Carl Favre Posted August 25, 2011 Share Posted August 25, 2011 Ayer por la noche, el sitio web oficial de PrestaShop, prestashop.com, fue hackeado, lo que produjo como consecuencia un script malintencionado destinado a transcribir la información de noticias en el Back Office de las tiendas PrestaShop. Todo el equipo de PrestaShop nos hemos dedicado a identificar y solucionar este problema lo más rápido que nos ha sido posible. Este problema ha sido solucionado completamente. ¿Ha sido infectada mi tienda? Esto sólo afecta a las versiones PrestaShop 1.4/1.4.1/1.4.2/1.4.3/1.4.4, pero no todas las tiendas que cuentan con estas versiones han sido afectadas necesariamente. Si usa una de estas versiones, por favor verifique cualquiera de los siguientes síntomas: • Un archivo her.php se encuentra en la raíz de la carpeta /modules • Un archivo .php diferente del index.php se encuentra en las carpetas upload y download • El archivo footer.tpl ha sido modificado. • La carpeta tools/smartyv2 ha sido eliminada Si alguna de estas condiciones se cumple, su tienda puede haber sido infectada. Sin embargo, es fácil de arreglar con sólo seguir las instrucciones que se indican a continuación. ¿Qué debo hacer? 1. Cambiar la contraseña de la base de datos (póngase en contacto con su servicio de hosting, si no sabe cómo hacerlo). Una vez hecho esto, abra el archivo settings.inc.php que encontrará en la carpeta /config y cambie la contraseña antigua por la nueva. Vea la siguiente imágen para saber cómo hacer este proceso: 2. Descargue la revisión publicada por PrestaShop haciendo clic aquí 3. Suba esta revisión a la carpeta raíz de su tienda utilizando su cliente de FTP preferido (Filezilla, Transmit, etc...) 4. Diríjase a la url http://www.mitienda.com/herfix.php (ojo, hay que sustituir la url que aparece aquí por la de su tienda). 5. La solución al problema será aplicada en ese momento. Por favor, no olvide eliminar el archivo herfix.php previamente subido en la raiz de su tienda. 6. Cambie el nombre de la carpeta admin. 7. Cambie la contraseña de todos los administradores de la tienda Si usted necesita ayuda o tiene alguna pregunta adicional, puede enviarnos un email a [email protected]. Le responderemos tan pronto como sea posible. Todo el equipo de PrestaShop quiere agradecer profundamente a la comunidad su ayuda en la identificación de este problema. Quiero dar las gracias a jesusruiz por su gran trabajo y ayuda, él tradujo todo el texto y nos ayudó a mantener informada a la comunidad española. Gracias de nuevo. --------- 1) Mi tienda no ha sido afectada, es necesario realizar este proceso?. Todas las versiones 1.4 necesitan aplicar la revisión. Es decir el proceso de descargar y ejecutar el archivo herfix publicado por Prestashop. Incluso si su tienda no ha sido infectada. También es necesario, que se cambie las contraseñas de la base de datos, de los empleados y administradores de la tienda. 2) He utilizado otro método para resolver el problema que no es el de esta guía. Mi tienda funciona perfectamente, ¿debo yo seguir y realizar esta solución?. Sí, debe utilizar esta solución. 3) Acabo de descargar la versión 1.4.4 desde Prestashop.com, ¿es necesario seguir los pasos descritos en esta guia? Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4 4) Acabo de actualizar mi tienda a la versión 1.4.4, ¿es necesario seguir los pasos descritos en esta guia? Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4 Link to comment Share on other sites More sharing options...
dulcedeleon Posted August 25, 2011 Share Posted August 25, 2011 Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea???? Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada podéis ayudarme por favor??? Link to comment Share on other sites More sharing options...
errogue Posted August 25, 2011 Share Posted August 25, 2011 Buenos dias. ¿Lo has descargado en local para trabajar con el? Descargalo en modo local lo modificas, modificas los derechos de escritura en el server y lo subes despues. Verifica que a nivel superior de carpetas y de directorios no tengas protegido directorios contra escritura, de manera que luego el nivel interno no te permita actualizarlo y por eso no puedas cambiar los derechos en el settings.inc.php Espero te pueda ser de ayuda. Saludos. Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea???? Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada podéis ayudarme por favor??? Link to comment Share on other sites More sharing options...
