{"id":10457,"date":"2020-01-09T15:47:35","date_gmt":"2020-01-09T14:47:35","guid":{"rendered":"https:\/\/www.e-sort.net\/blog\/?p=10457"},"modified":"2022-05-09T08:57:36","modified_gmt":"2022-05-09T08:57:36","slug":"nuevo-malware-php-que-puede-infectar-tu-web","status":"publish","type":"post","link":"https:\/\/www.e-sort.net\/blog\/nuevo-malware-php-que-puede-infectar-tu-web\/","title":{"rendered":"Nuevo malware php que puede infectar tu web"},"content":{"rendered":"\r\n\r\n\r\n
\r\n

El comienzo de a\u00f1o nos ha dejado un nuevo malware<\/a><\/i> php llamado XsamXadoo Bot<\/b>, este malware se aprovecha de una vieja vulnerabilidad (CVE-2017-9841<\/a>) de la herramienta de test unitarios PhpUnit<\/i>.<\/p>\r\n

Mediante este fallo de seguridad, los atacantes pueden robar datos, modificar ficheros y tomar el control de tu web\/aplicaci\u00f3n<\/b>.<\/p>\r\n

\u00bfMi web es vulnerable?<\/h2>\r\n

Este malware afecta a todos los CMS, gestores y aplicaciones desarrolladas en PHP<\/b> que utilicen el framework PhpUnit para probar sus aplicaciones utilizando test unitarios. Por ejemplo PrestaShop.<\/p>\r\n

El problema ya ha sido corregido en en las versiones 7.5.19 y 8.5.1 de PHPUnit, pero el resto de versiones anteriores tienen la vulnerabilidad.<\/p>\r\n

Lo curioso es que las carpetas y ficheros que contienen la vulnerabilidad no son necesarios para el correcto funcionamiento de una aplicaci\u00f3n\/web que est\u00e9 en producci\u00f3n. Estos solo son necesarios para el desarrollo de la misma, son restos que los desarrolladores se quedan olvidados al pasar a producci\u00f3n.<\/p>\r\n

\u00bfC\u00f3mo saber si estoy infectado?<\/h2>\r\n

Esto es algo complejo de saber, ya que el malware deja diferentes tipos de rastros, los ficheros m\u00e1s comunes que crea despu\u00e9s de la infecci\u00f3n son los siguientes:<\/p>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n
Fichero<\/th>\r\nmd5<\/th>\r\n<\/tr>\r\n<\/thead>\r\n
f.php<\/td>\r\n45245b40556d339d498aa0570a919845<\/td>\r\n<\/tr>\r\n
0x666.php<\/td>\r\nedec4c4185ac2bdb239cdf6e970652e3<\/td>\r\n<\/tr>\r\n
XsamXadoo_deface.php<\/td>\r\n05fb708c3820d41c95e34f0a243b395e<\/td>\r\n<\/tr>\r\n
XsamXadoo_Bot.php<\/td>\r\n0890e346482060a1c7d2ee33c2ee0415 o b2abcadb37fdf9fb666f10c18a9d30ee<\/td>\r\n<\/tr>\r\n<\/tbody>\r\n<\/table>\r\n

\u00bfC\u00f3mo eliminamos la infecci\u00f3n?<\/h2>\r\n

Para saber si su web es vulnerable a un ataque, debemos buscar en nuestro servidor la carpeta \u00abphpunit\u00bb, ya que es la que puede ser vulnerable a un atacante externo<\/b>. En caso de encontrarla simplemente eliminamos la carpeta y su contenido.<\/p>\r\n

Si tenemos acceso \u00abssh\u00bb al servidor podemos ejecutar el siguiente comando, que buscar\u00e1 y eliminara la carpeta \u00abphpunit\u00bb de todos los sitios donde la encuentre partiendo desde la carpeta activa en el prompt<\/i>.<\/p>\r\n

find . -type d -name \"phpunit\" -exec rm -rf {} \\;<\/code><\/pre>\r\n
\u00bfC\u00f3mo podemos prevenir la infecci\u00f3n de malware php?<\/h2>\r\n
Una de las mejores soluciones para poder prevenir las infecciones, es contar con un sistema de detecci\u00f3n de intrusiones en sitios web<\/strong>, que vigila la integridad de los ficheros diariamente inspeccionando los hashes md5 de los ficheros que van cambiando para saber si esas modificaciones son nuestras o son externas.<\/p>\r\n
Desde e-SORT podemos proporcionar esta herramienta para as\u00ed tener un m\u00e1s control sobre los ficheros de nuestros hosting, haz click aqu\u00ed<\/a> para solicitarnos m\u00e1s informaci\u00f3n.<\/p>\r\n<\/div>\r\n