Hackeo!!! ¿Es seguro estar conectado al sitio empresarial de Prestashop en nuestras tiendas?

[karlos_r_n]

Hola buenos días,

Yo no soy muy ilustrado en esto del diseño web y su debida programación, de hecho no se mucho realmente, pero desde hace varios días me estuvo rondando la idea en la mente de que era posible que mis tiendas se dañaran si el sitio de Prestashop era hackeado (además me acordaba mucho del hackeo anunciado en facebook cuando lo estaban lanzando a la fama) ya que concluí que el video, las noticias, las ofertas de los themes y los globos de ayuda del Back Oficce se conectan permanentemente con este sitio, y no solo eso; la posibilidad de robo o modificaciones a la base de datos o de datos de modalidades de pago, etc., me pareció muy evidente también y por ello opté por modificar algunas de estas conectividades, aunque luego hice desidia y deje el trabajo a medias pues creí que era alguna paranoia de mi parte.

Ahora bien, el planteamiento que ha generado el hackeo perpetuado el día de ayer al sitio de la empresa es el siguiente ¿es seguro estar conectado permanentemente al sitio oficial?

Sin duda Prestashop es un software muy fino, y luego de probar con Joomla y Oscommers, de inmediato distinguí a este sobre los demás, el único gran defecto que le veo es precisamente este, la conectividad con el sitio empresarial.

Si bien, dicha empresa está en todo su derecho de promover sus productos y los de la comunidad con los que lucra mediante promociones en el software que cada uno de nosotros instalamos en un servidor mediante nuestros propios recursos y alcances, es bien sabida la responsabilidad que conlleva la propia seguridad de la procedencia de esta conectividad, y en un mundo “globalizado a medias”, luego de sufrir alguno de los daños inherentes y ya comentados, nos sería imposible tener alguna acción legal que nos garantizara una indemnización por dichos daños, más aun cuando no se está en Francia y la justicia queda fuera del alcance.

Por ello planteo una “desconexión con el sitio Prestashop” y le pido a aquellos que saben, que participen conmigo para lograr dicho fin.

Básicamente yo he logrado desactivar el “molesto video” del Inicio en la V1.4.2.5, V1.4.3 y V1.4.4, así como la promoción de los themes, pero ahí me quede y ahora que la alerta ya ha sido señalada y evidenciada, quisiera aislar por completo mis tiendas del sitio de Prestashop para así tener un mayor control sobre cualquier daño o percance y que de presentarse alguna anomalía, sea consecuencia exclusiva de mis acciones.

Planteo estas interrogantes:

• 
   
  
• ¿Qué conexiones se tienen con el sitio oficial?
  
• ¿Hasta qué punto podemos desconectar nuestros sitios del sitio empresarial?
  
• ¿Generan animalias en el funcionamiento estas desconexiones?
  
• ¿Hay alguna otra sección que se deba considerar para desconectar aparte de el video, las noticias, las ofertas de los themes y los globos de ayuda del Back Oficce?
  

Si alguien desea que le indique como logre los avances ya señalados, se los planteo con gusto luego de manifestarlo. Espero haya participación al respecto.

[luismiguel]

Hola. karlos_r_n

Me adhiero al contenido de tu post, sumandome a la petición de la desconexión con el sitio Prestashop, considerando que la misma no es extrictamente necesaria para su correcto funcionamiento. La publicidad o actualizaciones pueden hacerse por otros canales.

 

Esto me recuerda a un debate no tan antiguo (el año pasado o el anterior) cuando aparecieron las primeras funcionalidades de interrogación sistemática del sitio Prestashop. Bien pues el compañero que lo propuso en absoluto había carecido de tacto pero su observación era la misma y… nosotros casi lo lapidamos.

 

Comparto esta opinión… estar conectado por buenas o malas razones a un sitio centralizado sin petición expresa del administrador de una tienda es casi un suicidio.En tanto Prestashop se vaya haciendo más popular más apetecible será para los hackers atacar a este sitio, al tratarse de una Comunidad importante dispondrán de 30.000 ó 40.000 sitios que tendrán a su merced.