gabrire Posted August 25, 2011 Share Posted August 25, 2011 Hola, No puedo modificar el archivo settings.inc.php de la carpeta /config, le doy permisos de escritura y me deniega ... alguna idea???? Ya cambié la pss de la bbdd pero hasta que no la cambie tengo mi tienda inhabilitada podéis ayudarme por favor??? Hola, para poder modificarlo tienes que bajartelo previamente con tu gestor de ftp. Lo modificas y posteriormente lo vuelves a subir. A ver si me podeis ayudar ahora a mi. Acabo de hacer todos los pasos pero no me deja cambiarle la contraseña al administrador, cuando me meto en empleados y le doy a modificar al administrador, cuando pongo una contraseña diferente a la que tengo actualmente, me da error, solo me de aceptado si pongo la k tenia anteriormente. Como podria cambiarle la contraseña al administrador??? Un saludo y muchisimas gracias Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola. He descargado el herfix.php y lo he subido al servidor. He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"... ¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda? Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola. He descargado el herfix.php y lo he subido al servidor. He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"... ¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda? Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores. Yo todavía no he realizado el proceso, ahora lo realizaré. De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada. ¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?. De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga. Un saludo. Link to comment Share on other sites More sharing options...
illohacker Posted August 25, 2011 Share Posted August 25, 2011 yo lo he hecho, me sale OK, pero quiero saber si sigo infectado, alguien me puede ayudar? Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola. He descargado el herfix.php y lo he subido al servidor. He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"... ¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda? Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores. Yo todavía no he realizado el proceso, ahora lo realizaré. De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada. ¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?. De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga. Un saludo. Mi tienda está en un subdominio y en una carpeta, algo así como: http://demo.dominio.com/tienda He subido herfix.php a la raíz de /tienda, así que la URL debería ser http://demo.dominio.com/tienda/herfix.php ¿Es correcto? ¿Debería ver otra cosa que no sea la página de "error 404"? Gracias, jesusruiz, por tu respuesta y por tus traducciones. Saludos. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola. He descargado el herfix.php y lo he subido al servidor. He abierto la URL http://mitienda.com/herfix.php (URL de ejemplo) y obtento la página de "error 404"... ¿Es eso lo que tiene que suceder? ¿Ya está aplicado el parche a mi tienda? Gracias al equipo Prestashop por la rapidez con la que ha resuelto el problema, y a los traductores. Yo todavía no he realizado el proceso, ahora lo realizaré. De todas formas dudo que se obtenga una página de "error 404", ya que esto indica normalmente que la página no ha sido encontrada. ¿Has subido el archivo herfix, a la raíz de Prestashop?. ¿Tu tienda tiene una URL directa o tiene una subcarpeta para Prestashop? Es decir, ¿es de tipo www.mitienda.com o de tipo www.mitienda.com/prestashop/?. De todas formas, si alguien ha realizado el proceso te comentará lo que sale cuando se ejecuta ese archivo. Si no te responde nadie, te responderé en poco tiempo, cuando yo lo haga. Un saludo. Mi tienda está en un subdominio y en una carpeta, algo así como: http://demo.dominio.com/tienda He subido herfix.php a la raíz de /tienda, así que la URL debería ser http://demo.dominio.com/tienda/herfix.php ¿Es correcto? ¿Debería ver otra cosa que no sea la página de "error 404"? Gracias, jesusruiz, por tu respuesta y por tus traducciones. Saludos. Exacto, es correcto Tienes que incluir tu subdominio, pruebalo ahora y nos cuentas. Yo estoy en ello, todavía no he tenido tiempo de realizar el proceso. Un saludo. Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola a todos. El resultado de abrir la url http://dominio.com/tienda/herfix.php es una página en la que simplemente se ve "OK" sobre fondo blanco. Si a alguien le sale otra cosa (como me ha pasado a mi) se supone que no está bien aplicado el parche. En la tienda en la que sí me ha funcionado, la tienda no está en un subdominio, sólo está en una carpeta distinta a la raíz. Saludos. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola a todos. El resultado de abrir la url http://dominio.com/tienda/herfix.php es una página en la que simplemente se ve "OK" sobre fondo blanco. Si a alguien le sale otra cosa (como me ha pasado a mi) se supone que no está bien aplicado el parche. En la tienda en la que sí me ha funcionado, la tienda no está en un subdominio, sólo está en una carpeta distinta a la raíz. Saludos. Pues entonces, creo que el proceso se ha realizado con éxito FELICIDADES. Ahora te toca cambiar todas las contraseñas de empleados y administradores de la tienda. Así como la contraseña de la base de datos. Un saludo. Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola. Bueno, en la tienda que tengo en http://demo.dominio.com/tienda no me quiere funcionar el parche. Cuando venga mi compañero, que sí controla estas cosas de servidores y demás, ya veremos por qué no se aplica el parche. Saludos. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola. Bueno, en la tienda que tengo en http://demo.dominio.com/tienda no me quiere funcionar el parche. Cuando venga mi compañero, que sí controla estas cosas de servidores y demás, ya veremos por qué no se aplica el parche. Saludos. Creí que lo habías solucionado. Bueno, pues cuentanos luego, si te sigue fallando y la pregunto a Carl, si él sabe que hay que hacer en estos casos. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 25, 2011 Author Share Posted August 25, 2011 As jesusruiz says, if you have some problems with the fix, do not hesitate to contact me or some other members of the PrestaTeam. Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola. Bueno, ya está solucionado... Me había hecho un lío con el Filezilla, y había subido herfix.php a una carpeta que no era. Ahora sí: abriendo http://demo.dominio.com/tienda/herfix.php me ha dado "OK". Saludos. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola. Bueno, ya está solucionado... Me había hecho un lío con el Filezilla, y había subido herfix.php a una carpeta que no era. Ahora sí: abriendo http://demo.dominio.com/tienda/herfix.php me ha dado "OK". Saludos. Me alegro Yo todavía no he podido realizar el proceso, la web de mi Hosting está fallando y no puedo acceder. Así que a esperar que solucionen el problema que tengan. Link to comment Share on other sites More sharing options...
E-kipper Posted August 25, 2011 Share Posted August 25, 2011 Hola. Espero que tu alojamiento funcione bien rápido y puedas poner el parche. Ahora me queda una duda tonta: ¿tengo que volver a crear la carpeta smartyv2, o da igual? Saludos. Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola. Espero que tu alojamiento funcione bien rápido y puedas poner el parche. Ahora me queda una duda tonta: ¿tengo que volver a crear la carpeta smartyv2, o da igual? Saludos. Si fué eliminada, tendrás que volverla a poner. Si no fué eliminada, no hace falta que hagas nada más. Link to comment Share on other sites More sharing options...
Luispa Posted August 25, 2011 Share Posted August 25, 2011 He realizado todo el proceso y ha quedado limpio. Pero tengo una pregunta que a buen seguro es posible sea rechazada en este foro (Me gustaría que no). ¿Como es posible que un fallo de seguridad en los servidores de Prestashop afecte a todas nuestras tiendas?. Parece ser que Prestashop tiene acceso a nuestros paneles de control a nuestros datos... ¿Es esto legal?. Nuestras tiendas no son estancas y esto me preocupa. Señores de Prestashop, he comprado muchos de sus módulos y me parece que hacen ustedes un gran trabajo. Pero sinceramente, considero que la información "confidencial" de nuestros comercios no debiera de viajar por la red, al menos sin saberlo los propios administradores. Les pido encarecidamente que cierren esta puerta y que preserven la privacidad de nuestros datos. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 25, 2011 Author Share Posted August 25, 2011 Hi Luispa, An answer has been given about your questions : http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/page__view__findpost__p__616206 Link to comment Share on other sites More sharing options...
