Por favor lea esto: Procedimiento de Seguridad.

[Carl Favre]

Ayer por la noche, el sitio web oficial de PrestaShop, prestashop.com, fue hackeado, lo que produjo como consecuencia un script malintencionado destinado a transcribir la información de noticias en el Back Office de las tiendas PrestaShop.

 

Todo el equipo de PrestaShop nos hemos dedicado a identificar y solucionar este problema lo más rápido que nos ha sido posible. Este problema ha sido solucionado completamente.

 

 

¿Ha sido infectada mi tienda?

 

Esto sólo afecta a las versiones PrestaShop 1.4/1.4.1/1.4.2/1.4.3/1.4.4, pero no todas las tiendas que cuentan con estas versiones han sido afectadas necesariamente.

 

Si usa una de estas versiones, por favor verifique cualquiera de los siguientes síntomas:

 

• Un archivo her.php se encuentra en la raíz de la carpeta /modules

 

• Un archivo .php diferente del index.php se encuentra en las carpetas upload y download

 

• El archivo footer.tpl ha sido modificado.

 

• La carpeta tools/smartyv2 ha sido eliminada

 

Si alguna de estas condiciones se cumple, su tienda puede haber sido infectada. Sin embargo, es fácil de arreglar con sólo seguir las instrucciones que se indican a continuación.

 

 

¿Qué debo hacer?

 

1. Cambiar la contraseña de la base de datos (póngase en contacto con su servicio de hosting, si no sabe cómo hacerlo). Una vez hecho esto, abra el archivo settings.inc.php que encontrará en la carpeta /config y cambie la contraseña antigua por la nueva. Vea la siguiente imágen para saber cómo hacer este proceso:

 

 

 

2. Descargue la revisión publicada por PrestaShop haciendo clic aquí

 

3. Suba esta revisión a la carpeta raíz de su tienda utilizando su cliente de FTP preferido (Filezilla, Transmit, etc...)

 

4. Diríjase a la url http://www.mitienda.com/herfix.php (ojo, hay que sustituir la url que aparece aquí por la de su tienda).

 

5. La solución al problema será aplicada en ese momento. Por favor, no olvide eliminar el archivo herfix.php previamente subido en la raiz de su tienda.

 

6. Cambie el nombre de la carpeta admin.

 

7. Cambie la contraseña de todos los administradores de la tienda

 

Si usted necesita ayuda o tiene alguna pregunta adicional, puede enviarnos un email a [email protected]. Le responderemos tan pronto como sea posible.

 

Todo el equipo de PrestaShop quiere agradecer profundamente a la comunidad su ayuda en la identificación de este problema.

 

Quiero dar las gracias a jesusruiz por su gran trabajo y ayuda, él tradujo todo el texto y nos ayudó a mantener informada a la comunidad española. Gracias de nuevo.

 

---------

 

1) Mi tienda no ha sido afectada, es necesario realizar este proceso?.

 

Todas las versiones 1.4 necesitan aplicar la revisión. Es decir el proceso de descargar y ejecutar el archivo herfix publicado por Prestashop. Incluso si su tienda no ha sido infectada.

 

También es necesario, que se cambie las contraseñas de la base de datos, de los empleados y administradores de la tienda.

 

 

2) He utilizado otro método para resolver el problema que no es el de esta guía. Mi tienda funciona perfectamente, ¿debo yo seguir y realizar esta solución?.

 

Sí, debe utilizar esta solución.

 

3) Acabo de descargar la versión 1.4.4 desde Prestashop.com, ¿es necesario seguir los pasos descritos en esta guia?

 

Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4

 

4) Acabo de actualizar mi tienda a la versión 1.4.4, ¿es necesario seguir los pasos descritos en esta guia?

 

Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4

[dulcedeleon]

Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea????

 

Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada

 

podéis ayudarme por favor???

[errogue]

Buenos dias.

 

¿Lo has descargado en local para trabajar con el? Descargalo en modo local lo modificas, modificas los derechos de escritura en el server y lo subes despues.

