Vulnerabilidad en Prestashop ante el malware XsamXadoo Bot. Solución.

Si tienes una tienda de Prestashop, puede que hayas recibido un aviso que tu tienda puede ser vulnerable ante ataques del malware XsamXadoo Bot. Mediante este malware, los atacantes pueden tomar el control de tu página web y acceder a tus datos.

No es un ataque exclusivo a Prestashop, muchos gestores y módulos de diferentes entornos, creados en php con la herramienta PHPUnit, pueden ser vulnerables. Pero se ha detectado en Prestashop estos días.

En qué consiste la vulnerabilidad.

Este ataque hace uso de un fallo de seguridad conocido desde el 2017: el CVE-2017-9841. Este fallo está presente en la herramienta PHPUnit, un framework que usan los desarrolladores de php para probar y crear sus módulos y aplicaciones. La vulnerabilidad se ha corregido en las versiones de PHPUnit 7.5.19 y 8.5.1 , pero las anteriores la tienen. Y muchos creadores de Prestashop usan esta herramienta.

Lo curioso es que los desarrolladores dejan ciertas carpetas y ficheros de este framework cuando pasan los módulos a producción. Carpetas y ficheros que ya no son necesarios porque son sólo para desarrollo, pero que dejan ahí. Y estos son los que contienen el fallo de seguridad.

Cómo solucionarlo.

Lo que tienes que hacer es borrar todos los directorios phpunit tanto de Prestashop como de los módulos (recuerda, la carpeta es sólo para desarrollo).

  • Si gestionas un servidor Linux puedes hacer esto con este comando:

    find . -type d -name "phpunit" -exec rm -rf {} \;

    En caso de no tener acceso a terminal, puedes buscar los directorios por FTP. Para ello.
  • En la carpeta de Prestashop busca la carpeta Vendor. Dentro de esa carpeta mira si tiene otra que se llame phpunit. Si es así, borra esa carpeta.
  • Ahora entra en cada carpeta de módulo. Busca la carpeta Vendor dentro de cada módulo. Si esta carpeta incluye el directorio phpunit borralo.

Cómo saber si te han infectado.

Es difícil porque pueden dejar diferentes rastros. Pero
1) mira en tu servidor a ver si tienes los siguientes ficheros:

File namemd5
XsamXadoo_Bot.php0890e346482060a1c7d2ee33c2ee0415 or b2abcadb37fdf9fb666f10c18a9d30ee
XsamXadoo_deface.php05fb708c3820d41c95e34f0a243b395e
0x666.phpedec4c4185ac2bdb239cdf6e970652e3
f.php45245b40556d339d498aa0570a919845

2) Entrar en Parámetros Avanzados->Información para ver si al final te indica si se ha modificado algún fichero del core de Prestashop. Esto también puede dar una pista de si te han infectado.

Para más información lee el anuncio de Prestashop y el artículo más detallado al respecto.

Cómo colocar un cristal templado en un móvil. Vídeo con consejos.

Hoy os vamos compartir un vídeo sobre cómo colocar un cristal templado en un móvil.
Este un componente esencial hoy en día para reducir el riesgo de roturas o arañazos en el cristal. Cuesta muy poco comprarlo, y es sencillo de colocar (aunque siempre puedes ahorrarte problemas si contratas a alguien que lo coloque).

Para aquellos que se atrevan a colocarlo (no entraña ningún riesgo para el móvil) os dejamos el proceso entero, con consejos sobre cómo hacerlo y explicaciones de las piezas que suelen traer.
No hace falta ningún conocimiento técnico previo. Sólo ganas.
Recordad que tenéis que comprar el cristal compatible con vuestro móvil.

Como siempre, al grabar no salió perfecto, y tuvimos que arreglar alguna burbuja. Normalmente si lo colocas bien y presionas en el centro se coloca casi sin burbujas. Pero eso nos sirvió para explicaros cómo se pueden quitar si os pasa.

Explicación sencilla del ataque Man in the Middle. Cuidado en redes públicas o compartidas.