karlos_r_n Posted August 25, 2011 Share Posted August 25, 2011 1) Mi tienda no ha sido afectada, es necesario realizar este proceso?. Todas las versiones 1.4 necesitan aplicar la revisión. Es decir el proceso de descargar y ejecutar el archivo herfix publicado por Prestashop. Incluso si su tienda no ha sido infectada. También es necesario, que se cambie las contraseñas de la base de datos, de los empleados y administradores de la tienda. 2) He utilizado otro método para resolver el problema que no es el de esta guía. Mi tienda funciona perfectamente, ¿debo yo seguir y realizar esta solución?. Sí, debe utilizar esta solución. 3) Acabo de descargar la versión 1.4.4 desde Prestashop.com, ¿es necesario seguir los pasos descritos en esta guia? Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4 4) Acabo de actualizar mi tienda a la versión 1.4.4, ¿es necesario seguir los pasos descritos en esta guia? Sí, es necesario que siga esta guía, porque este fallo afecta a la versión 1.4.4 Hola buenos días, Esta última parte que incluyes en este post el cual te agradezco mucho, no está incluido en el boletín oficial de Prestashop enviado el día de ayer ¿Porque lo has agregado? El boletín claramente indica los síntomas para la detección del problema generado por el hackeo al sitio oficial de Prestashop los cuales se refieren y manifiestan en la inclusión de archivos .php y modificaciones al archivo footer.tpl, así como la eliminación de la carpeta smartyv2; todo esto implantado y generado en algunas tiendas V1.4 a través de la conectividad constante que el software tiene con el sitio oficial, cosa que seguro todos hemos entendido como "consecuencias del ataque" pero en esto que agregas tú (seguramente con buenas intenciones lo cual te agradezco) me parece que no está dentro del contexto en que lo presenta dicho boletín (que por cierto es el último que me ha llegado) y lejos de ser la revisión que propones es específicamente una de las soluciones al problema descritas en dicha noticia. Refiriéndome pues a aquellas tiendas V1.4 que no presentan los “signos y síntomas” consecuentes al hackeo en cuestión, ¿Por qué aplicar medicación a una enfermedad asintomática por no decir inexistente? Lo anterior lo escribo con el debido respeto y con la única intención de aclararme la duda de ¿donde es que salió ese “agregado”? pues no lo veo en el boletín, así mismo quiero alentar a aquellas personas que se hayan percatado de alguna anomalía en su tienda y que tengan dichos archivos alterados para que den testimonio de ¿cuál es el daño que este hackeo ha generado?. Planteo además la evidente cuestión de si ¿es segura la permanente conectividad con el sitio oficial de Prestashop? En un nuevo post que ojala comenten. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 25, 2011 Author Share Posted August 25, 2011 Hi karlos, Unfortunately I do not speak spanish and jesusruiz helps me with the translation. What I understand from Google Translation: Many questions were asked on the forums that were not answered in the initial email so we added these questions and answers at the end of the announcement. About the other question, Nebojsa gave all the details in the following thread: http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/page__view__findpost__p__616206 Hope it helps. Link to comment Share on other sites More sharing options...
Cruck Posted August 25, 2011 Share Posted August 25, 2011 Realizado todo el proceso. Supongo que ya no estará infectada y estará protegida. Gracias por la rápida actuación. Saludos Link to comment Share on other sites More sharing options...
karlos_r_n Posted August 25, 2011 Share Posted August 25, 2011 He realizado todo el proceso y ha quedado limpio. Pero tengo una pregunta que a buen seguro es posible sea rechazada en este foro (Me gustaría que no). ¿Como es posible que un fallo de seguridad en los servidores de Prestashop afecte a todas nuestras tiendas?. Parece ser que Prestashop tiene acceso a nuestros paneles de control a nuestros datos... ¿Es esto legal?. Nuestras tiendas no son estancas y esto me preocupa. Señores de Prestashop, he comprado muchos de sus módulos y me parece que hacen ustedes un gran trabajo. Pero sinceramente, considero que la información "confidencial" de nuestros comercios no debiera de viajar por la red, al menos sin saberlo los propios administradores. Les pido encarecidamente que cierren esta puerta y que preserven la privacidad de nuestros datos. Me gusta tu comentario, y obviamente tienes razón pues como empresa Prestashop tiene sus obligaciones y responsivas (no veo porque debiera molestar tu comentario si es la verdad) yo tambien he comprado muchos modulos y varios themes y mis clientes podrian obligarme a algo a mi debido a cualquier fallo en su sitio. Si bien este software me encanta, ya me habia percatado de esta posibilidad de hackeo. Yo creo que de manera obligada la V1.5 que ya fué anunciada, debe de desconectar las tiendas del sitio empresarial pues esto ha sido la raiz del problema... Ojala los franceses afectado hagan demandas para obligar a los desarrolladores a incluir nuevas medidas de seguridad en todas las versiones y ¿por que no? generar archivos que incluyan una desconexion con el sitio empresarial!!! Al que no le guste mi comentario pues nimodo, soy cliente y es mi derecho y me amparan las leyes de comercio frances puesto que las compras se llevan mediente paypal Francia... Link to comment Share on other sites More sharing options...