 

Verifica que a nivel superior de carpetas y de directorios no tengas protegido directorios contra escritura, de manera que luego el nivel interno no te permita actualizarlo y por eso no puedas cambiar los derechos en el settings.inc.php

 

Espero te pueda ser de ayuda.

 

Saludos.

 

 

 

 

Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea????

 

Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada

 

podéis ayudarme por favor???

[gabrire]

Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea????

 

Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada

 

podéis ayudarme por favor???

 

Hola, para poder modificarlo tienes que bajartelo previamente con tu gestor de ftp. Lo modificas y posteriormente lo vuelves a subir.

 

A ver si me podeis ayudar ahora a mi.

Acabo de hacer todos los pasos pero no me deja cambiarle la contraseña al administrador, cuando me meto en empleados y le doy a modificar al administrador, cuando pongo una contraseña diferente a la que tengo actualmente, me da error, solo me de aceptado si pongo la k tenia anteriormente. Como podria cambiarle la contraseña al administrador???

Un saludo y muchisimas gracias

[E-kipper]

Hola.

 

He descargado el herfix.php y lo he subido al servidor.

 

He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"...

 

¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda?

 

Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores.

[jesusruiz]

Hola.

 

He descargado el herfix.php y lo he subido al servidor.

 

He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"...

 

¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda?

 

Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores.

Yo todavía no he realizado el proceso, ahora lo realizaré.

 

De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada.

 

¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?.

 

De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga.

 

Un saludo.

[illohacker]

yo lo he hecho, me sale OK, pero quiero saber si sigo infectado, alguien me puede ayudar?

[E-kipper]

Hola.

 

He descargado el herfix.php y lo he subido al servidor.

 

He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"...

 

¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda?

 

Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores.

Yo todavía no he realizado el proceso, ahora lo realizaré.

 

De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada.

 

¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?.

 

De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga.

 

Un saludo.

 

Mi tienda está en un subdominio y en una carpeta, algo así como: http://demo.dominio.com/tienda

 

He subido herfix.php a la raíz de /tienda, así que la URL debería ser http://demo.dominio.com/tienda/herfix.php

 

¿Es correcto? ¿Debería ver otra cosa que no sea la página de "error 404"?

 

Gracias, jesusruiz, por tu respuesta y por tus traducciones.

 

Saludos.

[jesusruiz]

Hola.

 

He descargado el herfix.php y lo he subido al servidor.

 

He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"...

 

¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda?

 

Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores.

Yo todavía no he realizado el proceso, ahora lo realizaré.

 

De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada.

 

¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?.

 

De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga.

 

Un saludo.

 

Mi tienda está en un subdominio y en una carpeta, algo así como: http://demo.dominio.com/tienda

 

He subido herfix.php a la raíz de /tienda, así que la URL debería ser http://demo.dominio.com/tienda/herfix.php

 

¿Es correcto? ¿Debería ver otra cosa que no sea la página de "error 404"?

 

Gracias, jesusruiz, por tu respuesta y por tus traducciones.

 

Saludos.

Exacto, es correcto

 

Tienes que incluir tu subdominio, pruebalo ahora y nos cuentas.

 

Yo estoy en ello, todavía no he tenido tiempo de realizar el proceso.

 

Un saludo.

[E-kipper]

Hola a todos.

 

El resultado de abrir la url http://dominio.com/tienda/herfix.php es una página en la que simplemente se ve "OK" sobre fondo blanco.

 

Si a alguien le sale otra cosa (como me ha pasado a mi) se supone que no está bien aplicado el parche.

 

En la tienda en la que sí me ha funcionado, la tienda no está en un subdominio, sólo está en una carpeta distinta a la raíz.

 

Saludos.

[jesusruiz]

Hola a todos.

 

El resultado de abrir la url http://dominio.com/tienda/herfix.php es una página en la que simplemente se ve "OK" sobre fondo blanco.

