El comienzo de año nos ha dejado un nuevo malware php llamado XsamXadoo Bot, este malware se aprovecha de una vieja vulnerabilidad (CVE-2017-9841) de la herramienta de test unitarios PhpUnit.
Mediante este fallo de seguridad, los atacantes pueden robar datos, modificar ficheros y tomar el control de tu web/aplicación.
¿Mi web es vulnerable?
Este malware afecta a todos los CMS, gestores y aplicaciones desarrolladas en PHP que utilicen el framework PhpUnit para probar sus aplicaciones utilizando test unitarios. Por ejemplo PrestaShop.
El problema ya ha sido corregido en en las versiones 7.5.19 y 8.5.1 de PHPUnit, pero el resto de versiones anteriores tienen la vulnerabilidad.
Lo curioso es que las carpetas y ficheros que contienen la vulnerabilidad no son necesarios para el correcto funcionamiento de una aplicación/web que esté en producción. Estos solo son necesarios para el desarrollo de la misma, son restos que los desarrolladores se quedan olvidados al pasar a producción.
¿Cómo saber si estoy infectado?
Esto es algo complejo de saber, ya que el malware deja diferentes tipos de rastros, los ficheros más comunes que crea después de la infección son los siguientes:
Fichero | md5 |
---|---|
f.php | 45245b40556d339d498aa0570a919845 |
0x666.php | edec4c4185ac2bdb239cdf6e970652e3 |
XsamXadoo_deface.php | 05fb708c3820d41c95e34f0a243b395e |
XsamXadoo_Bot.php | 0890e346482060a1c7d2ee33c2ee0415 o b2abcadb37fdf9fb666f10c18a9d30ee |
¿Cómo eliminamos la infección?
Para saber si su web es vulnerable a un ataque, debemos buscar en nuestro servidor la carpeta «phpunit», ya que es la que puede ser vulnerable a un atacante externo. En caso de encontrarla simplemente eliminamos la carpeta y su contenido.
Si tenemos acceso «ssh» al servidor podemos ejecutar el siguiente comando, que buscará y eliminara la carpeta «phpunit» de todos los sitios donde la encuentre partiendo desde la carpeta activa en el prompt.
find . -type d -name "phpunit" -exec rm -rf {} \;
¿Cómo podemos prevenir la infección de malware php?
Una de las mejores soluciones para poder prevenir las infecciones, es contar con un sistema de detección de intrusiones en sitios web, que vigila la integridad de los ficheros diariamente inspeccionando los hashes md5 de los ficheros que van cambiando para saber si esas modificaciones son nuestras o son externas.
Desde e-SORT podemos proporcionar esta herramienta para así tener un más control sobre los ficheros de nuestros hosting, haz click aquí para solicitarnos más información.
- Tags:
- malware
Muchas gracias por la info