jesusruiz Posted August 25, 2011 Share Posted August 25, 2011 Hola buenos días, Esta última parte que incluyes en este post el cual te agradezco mucho, no está incluido en el boletín oficial de Prestashop enviado el día de ayer ¿Porque lo has agregado? El boletín claramente indica los síntomas para la detección del problema generado por el hackeo al sitio oficial de Prestashop los cuales se refieren y manifiestan en la inclusión de archivos .php y modificaciones al archivo footer.tpl, así como la eliminación de la carpeta smartyv2; todo esto implantado y generado en algunas tiendas V1.4 a través de la conectividad constante que el software tiene con el sitio oficial, cosa que seguro todos hemos entendido como "consecuencias del ataque" pero en esto que agregas tú (seguramente con buenas intenciones lo cual te agradezco) me parece que no está dentro del contexto en que lo presenta dicho boletín (que por cierto es el último que me ha llegado) y lejos de ser la revisión que propones es específicamente una de las soluciones al problema descritas en dicha noticia. Refiriéndome pues a aquellas tiendas V1.4 que no presentan los “signos y síntomas” consecuentes al hackeo en cuestión, ¿Por qué aplicar medicación a una enfermedad asintomática por no decir inexistente? Lo anterior lo escribo con el debido respeto y con la única intención de aclararme la duda de ¿donde es que salió ese “agregado”? pues no lo veo en el boletín, así mismo quiero alentar a aquellas personas que se hayan percatado de alguna anomalía en su tienda y que tengan dichos archivos alterados para que den testimonio de ¿cuál es el daño que este hackeo ha generado?. Planteo además la evidente cuestión de si ¿es segura la permanente conectividad con el sitio oficial de Prestashop? En un nuevo post que ojala comenten. Hola y antes de nada disculpa la tardanza en responder a tus preguntas, pero he estado atendiendo otros asuntos y hasta ahora no he terminado. Paso a contestar tus dudas: Carl y yo decidimos crear un pequeño apartado con preguntas que fueran a ser frecuentes. Esos cuatro puntos, creimos que eran necesarios aclararlos en la guia española. Primeramente, porque ya se habían preguntado esas cuestiones en varias ocasiones en el foro (antes de publicar la guia con esos 4 puntos). Segundo porque no hay demasiados usuarios en el Foro español que puedan estar atendiendo a todas las preguntas que les hacemos al equipo de Prestashop y es necesario dar rapidez y soluciones instantáneas. Y por último, porque como bien ha comentado Carl, los responsables de Prestashop no dominan el idioma español y no pueden estar traduciendo y contestando con errores de idioma a los usuarios españoles. Esto último puede crear todavía más, una mayor confusión. A la pregunta de, por qué hay que aplicar el parche a tiendas no afectadas, es básicamente porque aunque una tienda no haya sido afectada el problema sigue estando presente. Y como en la informática es muy importante la seguridad, pues hay que hacer las actualizaciones del código necesarias para que no surjan estos problemas. A las últimas preguntas que me planteas, Carl publicará en las próximas horas un Post Oficial, explicando qué consecuencias tuvo el ataque y confirmando la alta seguridad que tiene Prestashop tras aplicar el parche de la solución. Si tienes alguna duda más, no dudes en exponerla. Un saludo. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 26, 2011 Author Share Posted August 26, 2011 Here is the Spanish translation of Nebojsa's post made by jesusruiz, hope it answers all your questions : En primer lugar, quiero dar las gracias a PrestaTeam y a la Comunidad que fueron capaces de movilizarse ayer para corregir el problema en pocas horas. Me he tomado tiempo para leer todos y cada uno de sus mensajes, y quiero aportar la mayor cantidad de información posible a todas vuestras preguntas. 1. Tan pronto como nos dimos cuenta del fallo, empezamos buscando el origen. Se estableció contacto con varios propietarios de tiendas que habían encontrado el problema en sus tiendas, nos dieron acceso a ellas, y juntos tratamos de reproducir éste en varios equipos de la casa. Se identificaron varias posibilidades: 1. Existía una vulnerabilidad de seguridad en el software Prestashop que permitia la inyección de un script malicioso en las tiendas. 2. Un troyano que modificaba el código antes de enviarse por FTP. 3. Un troyano que recuperaba el acceso por FTP y permitía a otro script cambiar la solución. 