 

Si a alguien le sale otra cosa (como me ha pasado a mi) se supone que no está bien aplicado el parche.

 

En la tienda en la que sí me ha funcionado, la tienda no está en un subdominio, sólo está en una carpeta distinta a la raíz.

 

Saludos.

Pues entonces, creo que el proceso se ha realizado con éxito FELICIDADES.

 

Ahora te toca cambiar todas las contraseñas de empleados y administradores de la tienda. Así como la contraseña de la base de datos.

 

Un saludo.

[E-kipper]

Hola.

 

Bueno, en la tienda que tengo en http://demo.dominio.com/tienda no me quiere funcionar el parche.

 

Cuando venga mi compañero, que sí controla estas cosas de servidores y demás, ya veremos por qué no se aplica el parche.

 

Saludos.

[jesusruiz]

Hola.

 

Bueno, en la tienda que tengo en http://demo.dominio.com/tienda no me quiere funcionar el parche.

 

Cuando venga mi compañero, que sí controla estas cosas de servidores y demás, ya veremos por qué no se aplica el parche.

 

Saludos.

Creí que lo habías solucionado.

 

Bueno, pues cuentanos luego, si te sigue fallando y la pregunto a Carl, si él sabe que hay que hacer en estos casos.

[Carl Favre]

As jesusruiz says, if you have some problems with the fix, do not hesitate to contact me or some other members of the PrestaTeam.

[E-kipper]

Hola.

 

Bueno, ya está solucionado...

 

Me había hecho un lío con el Filezilla, y había subido herfix.php a una carpeta que no era.

 

Ahora sí: abriendo http://demo.dominio.com/tienda/herfix.php me ha dado "OK".

 

Saludos.

[jesusruiz]

Hola.

 

Bueno, ya está solucionado...

 

Me había hecho un lío con el Filezilla, y había subido herfix.php a una carpeta que no era.

 

Ahora sí: abriendo http://demo.dominio.com/tienda/herfix.php me ha dado "OK".

 

Saludos.

Me alegro

 

Yo todavía no he podido realizar el proceso, la web de mi Hosting está fallando y no puedo acceder. Así que a esperar que solucionen el problema que tengan.

[E-kipper]

Hola.

 

Espero que tu alojamiento funcione bien rápido y puedas poner el parche.

 

Ahora me queda una duda tonta: ¿tengo que volver a crear la carpeta smartyv2, o da igual?

 

Saludos.

[jesusruiz]

Hola.

 

Espero que tu alojamiento funcione bien rápido y puedas poner el parche.

 

Ahora me queda una duda tonta: ¿tengo que volver a crear la carpeta smartyv2, o da igual?

 

Saludos.

Si fué eliminada, tendrás que volverla a poner.

 

Si no fué eliminada, no hace falta que hagas nada más.

[Luispa]

He realizado todo el proceso y ha quedado limpio. Pero tengo una pregunta que a buen seguro es posible sea rechazada en este foro (Me gustaría que no).

 

¿Como es posible que un fallo de seguridad en los servidores de Prestashop afecte a todas nuestras tiendas?. Parece ser que Prestashop tiene acceso a nuestros paneles de control a nuestros datos... ¿Es esto legal?.

 

Nuestras tiendas no son estancas y esto me preocupa.

 

Señores de Prestashop, he comprado muchos de sus módulos y me parece que hacen ustedes un gran trabajo. Pero sinceramente, considero que la información "confidencial" de nuestros comercios no debiera de viajar por la red, al menos sin saberlo los propios administradores. Les pido encarecidamente que cierren esta puerta y que preserven la privacidad de nuestros datos.

[Carl Favre]

Hi Luispa,

 

An answer has been given about your questions :

 

http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/page__view__findpost__p__616206

[karlos_r_n]

 

1) Mi tienda no ha sido afectada, es necesario realizar este proceso?.

 

Todas las versiones 1.4 necesitan aplicar la revisión. Es decir el proceso de descargar y ejecutar el archivo herfix publicado por Prestashop. Incluso si su tienda no ha sido infectada.

