{"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/media?parent=5919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/categories?post=5919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.k3bone.com\/blog\/wp-json\/wp\/v2\/tags?post=5919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}