4. Existía una vulnerabilidad de seguridad en el software de los servidores. Y finalmente logramos encontrar la respuesta: el problema era de nuestro sitio web, www.prestashop.com. Así que empezamos por corregir el problema en prestashop.com, bloqueando el ataque, y luego dividimos el equipo en tres: 1. Un equipo para estudiar y analizar con mayor precisión qué era y hacía exactamente el script a fin de evaluar los daños que causaba; 2. Un equipo para crear la solución, y probarla en varias tiendas afectadas; 3. Otro equipo era responsable de verificar el servidor PrestaShop en profundidad, bloquear el servidor y rastrear de nuevo el origen del hack para capturar la mayor información posible para que nosotros puedieramos presentar un informe oficial. 2. Sí, www.PrestaShop.com había sido comprometida, permitiendo a un atacante poder explotar el sitio para inyectar un script malicioso y, en consecuencia a este, ejcutar otro script en las tiendas remotas. 3. Este "físura" se debe a que nosotros no habíamos verificado la información de nuestro propio sitio en términos de software. Este defecto de diseño se ha solucionado con el parche que le proporcionamos ayer. Este parche soluciona el problema y protege su tienda de futuros ataques. 4. El software es tan completamente seguro como que yo estoy escribiendo esto, y el script malicioso se vio contrarrestado a la tarde de ayer alrededor de las 7:00 a.m. hora del este. 5. Las consecuencias para las tiendas afectadas eran las siguientes: 1. El script consegue acceder a la base de datos y a la tabla "Empleados", y se envía por correo a una dirección anónima, por lo que os hemos pedido que cambiéis la contraseña de su base de datos y la contraseña de todos sus empleados en el back office de su tienda. 2. El script añade varios puntos de entrada ("backdoors") en las carpetas download y upload, para navegar por el directorio de su tienda, estos scripts son eliminados por el parche. 3. El script malicioso eliminaba el directorio tools/smarty_v2, este directorio es restablecido por el parche. 4. La consecuencia directa era una suspensión temporal de su sitio, hasta la aplicación de los parches de seguridad. 6. ¿Qué he de hacer? Es esencial que aplique rápidamente el parche de seguridad si ha sido afectado, porque los datos siguen siendo vulnerables, Si no se ha visto afectado, debe aplicar el parche de seguridad como medida preventiva. El equipo de PrestaShop está atendiendo sus consultas y se encuentra a su disposición para cualquier pregunta. Estamos trabajando activamente para responderle de forma individual y ayudarle a resolver cualquier problema. A vuestra disposición. Link to comment Share on other sites More sharing options...
Platin Posted August 26, 2011 Share Posted August 26, 2011 ¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?. Gracias. Link to comment Share on other sites More sharing options...
Prescol Posted August 26, 2011 Share Posted August 26, 2011 ¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?. Gracias,vinilos Si, recomiendan que todos, afectados o no apliquen el parche ya que éste corrige también ligeras vulnerabilidades en la tienda y además te previene de un posible ataque del mismo sistema cuando tu web pase al servidor. Link to comment Share on other sites More sharing options...
Platin Posted August 26, 2011 Share Posted August 26, 2011 ¿Si estoy preparando la tienda en local y no estoy infectado? ¿ es necesario aplicar el parche?. Gracias. Si, recomiendan que todos, afectados o no apliquen el parche ya que éste corrige también ligeras vulnerabilidades en la tienda y además te previene de un posible ataque del mismo sistema cuando tu web pase al servidor. Gracias prescol. Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados? lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general. ¿Realmente es esto lo que hay que cambiar en el servidor local? Host localhost Port xxxx User xxxxxx Password --> xxxxxx <--- Link to comment Share on other sites More sharing options...
Prescol Posted August 26, 2011 Share Posted August 26, 2011 Gracias prescol. Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados? lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general. ¿Realmente es esto lo que hay que cambiar en el servidor local? Host localhost Port xxxx User xxxxxx Password --> xxxxxx <--- No. Solo aplicar el parche. El cambio de contraseñas es para tiendas susceptibles de haber sido víctimas del ataque. Link to comment Share on other sites More sharing options...