 

También es necesario, que se cambie las contraseñas de la base de datos, de los empleados y administradores de la tienda.

 

 

2) He utilizado otro método para resolver el problema que no es el de esta guía. Mi tienda funciona perfectamente, ¿debo yo seguir y realizar esta solución?.

 

Sí, debe utilizar esta solución.

 

3) Acabo de descargar la versión 1.4.4 desde Prestashop.com, ¿es necesario seguir los pasos descritos en esta guia?

 

Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4

 

4) Acabo de actualizar mi tienda a la versión 1.4.4, ¿es necesario seguir los pasos descritos en esta guia?

 

Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4

 

Hola buenos días,

Esta última parte que incluyes en este post el cual te agradezco mucho, no está incluido en el boletín oficial de Prestashop enviado el día de ayer ¿Porque lo has agregado?

El boletín claramente indica los síntomas para la detección del problema generado por el hackeo al sitio oficial de Prestashop los cuales se refieren y manifiestan en la inclusión de archivos .php y modificaciones al archivo footer.tpl, así como la eliminación de la carpeta smartyv2; todo esto implantado y generado en algunas tiendas V1.4 a través de la conectividad constante que el software tiene con el sitio oficial, cosa que seguro todos hemos entendido como "consecuencias del ataque" pero en esto que agregas tú (seguramente con buenas intenciones lo cual te agradezco) me parece que no está dentro del contexto en que lo presenta dicho boletín (que por cierto es el último que me ha llegado) y lejos de ser la revisión que propones es específicamente una de las soluciones al problema descritas en dicha noticia.

Refiriéndome pues a aquellas tiendas V1.4 que no presentan los “signos y síntomas” consecuentes al hackeo en cuestión, ¿Por qué aplicar medicación a una enfermedad asintomática por no decir inexistente?

Lo anterior lo escribo con el debido respeto y con la única intención de aclararme la duda de ¿donde es que salió ese “agregado”? pues no lo veo en el boletín, así mismo quiero alentar a aquellas personas que se hayan percatado de alguna anomalía en su tienda y que tengan dichos archivos alterados para que den testimonio de ¿cuál es el daño que este hackeo ha generado?. Planteo además la evidente cuestión de si ¿es segura la permanente conectividad con el sitio oficial de Prestashop? En un nuevo post que ojala comenten.

[Carl Favre]

Hi karlos,

 

Unfortunately I do not speak spanish and jesusruiz helps me with the translation.

 

What I understand from Google Translation:

 

Many questions were asked on the forums that were not answered in the initial email so we added these questions and answers at the end of the announcement.

 

About the other question, Nebojsa gave all the details in the following thread:

 

http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/page__view__findpost__p__616206

 

Hope it helps.

[Cruck]

Realizado todo el proceso.

 

Supongo que ya no estará infectada y estará protegida.

 

Gracias por la rápida actuación.

 

Saludos

[karlos_r_n]

He realizado todo el proceso y ha quedado limpio. Pero tengo una pregunta que a buen seguro es posible sea rechazada en este foro (Me gustaría que no).

 

¿Como es posible que un fallo de seguridad en los servidores de Prestashop afecte a todas nuestras tiendas?. Parece ser que Prestashop tiene acceso a nuestros paneles de control a nuestros datos... ¿Es esto legal?.

 

Nuestras tiendas no son estancas y esto me preocupa.

 

Señores de Prestashop, he comprado muchos de sus módulos y me parece que hacen ustedes un gran trabajo. Pero sinceramente, considero que la información "confidencial" de nuestros comercios no debiera de viajar por la red, al menos sin saberlo los propios administradores. Les pido encarecidamente que cierren esta puerta y que preserven la privacidad de nuestros datos.

 

Me gusta tu comentario, y obviamente tienes razón pues como empresa Prestashop tiene sus obligaciones y responsivas (no veo porque debiera molestar tu comentario si es la verdad) yo tambien he comprado muchos modulos y varios themes y mis clientes podrian obligarme a algo a mi debido a cualquier fallo en su sitio.

