Nuevo malware php que puede infectar tu web

shape
shape
shape
shape
shape
shape
shape
shape
malware php

El comienzo de año nos ha dejado un nuevo malware php llamado XsamXadoo Bot, este malware se aprovecha de una vieja vulnerabilidad (CVE-2017-9841) de la herramienta de test unitarios PhpUnit.

Mediante este fallo de seguridad, los atacantes pueden robar datos, modificar ficheros y tomar el control de tu web/aplicación.

¿Mi web es vulnerable?

Este malware afecta a todos los CMS, gestores y aplicaciones desarrolladas en PHP que utilicen el framework PhpUnit para probar sus aplicaciones utilizando test unitarios. Por ejemplo PrestaShop.

El problema ya ha sido corregido en en las versiones 7.5.19 y 8.5.1 de PHPUnit, pero el resto de versiones anteriores tienen la vulnerabilidad.

Lo curioso es que las carpetas y ficheros que contienen la vulnerabilidad no son necesarios para el correcto funcionamiento de una aplicación/web que esté en producción. Estos solo son necesarios para el desarrollo de la misma, son restos que los desarrolladores se quedan olvidados al pasar a producción.

¿Cómo saber si estoy infectado?

Esto es algo complejo de saber, ya que el malware deja diferentes tipos de rastros, los ficheros más comunes que crea después de la infección son los siguientes:

Fichero md5
f.php 45245b40556d339d498aa0570a919845
0x666.php edec4c4185ac2bdb239cdf6e970652e3
XsamXadoo_deface.php 05fb708c3820d41c95e34f0a243b395e
XsamXadoo_Bot.php 0890e346482060a1c7d2ee33c2ee0415 o b2abcadb37fdf9fb666f10c18a9d30ee

¿Cómo eliminamos la infección?

Para saber si su web es vulnerable a un ataque, debemos buscar en nuestro servidor la carpeta «phpunit», ya que es la que puede ser vulnerable a un atacante externo. En caso de encontrarla simplemente eliminamos la carpeta y su contenido.

Si tenemos acceso «ssh» al servidor podemos ejecutar el siguiente comando, que buscará y eliminara la carpeta «phpunit» de todos los sitios donde la encuentre partiendo desde la carpeta activa en el prompt.

find . -type d -name "phpunit" -exec rm -rf {} \;

¿Cómo podemos prevenir la infección de malware php?

Una de las mejores soluciones para poder prevenir las infecciones, es contar con un sistema de detección de intrusiones en sitios web, que vigila la integridad de los ficheros diariamente inspeccionando los hashes md5 de los ficheros que van cambiando para saber si esas modificaciones son nuestras o son externas.

Desde e-SORT podemos proporcionar esta herramienta para así tener un más control sobre los ficheros de nuestros hosting, haz click aquí para solicitarnos más información.

 

One Comment:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Hablamos de tu proyecto web?

Diseño y desarrollo web, diseño gráfico publicitario, hosting, dominios ,fotografía corporativa, marketing en internet.