Hace un par de días los usuarios de prestashop hemos recibido un correo avisando de una vulnerabilidad en el código de prestashop versiones 1.4, 1.4.1, 1.4.2, 1.4.3, 1.4.4.
Si tienes alguna versión instalada tendrás que seguir los siguientes pasos para solventar el problema:
1) Verificar si existe o Eliminar un archivo her.php dentro de la carpeta /modules
2)Verificar si existe o Eliminar algun archivo diferente a index.php dentro de las carpetas /upload y /download (ambas)
En nuestro caso encontramos concretamente los siguientes archivos:
../upload/8b7f38e40dae4f0796060418533ebc1c.php
../download/8b7f38e40dae4f0796060418533ebc1c.php
3)Verificar si existe o Eliminar carpetas nuevas de idiomas
En nuestro caso concreto encontramos dos idiomas nuevos instalados por los hackers…
/translations/ja
/translations/pt
4)Verificar o Restaurar el archivo footer.tpl
5)Verificar o Restaurar si no existe la carpeta tools/smartyv2, en caso de haber sido eliminada por los hackers.
El correo que se envian los hackers tiene la siguiente información:
______________________________________________________
From www.mandanwebs.com
To correohacker1, correohacker2
Date Fecha y hora
Subject new shop
Message text
host:mandanwebs.com
ref:http://mandanwebs.com/administracion/index.php
path:/wwwroot/modules/her.php
=====
localhost
nombre de la database
usuariodatabase
password
ps_
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
version de prestashop 1.4.x
=====
correousuario1:password1
correousuario2:password2
correousuario3:password3
=====
Template writed:(verdadero o falso)
=====
Shells:
../upload/8b7f38e40dae4f0796060418533ebc1c.php
../download/8b7f38e40dae4f0796060418533ebc1c.php
_____________________________________________________
Teniendo en cuenta la información que ellos mismos han cogido, es urgente modificar lo siguiente en nuestra tienda:
1)Modificar el password de nuestra database
2)Modificar todos los passwords de todos los administradores de la tienda
3)Modificar el nombre de la carpeta admin
4)Aplicar el parche de seguridad que han generado desde prestashop (descargar) Subirlo al root de la tienda y ejecutarlo www.tutienda.com/herfix.php
5)Eliminar el archivo herfix.php
Esperamos que éste problema afecte a la menor parte posible de usuarios de prestashop y que todo el mundo tenga presente la importancia de hacer una buena gestión de backups periódicos.