Si bien este software me encanta, ya me habia percatado de esta posibilidad de hackeo. Yo creo que de manera obligada la V1.5 que ya fué anunciada, debe de desconectar las tiendas del sitio empresarial pues esto ha sido la raiz del problema...

Ojala los franceses afectado hagan demandas para obligar a los desarrolladores a incluir nuevas medidas de seguridad en todas las versiones y ¿por que no? generar archivos que incluyan una desconexion con el sitio empresarial!!!

Al que no le guste mi comentario pues nimodo, soy cliente y es mi derecho y me amparan las leyes de comercio frances puesto que las compras se llevan mediente paypal Francia...

[jesusruiz]

Hola buenos días,

Esta última parte que incluyes en este post el cual te agradezco mucho, no está incluido en el boletín oficial de Prestashop enviado el día de ayer ¿Porque lo has agregado?

El boletín claramente indica los síntomas para la detección del problema generado por el hackeo al sitio oficial de Prestashop los cuales se refieren y manifiestan en la inclusión de archivos .php y modificaciones al archivo footer.tpl, así como la eliminación de la carpeta smartyv2; todo esto implantado y generado en algunas tiendas V1.4 a través de la conectividad constante que el software tiene con el sitio oficial, cosa que seguro todos hemos entendido como "consecuencias del ataque" pero en esto que agregas tú (seguramente con buenas intenciones lo cual te agradezco) me parece que no está dentro del contexto en que lo presenta dicho boletín (que por cierto es el último que me ha llegado) y lejos de ser la revisión que propones es específicamente una de las soluciones al problema descritas en dicha noticia.

Refiriéndome pues a aquellas tiendas V1.4 que no presentan los “signos y síntomas” consecuentes al hackeo en cuestión, ¿Por qué aplicar medicación a una enfermedad asintomática por no decir inexistente?

Lo anterior lo escribo con el debido respeto y con la única intención de aclararme la duda de ¿donde es que salió ese “agregado”? pues no lo veo en el boletín, así mismo quiero alentar a aquellas personas que se hayan percatado de alguna anomalía en su tienda y que tengan dichos archivos alterados para que den testimonio de ¿cuál es el daño que este hackeo ha generado?. Planteo además la evidente cuestión de si ¿es segura la permanente conectividad con el sitio oficial de Prestashop? En un nuevo post que ojala comenten.

 

Hola y antes de nada disculpa la tardanza en responder a tus preguntas, pero he estado atendiendo otros asuntos y hasta ahora no he terminado.

 

Paso a contestar tus dudas:

 

Carl y yo decidimos crear un pequeño apartado con preguntas que fueran a ser frecuentes. Esos cuatro puntos, creimos que eran necesarios aclararlos en la guia española. Primeramente, porque ya se habían preguntado esas cuestiones en varias ocasiones en el foro (antes de publicar la guia con esos 4 puntos). Segundo porque no hay demasiados usuarios en el Foro español que puedan estar atendiendo a todas las preguntas que les hacemos al equipo de Prestashop y es necesario dar rapidez y soluciones instantáneas. Y por último, porque como bien ha comentado Carl, los responsables de Prestashop no dominan el idioma español y no pueden estar traduciendo y contestando con errores de idioma a los usuarios españoles. Esto último puede crear todavía más, una mayor confusión.

 

A la pregunta de, por qué hay que aplicar el parche a tiendas no afectadas, es básicamente porque aunque una tienda no haya sido afectada el problema sigue estando presente. Y como en la informática es muy importante la seguridad, pues hay que hacer las actualizaciones del código necesarias para que no surjan estos problemas.

 

A las últimas preguntas que me planteas, Carl publicará en las próximas horas un Post Oficial, explicando qué consecuencias tuvo el ataque y confirmando la alta seguridad que tiene Prestashop tras aplicar el parche de la solución.

 

Si tienes alguna duda más, no dudes en exponerla.