 

En consecuencia, es una cuestión urgente que el equipo Prestashop revele la totalidad de la información sobre el ataque, como se ha penetrado en el sistema, y como este se propaga , cuáles son todos los elementos susceptibles de haber sido alcanzados y de las consecuencias de la infección, ya que algunos tenemos responsabilidades hacia terceros.

 

Por cierto, si puedes darnos alguna información de cómo ir desvinculándonos de los scripts que conectan con la central , no nos vendrían nada mal.

 

Saludos.

[riopar10]

Me sumo a la petición de desconexión, pasanos si puedes como ir desactivano cosas o mejor aun que sean los chicos de prestashop que nos lo indiquen.

[mundor]

Yo estoy de acuerdo en que nuestras tiendas NO estén conectadas al sitio empresarial de Prestashop o por lo menos que nos den la opción y que no sea como ahora una obligación.

 

Dicho esto mi tienda no se infecto aunque yo entro en el Back Office varias veces al día porque??? La respuesta es por casualidad, ya que yo tengo la tienda en un servidor compartido y mi proveedor no tiene activado el comando allow_url_fopen en su archivo de php.ini entonces cuando entro al Back Office no veo noticias ni video ni actualizaciones y en su lugar me sale:

 

------------------------------------------------------

El aviso para actualizaciones no está disponible

Para recibir advertencias de la actualización de PrestaShop, necesita activar el comando allow_url_fopen en su archivo de los config de php.ini.

Si no sabe como hacerlo, por favor contacte al administrador de su servidor

------------------------------------------------------

 

Yo no entiendo mucho de esto pero creo que esto salvo mi tienda ayer.

[luismiguel]

Yo estoy de acuerdo en que nuestras tiendas NO estén conectadas al sitio empresarial de Prestashop o por lo menos que nos den la opción y que no sea como ahora una obligación.

 

Dicho esto mi tienda no se infecto aunque yo entro en el Back Office varias veces al día porque??? La respuesta es por casualidad, ya que yo tengo la tienda en un servidor compartido y mi proveedor no tiene activado el comando allow_url_fopen en su archivo de php.ini entonces cuando entro al Back Office no veo noticias ni video ni actualizaciones y en su lugar me sale:

 

------------------------------------------------------

El aviso para actualizaciones no está disponible

Para recibir advertencias de la actualización de PrestaShop, necesita activar el comando allow_url_fopen en su archivo de los config de php.ini.

Si no sabe como hacerlo, por favor contacte al administrador de su servidor

------------------------------------------------------

 

Yo no entiendo mucho de esto pero creo que esto salvo mi tienda ayer.

 

Interesante apunte...

 

Entoces creo que bastaria desactivar esta opcción:

 

config/php.ini./allow_url_fopen

 

Voy a trastear un poco.( no veo nada sera cuestion del servidor..)

Efectivamente algunos servidores tienen esta opción activada (que son los que se han infectado), y otros la traen desactivada por defecto como es tu caso, y en este concretamente has tenido suerte.

Por lo tanto es recomendable pedir a nuestro servidor que tenga esta opcion desactivada.

 

Sino aqui os dejo un ejemplo de configurar vuestro servidor en modo seguro

 

Configuración del Safe Mode

El Safe Mode de PHP permite limitar el acceso a algunas funcionalidades peligrosas así como prohibir algunas funciones. Permite también establecer un perímetro de seguridad, adaptando un expediente red y prohibiendo PHP que debe dejarse con estos parámetros. Para activarlo a Safe Mode basta con con colocarlo a “on” en el php.ini. Aquí teneis un ejemplo de configuración:

safe_mode = On

safe_mode_gid = Off

; ...

safe_mode_include_dir =

; ...

safe_mode_exec_dir = "/var/www/bin"

safe_mode_allowed_env_vars = PHP_

safe_mode_protected_env_vars = LD_LIBRARY_PATH,LD_PRELOAD

; ...

open_basedir = "/var/www/prestashop"

disable_functions = shell_exec,system,sleep,syslog,link,sockopen,ftp_connect,

pfsockopen,socket_connect,usleep,symlink,virtual,ini_set,ini_alter,

ini_restore,passthru,popen,exec

disable_classes =

; ...

register_globals = Off

magic_quotes_gpc = Off

[color=#FF0000]allow_url_fopen = Off[/color]

allow_url_include = Off

; ...