Dentro de la serie de artículos y vídeos sobre seguridad para todos los usuarios, hoy presentamos el ataque Man in the Middle. Es importante entender este ataque porque es uno que se puede dar mucho en redes públicas, wifis gratuitas, redes compartidas etc.

Para el que piense que «esto no me pasa a mi» que sepan que hemos conocido gente que se dedica a ir a las cafeterías, cibercafés, aeropuertos y demás sitios con wifi gratuita, para poder practicar sus habilidades de «hacker» con los «incautos» que se conectaban a dicha red.

Ataque Man in the Middle.

El ataque de Man in the Middle consiste en que el atacante se conecta a la red que usa el usuario al que va a atacar (por eso el peligro de las redes públicas) y se hace pasar o por el router o por el destino de alguna página web, redirigiendo el tráfico o a sí mismo o a un servidor infectado.

Para ello puede usar una de muchas técnicas como:

  • DHCP spoofing: modificar la asignación DHCP y la puerta de enlace del ordenador destino. Se puede hacer de muchas maneras, pero con crear un servidor DHCP en la misma red, si es suficientemente rápido puede atraer víctimas.
  • ARP caché poisoning o ARP spoofing: ARP es el protocolo que proporciona la dirección MAC (hardware) de una dirección IP y viceversa. Se pueden mandar paquetes «falsos» a la red para engañar a los ordenadores y que piensen que tu ordenador es el router.
  • DNS spoofing. Como vimos, se puede modificar la tabla de DNS para hacer pensar que ciertas páginas web están en tu ordenador o en otros servidores.

Os lo explicamos en este vídeo.

Conclusiones.

Esperamos que seáis conscientes de lo fácil que es atacar un ordenador en una red compartida. Como es necesario estar en una misma red, debemos tener cuidado y saber que esto puede ocurrir. Siempre sospechar que puede haber gente «espiando» en estas redes.
Para reducir el riesgo:

  • Usar https y otros protocolos cifrados.
  • Intentar no usar redes públicas. Podéis usar vuestro móvil para crear una wifi.
  • Usad VPN si usáis redes públicas.
  • Sospechar de wifis gratis o sin contraseña. Son «cebos» para incautos.
  • Si tenéis que usar redes públicas, no entréis en servicios que requieran vuestra contraseña. Y menos en servicios importantes como bancos etc.
  • Si no queda más remedio, que esos servicios tengan doble autentificación para que no importe si consiguen vuestra contraseña.

Documento legales necesarios para una página Web (no tienda) en España.

Una pregunta recurrente en los clientes que están haciendo o quieren hacer una página web es qué documentos o apartados legales hay que incluir.
Hoy os lo detallamos para las páginas que no sean tiendas (otro día haremos un vídeo para esas).

Nota: no somos expertos en derecho, esta información la proporcionamos por nuestro trabajo del día a día y nuestro contacto con las asesorías de los clientes y las últimas noticias del sector.

Leyes aplicables.

Primero resumimos las leyes que se aplican en este ámbito:

  • LSSI (ley digital de servicios de la sociedad de la información y de comercio electrónico). 34/2002 del 11 de Julio.
  • LOPD: 15/1999 del 13 de Diciembre.
  • RGPD (ley de protección de datos Europea) del 25 de mayo del 2018.
  • LOPDGDD (Ley orgánica de protección de datos y garantía de derechos digitales). 3/2018 del 5 de Diciembre.
  • Directiva 2002, revisada en 2009 136/CE del 25 de Nov del 2009 («Ley de Cookies»). Pronto será renovada por la e-Privacy.

Qué documentos son necesarios en una página web empresarial en España.

Los documentos necesarios son los siguientes:

  • Aviso Legal. Que básicamente informa sobre quién está «detrás» de la página web, cómo contactarles etc. Sólo es obligatorio en páginas con fin económico (no en personales). Viene dado por la LSSI que indica que debe haber un «mínimo de información permanente y gratuita».
    En este enlace hablamos sobre el Aviso Legal en profundidad (y en el vídeo debajo de estas líneas).
  • Política de Privacidad. Indica qué datos se recogen del usuario y qué se hace con ellos. En el vídeo lo explicamos en profundidad, pero básicamente debe incluir 3 partes:
    – La página de Política de Privacidad con toda la información relevante detallada.
    – La primera capa informativa que debe resumir lo anterior y se debe incluir en formularios, correos, boletines, facturas, y cualquier tipo de comunicación con el cliente.
    – La casilla de aceptación del tratamiento de datos con enlace a la Política de Privacidad. Casilla que debe marcar explícitamente el usuario y de lo cual debemos guardar registro por si tenemos una inspección.
  • Política de Cookies. Las cookies son pequeños ficheros de información que se guardan en el ordenador para recordar datos del usuario. Por lo tanto tienen datos privados y deben someterse a la política anterior. Con la nueva RGPD el usuario debe tener:
    – Un listad de las cookies, tipo, duración, si son propias o de terceros, para que sirven, si son esenciales o no etc.
    – Una manera de aceptarlas explícitamente o rechazarlas.
    – Una manera de cambiar lo anterior cuando quiera.
    Por lo tanto el «antiguo» aviso de cookies no vale. Ya no sólo tenemos que avisar, ahora el usuario tiene que ser capaz de aceptar las que quiere, y poder cambiar dicha configuración.

    Porque según las nuevas indicaciones europeas las cookies deben estar prohibidas excepto que :

    – El usuario las haya aceptado explícitamente.
    – Sean anónimas, por ejemplo las de analítica web.
    – Aquellas necesarias para la comunicación electrónica o para mantener la conexión
    – Si son necesarias para la experiencia del usuario (como las del carrito).
    – En servicios requeridos por el usuario.
    – Las necesarias por seguridad o para evitar fraude.

Os explicamos todo en detalle en el siguiente vídeo.

Mostrar características en el listado de productos de Prestashop (miniaturas en la portada, categorías…)

Varios clientes con tiendas Prestashop nos han medido esto alguna vez. Tenían productos con características y querían que las miniaturas mostraran alguna de esa información. Se puede hacer comprando un plugin (y si tienes la opción lo recomiendo), pero puede que el cliente no pueda o no quiera.

Obviamente, para hacerlo manualmente hay que retocar un poco el código de la plantilla. Hoy os mostramos cómo.
Nota: este código puede variar o incluso hacerse obsoleto en las diferentes versiones según actualicen Prestashop. A día de hoy (fecha del artículo) está probado y funcionando en 1.7 y muy similar en 1.6 (con variantes).

Cómo mostrar características en el listado de productos de Prestashop.

Lo primero que os recomendamos es que activéis, mientras desarrolláis el código, este truco para ver las variables que se pasan al mostrar los productos. A nosotros nos sirvió de mucho. Eso si, no lo hagáis en producción porque es latoso para los clientes.

Lo siguiente es que vais a modificar (en 1.7) el siguiente fichero de la plantilla (nos estamos basando en la classic, si usas otra puede variar): tutema/templates/catalog/_partials/miniatures/product.tpl.
Recomendamos como siempre hacer copia de seguridad y trabajar sobre un tema hijo.

El código hay que ponerlo detrás de :

{hook h='displayProductPriceBlock' product=$product type='weight'}
</div>
{/if}
{/block}

Y antes de :

{block name='product_reviews'}
{hook h='displayProductListReviews' product=$product}
{/block}
</div>

Es el siguiente código (que luego procedemos a explicar):

    {if isset($product.features)}
<div class="features" style="font-size:0.7rem;text-align:center;">
 {if $product.id_category_default == 22 or $product.id_category_default == 23 or $product.id_category_default == 24 or $product.id_category_default == 25}
             {foreach from=$product.features item=feature}
			
			   {if $feature.id_feature == 9 or $feature.id_feature == 8 or $feature.id_feature == 7}
                                    {$feature.name}: {$feature.value}
			   {/if}
			  {/foreach}
   {/if}
   {/if}
		   

En esta variante estamos haciendo que si hay características (features) y si el producto pertenece a ciertas categorías ($product.id_category_default == XX) muestre cada cada producto sólo las características determinadas $feature.id_feature == 9 ).
Con {$feature.name}: {$feature.value} muestra cada nombre de característica y cada valor.
Os hemos preferido dejar esto que es tan específico (mira si el producto es de una categoría y sólo selecciona unas características) para que vosotros lo modifiquéis a gusto.
Obviamente tenéis que identificar los IDs de las características y de las categorías en vuestra tienda.