 

Un saludo.

[Carl Favre]

Here is the Spanish translation of Nebojsa's post made by jesusruiz, hope it answers all your questions :

 

En primer lugar, quiero dar las gracias a PrestaTeam y a la Comunidad que fueron capaces de movilizarse ayer para corregir el problema en pocas horas.

Me he tomado tiempo para leer todos y cada uno de sus mensajes, y quiero aportar la mayor cantidad de información posible a todas vuestras preguntas.

 

1. Tan pronto como nos dimos cuenta del fallo, empezamos buscando el origen. Se estableció contacto con varios propietarios de tiendas que habían encontrado el problema en sus tiendas, nos dieron acceso a ellas, y juntos tratamos de reproducir éste en varios equipos de la casa. Se identificaron varias posibilidades:

1. Existía una vulnerabilidad de seguridad en el software Prestashop que permitia la inyección de un script malicioso en las tiendas.

2. Un troyano que modificaba el código antes de enviarse por FTP.

3. Un troyano que recuperaba el acceso por FTP y permitía a otro script cambiar la solución.

4. Existía una vulnerabilidad de seguridad en el software de los servidores.

 

 

Y finalmente logramos encontrar la respuesta: el problema era de nuestro sitio web, www.prestashop.com.

Así que empezamos por corregir el problema en prestashop.com, bloqueando el ataque, y luego dividimos el equipo en tres:

 

1. Un equipo para estudiar y analizar con mayor precisión qué era y hacía exactamente el script a fin de evaluar los daños que causaba;

 

2. Un equipo para crear la solución, y probarla en varias tiendas afectadas;

 

3. Otro equipo era responsable de verificar el servidor PrestaShop en profundidad, bloquear el servidor y rastrear de nuevo el origen del hack para capturar la mayor información posible para que nosotros puedieramos presentar un informe oficial.

 

2. Sí, www.PrestaShop.com había sido comprometida, permitiendo a un atacante poder explotar el sitio para inyectar un script malicioso y, en consecuencia a este, ejcutar otro script en las tiendas remotas.

 

3. Este "físura" se debe a que nosotros no habíamos verificado la información de nuestro propio sitio en términos de software. Este defecto de diseño se ha solucionado con el parche que le proporcionamos ayer. Este parche soluciona el problema y protege su tienda de futuros ataques.

 

 

4. El software es tan completamente seguro como que yo estoy escribiendo esto, y el script malicioso se vio contrarrestado a la tarde de ayer alrededor de las 7:00 a.m. hora del este.

 

5. Las consecuencias para las tiendas afectadas eran las siguientes:

 

1. El script consegue acceder a la base de datos y a la tabla "Empleados", y se envía por correo a una dirección anónima, por lo que os hemos pedido que cambiéis la contraseña de su base de datos y la contraseña de todos sus empleados en el back office de su tienda.

 

2. El script añade varios puntos de entrada ("backdoors") en las carpetas download y upload, para navegar por el directorio de su tienda, estos scripts son eliminados por el parche.

 

3. El script malicioso eliminaba el directorio tools/smarty_v2, este directorio es restablecido por el parche.

 

4. La consecuencia directa era una suspensión temporal de su sitio, hasta la aplicación de los parches de seguridad.

 

6. ¿Qué he de hacer?

Es esencial que aplique rápidamente el parche de seguridad si ha sido afectado, porque los datos siguen siendo vulnerables,

Si no se ha visto afectado, debe aplicar el parche de seguridad como medida preventiva.

 

 

El equipo de PrestaShop está atendiendo sus consultas y se encuentra a su disposición para cualquier pregunta. Estamos trabajando activamente para responderle de forma individual y ayudarle a resolver cualquier problema.

 

A vuestra disposición.

[Platin]

¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?.

Gracias.

[Prescol]

¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?.

Gracias,vinilos

 

Si, recomiendan que todos, afectados o no apliquen el parche ya que éste corrige también ligeras vulnerabilidades en la tienda y además te previene de un posible ataque del mismo sistema cuando tu web pase al servidor.