[MySQL]

mysql.allow_persistent = On

mysql.max_persistent = -1

mysql.max_links = -1

mysql.connect_timeout = 10

mysql.trace_mode = Off

; ...

[session]

session.save_handler = files

session.save_path = "/var/www/sessions"

session.use_cookies = 1

session.name = PHPSESSID

session.cookie_path = /

session.cookie_domain =

session.cookie_httponly =

session.serialize_handler = php [/color]

 

 

Saludos.

[pitus]

Hola a todos,

 

uno de mis sitios en version 1.4.3 ha sido afectado por el hackeo. Ahora me debato en intentar arreglar el desaguisado, no me funciona Ajax en absoluto.

Me sumo por tanto a la propuesta de desconectar nuestros sitios de Prestashop.

La opcion del comando allow_url_open ¿Puede afectar a otro tipo de conexiones como pasarelas de pago, etc ?

 

Saludos cordiales

[Prescol]

Archivos que llaman a prestashop:

 

Carpeta administrador:

• 
   
  
• Adminhome.php:180 - Video de inicio
  
• Adminlocalization.php:65,102 - Llamada para conseguir el acceso a un paquete de localizacion
  
• AdminModules.php:553
  
• AdminTranslations.php:262,729
  
• ajax.php:42,166,167,168,169,620,626,652,663,664,666
  
• ajax_lang_packs.php:37,40
  
• functions.php:215
  
• AdminAddonsCatalog.php:33
  
• AdminAddonsMyaccount.php:33
   
  prestashop\classes\Currency.php (1 llamada)
  
• Linea 327: if (!$feed = @simplexml_load_file('http://www.prestashop.com/xml/currencies.xml'))
  prestashop\classes\HelpAccess.php (1 llamada)
  
• Linea 30: const URL = 'http://help.prestashop.com';
  prestashop\classes\ImportModule.php (1 llamada)
  prestashop\classes\Language.php (3 llamada)
  
• Linea 570: if(@fsockopen('www.prestashop.com', 80))
  
• Linea 576: if ($lang_pack = Tools::jsonDecode(Tools::file_get_contents('http://www.prestashop.com/download/lang_packs/get_language_pack.php?version='._PS_VERSION_.'&iso_lang='.$iso_code)))
  
• Linea 589: $flag = Tools::file_get_contents('http://www.prestashop.com/download/lang_packs/flags/jpeg/'.$iso_code.'.jpg');
  prestashop\classes\LocalizationPack.php (5 llamada)
  
• Linea 285: if (!$feed = @simplexml_load_file('http://www.prestashop.com/xml/currencies.xml') AND !$feed = @simplexml_load_file(dirname(__FILE__).'/../localization/currencies.xml'))
  
• Linea 344: if(@fsockopen('www.prestashop.com', 80, $errno = 0, $errstr = '', 10))
  
• Linea 346: if ($lang_pack = Tools::jsonDecode(Tools::file_get_contents('http://www.prestashop.com/download/lang_packs/get_language_pack.php?version='._PS_VERSION_.'&iso_lang='.$attributes['iso_code'])))
  
• Linea 348: if ($content = file_get_contents('http://www.prestashop.com/download/lang_packs/gzip/'.$lang_pack->version.'/'.$attributes['iso_code'].'.gzip'))
  prestashop\classes\WebserviceRequest.php (1 llamada)
  
• Linea 58: protected $_docUrl = 'http://prestashop.com/docs/1.4/webservice';
  

 

Desde luego, y si el servidor lo permite es mejor desactivar allow_url_fopen.

 

Aunque no se porqué me pega que el ataque pueda entrar por los webservices.

[mundor]

Yo como comente más arriba tengo el allow_url_fopen = off en el servidor y me funciona todo, también es cierto que no tengo nada raro, solo una tienda virtual con tpv virtual.