Platin Posted August 26, 2011 Share Posted August 26, 2011 Gracias prescol. Entonces ¿también tengo que cambiar la contraseña de la base de datos, renombrar la carpeta adminxxxx, y cambiar contraseñas de administrador y empleados? lo comento porque en local tengo varios proyectos con bases de datos y todos tienen la misma contraseña, sería una faena tener que retocar código por cambiar la contraseña de la base de datos general. ¿Realmente es esto lo que hay que cambiar en el servidor local? Host localhost Port xxxx User xxxxxx Password --> xxxxxx <--- No. Solo aplicar el parche. El cambio de contraseñas es para tiendas susceptibles de haber sido víctimas del ataque. Ok, gracias. Link to comment Share on other sites More sharing options...
Arielbjj Posted August 29, 2011 Share Posted August 29, 2011 Una consulta ya he aplicado el parche y echo los cambios, supongo qeu la pagina ya no esta infectada. Pero al intentar ingresar me aparece este mensaje de google(imagen adjunta), como puedo hacer para que no aparesca ? Link to comment Share on other sites More sharing options...
Prescol Posted September 2, 2011 Share Posted September 2, 2011 Una consulta ya he aplicado el parche y echo los cambios, supongo qeu la pagina ya no esta infectada. Pero al intentar ingresar me aparece este mensaje de google(imagen adjunta), como puedo hacer para que no aparesca ? Has borrado los archivos que generaba el ataque en las carpetas Uploads y Downloads? Link to comment Share on other sites More sharing options...
Platin Posted September 3, 2011 Share Posted September 3, 2011 Hola Prescol. Siguiendo con el tema parche: apliqué el parche en local y funcionó bien. Ahora he subido a mi servidor de internet los archivos de la versión que tenia en local, 1.4.017 y he actualizado a 1.4.4.1. ¿ Debo volver a aplicar el parche?. Muchas gracias. Link to comment Share on other sites More sharing options...
elber73 Posted September 9, 2011 Share Posted September 9, 2011 Complementando la pregunta que hace al final Platin... ¿Hay que instalar el parche también a una instalación 1.4.4.1 nueva? En el CHANGELOG de la versión 1.4.4.1 se menciona un fix de seguridad "security fix on AdminHome file" que supongo que será este mismo, por lo que ¿no habría que aplicar el parche a la 1.4.4.1 porque ya viene parcheado? Sin embargo, al principio de la noticia se comenta que hay que aplicar el parche a todas las versiones 1.4 ¿mmm? Alguien que nos aclare las dudas por favor... Muchas gracias. Link to comment Share on other sites More sharing options...
Platin Posted September 10, 2011 Share Posted September 10, 2011 Pues si, seria interesante que alguien nos conteste. Muchas gracias. Link to comment Share on other sites More sharing options...
RubenFD Posted September 22, 2011 Share Posted September 22, 2011 Hola, os explico mi caso lo más concreto posible: http://espardenyes.zobyhost.com/prestashop/ Esa es mi tienda, realizada para mi proyecto final de carrera. La hice en local y la subi a un host gratuito. En agosto, se infecto con el troyano JS Redirector, recibi el mail de Prestashop y lo unico que encontre fueron archivos extraños en las carpetas /download y /upload, los borré, pero no usé el parche (esto en local y antes de subirla). El Avast, me seguía diciendo que estaba infectado, pero no hice caso ya que solo afectaba a la velocidad de carga de la web (en local). Ahora, la he subido al servidor web y el Avast sigue diciendo que esta infectada. Aunque no tengo el archivo her.php, descargué el herfix.php, lo subi, y lo usé. OK. Pero el Avast sigue dándome error. Si entrais en la web lo podreis comprobar. He leido lo del cambio de contraseñas y el renombrar el admin. He cambiado la contraseña de administrador, pero no la de la Base de datos, ya que no sé hacerlo. Si en el archivo seetings.inc.php, cambio la contraseña de la Base de datos, luego no puedo entrar en la web pq dice que no linka a la database. Y si entro en el Back Office y en Preferencias/Base de datos le cambio la contraseña, y luego entro en el archivo anterior y le pongo la misma contraseña, tengo miedo de cagarla y no poder acceder a la web más. Entrego el PFC el mes que viene, entendedme, podria presentarlo con el troyano y explicar los motivos, pero si no estuviera, seria mejor (desactivar el antivirus durante la presentacion del proyecto ya lo he pensado, pero...) Un saludo Link to comment Share on other sites More sharing options...