[Platin]

¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?.

Gracias.

 

Si, recomiendan que todos, afectados o no apliquen el parche ya que éste corrige también ligeras vulnerabilidades en la tienda y además te previene de un posible ataque del mismo sistema cuando tu web pase al servidor.

 

Gracias prescol.

Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados?

lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general.

¿Realmente es esto lo que hay que cambiar en el servidor local?

 

Host localhost

Port xxxx

User xxxxxx

Password --> xxxxxx <---

[Prescol]

 

Gracias prescol.

Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados?

lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general.

¿Realmente es esto lo que hay que cambiar en el servidor local?

 

Host localhost

Port xxxx

User xxxxxx

Password --> xxxxxx <---

 

No. Solo aplicar el parche. El cambio de contraseñas es para tiendas susceptibles de haber sido víctimas del ataque.

[Platin]

 

Gracias prescol.

Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados?

lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general.

¿Realmente es esto lo que hay que cambiar en el servidor local?

 

Host localhost

Port xxxx

User xxxxxx

Password --> xxxxxx <---

 

No. Solo aplicar el parche. El cambio de contraseñas es para tiendas susceptibles de haber sido víctimas del ataque.

Ok, gracias.

[Arielbjj]

Una consulta ya he aplicado el parche y echo los cambios, supongo qeu la pagina ya no esta infectada.

Pero al intentar ingresar me aparece este mensaje de google(imagen adjunta), como puedo hacer para que no aparesca ?

[Prescol]

Una consulta ya he aplicado el parche y echo los cambios, supongo qeu la pagina ya no esta infectada.

Pero al intentar ingresar me aparece este mensaje de google(imagen adjunta), como puedo hacer para que no aparesca ?

 

Has borrado los archivos que generaba el ataque en las carpetas Uploads y Downloads?

[Platin]

Hola Prescol.

Siguiendo con el tema parche:

apliqué el parche en local y funcionó bien.

Ahora he subido a mi servidor de internet los archivos de la versión que tenia en local, 1.4.017 y he actualizado a 1.4.4.1.

¿ Debo volver a aplicar el parche?.

Muchas gracias.

[elber73]

Complementando la pregunta que hace al final Platin...

 

¿Hay que instalar el parche también a una instalación 1.4.4.1 nueva?

 

En el CHANGELOG de la versión 1.4.4.1 se menciona un fix de seguridad "security fix on AdminHome file" que supongo que será este mismo, por lo que ¿no habría que aplicar el parche a la 1.4.4.1 porque ya viene parcheado?

 

Sin embargo, al principio de la noticia se comenta que hay que aplicar el parche a todas las versiones 1.4 ¿mmm?

 

Alguien que nos aclare las dudas por favor...

Muchas gracias.

[Platin]

Pues si, seria interesante que alguien nos conteste.

Muchas gracias.

[RubenFD]

Hola, os explico mi caso lo más concreto posible:

 

http://espardenyes.zobyhost.com/prestashop/

 

Esa es mi tienda, realizada para mi proyecto final de carrera. La hice en local y la subi a un host gratuito. En agosto, se infecto con el troyano JS Redirector, recibi el mail de Prestashop y lo unico que encontre fueron archivos extraños en las carpetas /download y /upload, los borré, pero no usé el parche (esto en local y antes de subirla).

 

El Avast, me seguía diciendo que estaba infectado, pero no hice caso ya que solo afectaba a la velocidad de carga de la web (en local). Ahora, la he subido al servidor web y el Avast sigue diciendo que esta infectada.

 

Aunque no tengo el archivo her.php, descargué el herfix.php, lo subi, y lo usé. OK. Pero el Avast sigue dándome error.

 

Si entrais en la web lo podreis comprobar. He leido lo del cambio de contraseñas y el renombrar el admin. He cambiado la contraseña de administrador, pero no la de la Base de datos, ya que no sé hacerlo.