Mi proveedor en mi caso R Cable Galicia me dice que no me lo activa ya que al ser un servidor compartido, deciden ellos.

[jesusruiz]

Hola a todos.

 

No se si ya habéis visto, que Carl publicó hace unas horas, las oportunas explicaciones detalladas que pedíais sobre el ataque que ocurrió hace unos días.

 

El enlace es el siguiente:

Explicación detallada sobre el hackeo

 

Pienso que tampoco debemos de preocuparnos demasiado sobre este asunto. Ha sido un fallo puntual, que tampoco creo que haya que llevar a mayores.

Si en todo este tiempo que Prestashop existe, la unica manera que han encontrado de atacar es a través de su web oficial, es que la seguridad es bastante segura en cuanto al código de la tienda.

Y la web oficial, se revisará a partir de ahora al detalle.

 

Además, se me ocurre que el bloquear todo lo que llegue desde Prestashop, puede ser en cierta manera perjudicial, porque no recibirías notificaciones importantes que puedan ser de vuestro interés.

 

Tengo claro que los primeros interesados en que las cosas funcionen bien y no haya fallos de seguridad, son los propios responsables de Prestashop.

 

Hasta ahora se han portado muy bien con nosotros, nos han atendido a todas nuestras consultas, hemos sido informados de todo lo ocurrido y han sido muy eficientes y rápidos en encontrar la solución al problema.

 

Un saludo a todos.

[EsteEstabaLibre]

Hola Jesúsruiz,

 

¿Las notificaciones no pueden ser por e-mail?.

 

Estoy de acuerdo contigo en que no hay que preocuparse demasiado, aunque seguro que los afectados no opinen igual.

 

No creo que se vuelvan a colar por el mismo sitio y hasta es bueno que haya pasado. Pondrán mas seguridad, hasta leí por ahí que los gurús del sistema estaban volcados con este problema. Eso tiene que ser bueno.

 

Que hijo de la gran hay que ser para venir a dar por a gente que se está buscando la vida. A ver si los trincan y les dan pal pelo por maranguis.

[luismiguel]

Hola a todos.

 

No se si ya habéis visto, que Carl publicó hace unas horas, las oportunas explicaciones detalladas que pedíais sobre el ataque que ocurrió hace unos días.

 

El enlace es el siguiente:

Explicación detallada sobre el hackeo

 

Pienso que tampoco debemos de preocuparnos demasiado sobre este asunto. Ha sido un fallo puntual, que tampoco creo que haya que llevar a mayores.

Si en todo este tiempo que Prestashop existe, la unica manera que han encontrado de atacar es a través de su web oficial, es que la seguridad es bastante segura en cuanto al código de la tienda.

Y la web oficial, se revisará a partir de ahora al detalle.

 

Además, se me ocurre que el bloquear todo lo que llegue desde Prestashop, puede ser en cierta manera perjudicial, porque no recibirías notificaciones importantes que puedan ser de vuestro interés.

 

Tengo claro que los primeros interesados en que las cosas funcionen bien y no haya fallos de seguridad, son los propios responsables de Prestashop.

 

Hasta ahora se han portado muy bien con nosotros, nos han atendido a todas nuestras consultas, hemos sido informados de todo lo ocurrido y han sido muy eficientes y rápidos en encontrar la solución al problema.

 

Un saludo a todos.

Hola jesusruiz.

 

No pongo en duda de ninguna manera la dedicación y la profesionalidad del equipo Prestashop, es más en estos dos años que participo de esta magnifica aplicación para los que nos dedicamos a la venta o al diseño y desarrollo web, siempre que lo hemos necesitado hemos tenido la asistencia del equipo Prestashop o de cualquier otro compañero.

 

Solamente se plantea la cuestión de si es totalmente imprescindible de estar conectados por imperativo absoluto y sin derecho a decisión personal al servidor general y empresarial de Prestashop.

 

Por mi parte creo que se deberia dar la opción al administrador de una tienda, ya que es su negocio y depende economicamente de ello, de activar o no esta opción. De esta manera en caso de una mala manipulación o fallo, esta sería responsabilidad únicamennte suya, y no podría achacarla a nadie.