elber73 Posted September 22, 2011 Share Posted September 22, 2011 RubenFD, mi antivirus también salta al acceder a tu tienda, así que algo te debe quedar aún. Yo lo que haría es descargarme de nuevo la misma versión de tu tienda desde la web de Prestashop, y luego comparar todos los archivos con los de tu servidor con alguna utilidad que compare contenido, por ejemplo yo siempre utilizo "Synchronize It!" (http://www.grigsoft.com) (aunque sirve cualquiera que compare el contenido, eso sí, tarda bastante tiempo). Con eso te saldrá si tienes algún fichero php o javascript modificado por el troyano, lo reemplazas por el bueno y ya está. También debes revisar tu archivo .htaccess porque los troyanos suelen meter cosas allí para tomar el control. Espero te sirvan de ayuda mis recomendaciones. Link to comment Share on other sites More sharing options...
RubenFD Posted September 22, 2011 Share Posted September 22, 2011 Hola elber73, gracias por responderme. Me he descargado el Synchronize It, y comparo el prestashop recien descargado pero no instalado (osea, solo los archivos descomprimidos) con el prestashop en local y que tiene el troyano. Y basicamente me aparece que el "index.php" de la carpeta "img" ocupa 1.308 bytes en el descargado y 1.307 en la local, y este se repite en todas las subcarpetas de "img". Luego aparecen cambios en el "config.xml" del modulo "vatnumber" que no he tocado para nada y cambios en algun .tpl del modulo "permanentlinks". Estos ultimos lo entiendo porque tuve que modificarlos para que en la tienda, no aparecieran el "favoritos", "mapa", etc. Debo sobreescribir todos estos archivos? Link to comment Share on other sites More sharing options...
elber73 Posted September 22, 2011 Share Posted September 22, 2011 Yo compararía la copia local limpia contra la copia del servidor por ftp. Dudo mucho que un troyano se te haya metido en tu instalación local, a no ser que hayas copiado en algún momento lo que tenias en el servidor a tu copia local con lo que habrás copiado el troyano. De cualquier forma, lo más fiable es comparar la copia limpia recién descargada contra la copia del servidor vía ftp. Al Syncrhonize It le puedes meter los datos del ftp remoto y entonces te hará la comparación como te digo. Ponle en la configuración que te compare por contenido. Y no machaques a lo bestia sin mirar antes que seguramente te cargarás tu tienda online. Comprueba antes las diferencias entre un archivo y otro. Normalmente las modificaciones de un troyano saltan a la vista. El compare es simplemente para identificar de forma rápida los archivos que pueden contener el código malicioso, y este código malicioso no es cosa de un byte o dos, salta a la vista enseguida. Link to comment Share on other sites More sharing options...
RubenFD Posted September 22, 2011 Share Posted September 22, 2011 Gracias elber73, ahora lo haré. Aunque he de decirte que antes de subir la web al servidor, trabajé en local y fue cuando hackearon prestashop y Avast detectaba ese troyano cuando testeaba la web en local. Osea que ya se infectó trabajando en local. Estos hackers cada vez trabajan mejor! XD Link to comment Share on other sites More sharing options...
petete2008 Posted October 4, 2011 Share Posted October 4, 2011 Gracias por la información!! Link to comment Share on other sites More sharing options...
nonocampa Posted December 16, 2011 Share Posted December 16, 2011 Hola empiezo en esto del ecommerse y me ha preocupado un poco lo del virus. La version q teneis en descarga es PrestaShop v.1.4.6.2 (stable) . ¿ quiere esto decir q esta version ya tiene aplicado el parche ? ¿ es descargable con tranquilidad y seguridad ? gracias por las respuesta. salu2 Link to comment Share on other sites More sharing options...
petete2008 Posted December 18, 2011 Share Posted December 18, 2011 Asi es, tiene corregido el bug de seguridad, otras correcciones y mejoras. Link to comment Share on other sites More sharing options...
nonocampa Posted December 20, 2011 Share Posted December 20, 2011 gracias por la respuesta. salu2 Link to comment Share on other sites More sharing options...
Recommended Posts