Virus encontrado en Prestashop, inyección de código.

Hoy han saltado las alarmas en Prestashop, parece ser que un virus ha afectado a un gran número de tiendas online, ha sido un auténtico debacle lo que ha ocurrido, por lo que os recomendamos comprobéis que no estáis infectados.

24 Ago 2011

Hoy han saltado las alarmas en Prestashop, parece ser que un virus ha afectado a un gran número de tiendas online, ha sido un auténtico debacle lo que ha ocurrido, por lo que os recomendamos comprobéis que no estáis infectados.
Parece ser que el virus aparte de atacar a las tiendas, ataca a todos los usuarios con sistema operativo Windows que visitan la web, por lo que aparte de intentar solucionar el problema en la tienda deberiamos escanear nuestro ordenador.

Según la información que disponemos, accedieron al servidor principal de Prestashop que es el que se encarga de enviar las notificaciones de novedades o noticias a todas las tiendas online que funcionan con su sistema, al modificar el código consiguieron acceder a todos los datos de todas las tiendas e implantar archivos que propagaban el virus tanto en las tiendas como en los ordenadores de los usuarios que iban a comprar. Si no has sido infectado a día de hoy en principio deberías instalar el parche por seguridad.

Para comprobar que no estáis infectados debéis seguir una serie de indicaciones:

  1. Comprobar que no ha sido modificado el pie de página, esto lo podéis ver en:
    /themes/footer.tpl 

    Normalmente el código agregado va en forma de javascript, es importante eliminarlo

  2. Comprobar que las carpetas siguientes no contienen un archivo .php con una cadena de caracteres largos alfanuméricos (md5):
    /download/
    /upload/
  3. Comprobar que las carpetas siguiente no han sido modificadas o borradas:
    /tools/smarty_v2
    /tools/smarty
  4. Comprobar que en la carpeta /modules/ no contiene un php llamado her.php
    Se recomienda incluir en el htacces la siguiente linea que impedirá que se ejecute el virus:
    RewriteRule ^modules/her.php(.*)$ 404.php [QSA,L]

Recordar que es muy importante una vez solucionado el problema, cambiar passwords de todo, bases de datos, accesos a la tienda y ftp, ya que el virus accede a todos los datos de la base de datos.

  1. Para solucionar el problema tendréis que descargaros este archivo y subirlo al directorio raíz del sitioclic aquí.
  2. Ejecutar el archivo visitandolo.
    Por ejemplo: http://www.mitienda.com/herfix.php
  3. Prestashop recomienda renombrar la carpeta de administración y todas las contraseñas.

Os dejamos un vídeo que se indica como realizar el proceso:

[vimeo width=»600″ height=»330″]http://vimeo.com/28144755[/vimeo]

Debemos agradecer la celeridad con la que ha tratado todo el equipo de Prestashop el problema aunque con esto el equipo de Prestashop debe aprender a ser más cauteloso, y por supuesto nosotros solo descargando módulo o temas de páginas de confianza.

Deja una respuesta

4 comentarios
  1. Decimelo a mi !!!
    Un bardo mal sacarlo…
    Sintomas:
    — Te pasa a hidden (ocultos) todos los archivos del disco de sistema
    — Pone el escritorio en negro (y al estar todo oculto no aparece ningún icono)
    — En el boton inicio solo aparece un link trucho a un supuesto Cleaner o Recovery (que invita a pagar para librarte de la infección)

    Como sacarlo:
    — Arrancar en modo A prueba de Fallos
    — Y correr el Malwarebytes -de varios que probe es el que mejor anda-
    — Despues hay una herramienta que se llama TDSSKiller (de Karpesky) que es gratis y ayuda a borrar definitivamente una parte de la infección que se va al MBR (si, ahí mismo… al arranque)

    Bueno, gracias por la info y ojalá el aporte sume !!!

  2. Estamos todos a la espera de la solución. Esperemos que estén a punto, que sea efectiva y que tomen las medidas para que no ocurra de nuevo. Que angustia !!

    Gracias por el post.

  3. Gracias por la ayuda, me ayudaron para desinfectar mi website. Cuando querias loguearte como administrador o como cliente no se podia, asimismo al momento de querer selecionar productos al carrito de compras se borraban, ha sido un ataque no esperado, pero gracias por la ayuda.

  4. Gracias por la ayuda, pero quede en lista de google y ahora no puedo entrar ni al cpanel. Mi antivirus lo pone como atacante de mi ordenador.

    Que consejo me pueden dar!!! Urgente