 

Si en el archivo seetings.inc.php, cambio la contraseña de la Base de datos, luego no puedo entrar en la web pq dice que no linka a la database. Y si entro en el Back Office y en Preferencias/Base de datos le cambio la contraseña, y luego entro en el archivo anterior y le pongo la misma contraseña, tengo miedo de cagarla y no poder acceder a la web más.

 

Entrego el PFC el mes que viene, entendedme, podria presentarlo con el troyano y explicar los motivos, pero si no estuviera, seria mejor (desactivar el antivirus durante la presentacion del proyecto ya lo he pensado, pero...)

 

Un saludo

[elber73]

RubenFD, mi antivirus también salta al acceder a tu tienda, así que algo te debe quedar aún.

Yo lo que haría es descargarme de nuevo la misma versión de tu tienda desde la web de Prestashop, y luego comparar todos los archivos con los de tu servidor con alguna utilidad que compare contenido, por ejemplo yo siempre utilizo "Synchronize It!" (http://www.grigsoft.com) (aunque sirve cualquiera que compare el contenido, eso sí, tarda bastante tiempo). Con eso te saldrá si tienes algún fichero php o javascript modificado por el troyano, lo reemplazas por el bueno y ya está.

 

También debes revisar tu archivo .htaccess porque los troyanos suelen meter cosas allí para tomar el control.

 

Espero te sirvan de ayuda mis recomendaciones.

[RubenFD]

Hola elber73, gracias por responderme.

 

Me he descargado el Synchronize It, y comparo el prestashop recien descargado pero no instalado (osea, solo los archivos descomprimidos) con el prestashop en local y que tiene el troyano. Y basicamente me aparece que el "index.php" de la carpeta "img" ocupa 1.308 bytes en el descargado y 1.307 en la local, y este se repite en todas las subcarpetas de "img".

 

Luego aparecen cambios en el "config.xml" del modulo "vatnumber" que no he tocado para nada y cambios en algun .tpl del modulo "permanentlinks". Estos ultimos lo entiendo porque tuve que modificarlos para que en la tienda, no aparecieran el "favoritos", "mapa", etc.

 

Debo sobreescribir todos estos archivos?

[elber73]

Yo compararía la copia local limpia contra la copia del servidor por ftp. Dudo mucho que un troyano se te haya metido en tu instalación local, a no ser que hayas copiado en algún momento lo que tenias en el servidor a tu copia local con lo que habrás copiado el troyano.

 

De cualquier forma, lo más fiable es comparar la copia limpia recién descargada contra la copia del servidor vía ftp. Al Syncrhonize It le puedes meter los datos del ftp remoto y entonces te hará la comparación como te digo. Ponle en la configuración que te compare por contenido.

 

Y no machaques a lo bestia sin mirar antes que seguramente te cargarás tu tienda online. Comprueba antes las diferencias entre un archivo y otro. Normalmente las modificaciones de un troyano saltan a la vista. El compare es simplemente para identificar de forma rápida los archivos que pueden contener el código malicioso, y este código malicioso no es cosa de un byte o dos, salta a la vista enseguida.

[RubenFD]

Gracias elber73, ahora lo haré.

 

Aunque he de decirte que antes de subir la web al servidor, trabajé en local y fue cuando hackearon prestashop y Avast detectaba ese troyano cuando testeaba la web en local. Osea que ya se infectó trabajando en local.

 

Estos hackers cada vez trabajan mejor! XD

[petete2008]

Gracias por la información!!

[nonocampa]

Hola

 

empiezo en esto del ecommerse y me ha preocupado un poco lo del virus.

 

La version q teneis en descarga es PrestaShop v.1.4.6.2 (stable) .

 

¿ quiere esto decir q esta version ya tiene aplicado el parche ?

 

¿ es descargable con tranquilidad y seguridad ?

 

gracias por las respuesta.

 

salu2

[petete2008]

Asi es, tiene corregido el bug de seguridad, otras correcciones y mejoras.

[nonocampa]

gracias por la respuesta.

 

salu2