Vulnerabilidad Prestashop. XsamXadoo Bot
Si tienes una tienda PrestaShop y estás suscrito por correo a su info.news habrás recibido una advertencia sobre ésta Vulnerabilidad.
A mi me ha llegado en la tarde del 7 de enero de 2019.
Que desagradable son estas noticias, ¿verdad? Bueno al menos parece que se puede solucionar sin muchas dificultades. Vamos a recapitular la información que he podio encontrar hasta el momento.
El anuncio completo (es el mismo texto que Prestashop ha enviado por correo) se puede consultar en el siguiente enlace:
https://www.prestashop.com/en/security-announcement-your-store-vulnerable-malware
Malware XsamXadoo Bot
XsamXadoo Bot se ha detectado a finales de 2019, aunque la vulnerabilidad que ataca ya se conocida desde 2017. Se trata de un problema de PHPUnit.
PHPUnit se utiliza para el desarrollo de módulos y no debería estar en los módulos en producción, pero por error sí que es posible entrontrarlo en algunos módulos de Prestashop.
¿Como saber si tu tienda está afectada?
Lo primero que he de decir, aunque lo digo en cada artículo, es que yo no soy ningún experto, solo comparto mi experiencia como usuario. Así que si crees que tu tienda puede estar afectada lo que te recomiendo es que acudas a un experto en seguridad.
Dicho esto (muy importante) veamos que podemos averiguar por nosotros mismos (los usuarios no expertos).
En primer lugar lo que he hecho es ir en a Parámetros Avanzados ==> Información dentro de la tienda y mirar los archivos que han sido modificados.
Debes preocuparte si apare en la lista alguno de estos:
| Nombre del archivo | md5 |
|---|---|
| XsamXadoo_Bot.php | 0890e346482060a1c7d2ee33c2ee0415 o b2abcadb37fdf9fb666f10c18a9d30ee |
| XsamXadoo_deface.php | 05fb708c3820d41c95e34f0a243b395e |
| 0x666.php | edec4c4185ac2bdb239cdf6e970652e3 |
| f.php | 45245b40556d339d498aa0570a919845 |
¿Cómo evitar que pueda afectar nuestra tienda?
Según la información que he ido encontrando en diferentes enlaces, que dejaré al final, los pasos que he dado para evitar que pueda afectar a mi tienda, y que espero que sean suficientes son:
1º Ir al servidor y buscar las carpetas «phpunit».
2º Borrar todas estas carpetas «phpunit» pues no son necesarias para el funcionamiento de la tienda, y de esta forma evitamos que se pueda producir el ataque.
¿Dónde pueden estar éstas carpetas «phpunit»?
Siempre según la información que he ido encontrando se debe mirar principalmente en los siguientes sitios:
- En la raíz del sitio PrestaShop. Buscar la carpeta Proveedor, ésta contiene una «phpunit»
- Luego en la carpeta módulos hay que entrar en los siguientes, que también la pueden contener:
- Actualización con 1 clic (actualización automática)
- Carrito Abandonado Pro (pscartabandonmentpro)
- Experiencia del Comerciante (gamificación)
- Búsqueda por facetas (ps_facetedsearch)
- Pago de PrestaShop (ps_checkout)
Localizadas y borradas éstas carpetas la tienda estará a salvo.
Módulo contra ésta amenaza
También he encontrado un módulo que pueden ayudar:
- Se trata de ( slkphpunit ) desarrollado por Soluka, se instala y directamente busca la carpeta en el servidor.
Espero que igual que en mi caso no encuentre nada.
Enlaces de obligada visita:
De los siguientes enlaces ha salido la información que la que se ha construido este artículo, y además se puede ampliar la misma e ir refrescando con la aportación de otras personas:
- Artículo de PrestaShop sobre el asunto.
- Explicación y acceso a la descarga del Módulo.
- Hilo del Foro PrestaShop.
- Otro hilo del Foro.
Espero que la información te pueda servir, y que tu tienda no se haya visto afectada.
Mas cosas interesantes sobre PrestaShop, aquí.
Deja una respuesta