 

Como ya explico en un post más arriba para estos "indeseables hackers", una sola tienda no es apetecible, pero tratandose de unos 30 ó 40.000 negocios, la cosa cambia.

 

La cuestión es simple, darle la opción a cualquier administrador de su propio negocio de mantener este "cordon umbilical" con el servidor central de Prestashop o no.

 

Para estar en contacto con Prestashop hay infinitas maneras, de hecho este mismo Foro es una de ellas.

 

Gracias por leerme saludos.

[4webs.es]

He visto por ahía arriba una configuración de php.ini, la cual para nada recomiendo, colocar el safe mode en on es usar una función obsoleta que va a desaparecer de php a partir de la 5.4 se va fuera.

 

safe_mode = On

 

Pienso que esto es un problema puntual, todos los cms funcionan de este modo, las actualizaciones de la herramienta aparte de traer nuevas funciones sirven para corregir errores o tapar fallos de seguridad, con la salida de la versión 1.4.4.1 o con el parche se ha solucionado.

[jesusruiz]

Mi opinión es como la de 4webs.es.

 

Como él bien dice casi todos los CMS tienen conexiones hacía las webs/blogs de sus usuarios: WordPress, Joomla, Moodle, etc... es más los programas que utilizamos en el PC, todos tienen conexiones hacía Internet, así que es algo que se está imponiendo.

 

No obstante, también entiendo que os preocupe que un ataque a la web principal de Prestashop, sea aprovechado para tener acceso a todas las tiendas. Pero, yo creo que lo que debemos de preocuparnos más que nada (y creo que aquí ha estado el fallo por parte de Prestashop), es del código fuente de la tienda.

Supongo que en Prestashop han tenido más en cuenta la seguridad del código de la tienda, que la de su propia web.

 

De todas formas, como todos sabemos, esto es informática y como en la vida real, no hay seguridad que exista. Ni hasta los propios bancos españoles, te dan seguridad en las pasarelas de pago y te hacen firmar contratos con cláusulas muy injustas.

 

Un saludo a todos

[tamu secreto]

Pues yo me sumo a la opción de poder escoger si deseo conectar o no con Prestashop.

 

Y sigo apostando a prestashop, me gusta esta plataforma.

 

NO se cuanto han perdido ustedes, pero yo tuve que hacer un gasto de 2mil dolares para recuperar mis cinco ordenadores y mudar todo a linux.

- Tuve que comprar dos ordenadores dual core y otro core 2 duo (con placa ati obvio DRR5)

-Tuve que comprar antivirus Nod32 originales para cada compu, para limpiarla.

- Tuve que enviar muchos archivos a la central NOD 32 al soporte .

- Tuve que compra cinco discos rígidos para utilizarlos de slave y salvar copias.

 

 

ahora corro con cuidado y por que no decirlo paranoico, así que en ningún ordenador nada nada de windows bosta...

 

Pero lo mio fue pro el virus y unos viejos rencores del pasado...

De todos creo que arriba no se la llevaron Vendeta!!!

 

saludos!!

[karlos_r_n]

Hola gracias a todos por aportar, aunque la directiva que llevaba este post se desvió totalmente al final...

Agradesco a los que han sido mis maestros en este foro por su aportación, entre ellos 4webs y Tamu, por cierto ¿como vas con tu reparación por aquel virus? tambien te queria preguntar sobre las lineas que son necesarias en el archivo .htaccess, pues recuerdo un post donde decias algo asi como "vete a escanear a tu hermana" xD, ojala pudieras hacer un tema completo de esto, o alguien más; pues es muy importante el tema de la seguridad...

¿La versión 1.4.4.1 que se anuncia ya tiene integrado el parche herfix.php?

Por ultimo me vuelvo a manifiestar en la necesidad de una desconección con el servidor, ya sea opcional o no pues el día de ayer trabajando en local me estuvó apareciendo estas alertas del SSL de addons.prestashop.com del que adjunto imagenes; sin duda me da pendiente que el problema que se presentó se viera en un futuro reflejado en mis tiendas.