Podéis hacer tantas variantes de esto como queráis. Por ejemplo en alguna tienda nosotros comprobamos la categoría padre de la categoría del producto con $category.id_parent == XX.

Con esto ya debería estar. No hace falta modificar módulos porque en 1.7 llaman a este fichero.

Así de «fácil». Obviamente no lo es tanto y luego tendréis que luchar en vuestra tienda por mostrarlo como queréis (cada caso es diferente).

Cómo insertar un clip de vídeo en cualquier parte de una pista de Shotcut sin sobreescribir

Shotcut es un gran programa de edición de vídeo, ya hemos hablado mucho de él en este blog. Y va mejorando con cada edición. Pero todavía tiene alguna cosa que es complicada de hacer, o al menos no muy intuitiva.

En este caso os enseñamos cómo insertar un clip de vídeo en cualquier parte de una pista de Shotcut. Podría parecer que sólo habría que arrastrar o soltar, o copiar y pegar. Pero si haces eso, sobreescribe el contenido debajo del clip. No desplaza los otros clips de la pista. Hoy os enseñamos cómo hacerlo sin sobreescribir contenido.

Cómo insertar un clip en Shotcut sin sobreescribir.

El truco es muy sencillo. Tienes que hacer doble clic en el clip que quieres agregar (esto es como copiar).
Después ir a la línea de tiempo a la posición en que quieras ponerlo, y después usar el icono de Pegar (como una tableta de notas).

Esto consigue lo que queremos. Lo puedes ver en este vídeo.

Issabel: tamaño del disco lleno por los logs de Asterisx. Cómo reducir los logs de Asterisk.

En clientes que teníamos Issabel instalado con ciertas particiones, nos ha ocurrido varias veces que se llenaba la partición primaria. Se quedaba al 100% y no nos dejaba entrar vía web. Por culpa de los logs de Asterisk (lo podéis verificar con du –max-depth=1 -m -x por terminal).

La solución que aplicábamos era borrar los logs messages y full de la carpeta de logs de Asterisk. Pero al cabo del tiempo volvía a ocurrir.

Solución: configurar correctamente los logs de Asterisk.

El problema es que los logs de Asterisk tienen activados los modos Debug, Verbose, Warning (además de Error y Securiy) para todos los estados. Esto quiere decir que básicamente guardan registro de todo, lo que pasa, aunque no sea un error. Así que se llenan enseguida.

Para cambiar esta configuración tenemos que ir a
PBX > PBX Configuraton > Unembedded IssabelPBX > Settings > Asterisk Log Files

Nota: puede que no tengas permisos para acceder a Unembedded Issablel PBX y debas aplicar dichos permisos, pero te indica dónde ir ( Security >> Advanced Security Settings )

Como veis tiene puesto guardar todo en el registro.

Desactivad Debug, Verbose y Warning para todos.

Con esto el log debería mostrar sólo los errores y problemas de seguridad y crecer más lento.

Tipos de cable HDMI. Cuidado ¡no son todos iguales!

Como esto es algo que tenemos que explicar muchas veces a los clientes, escribirnos un artículo sobre ello y así lo podemos reenviar.
No todos los cables HDMI son iguales, no puedes comprar cualquier cable HDMI. Aprende hoy a distinguirlos.

Cables por conexión.

Aunque la mayoría de la gente piensa siempre en el mismo tipo de conector para el cable HDMI (el standard), lo cierto es que hay 3 tipos para dispositivos: standard, mini y micro.
También hay 1 para coches, el tipo E (pero no para dispositivos así que no es común)
Tendrás que comprar el cable que coincida con el conector de tu dispositivo.

Pero esto no es difícil, aunque a la gente le sorprende que haya tres tamaños, en seguida pueden reconocer cual es el que les corresponde.

Cuidado si quieres conectar dispositivos distintos. Por ejemplo para conectar una cámara de fotos con HDMI (normalmente micro) con una televisión (HDMI standard A), necesitarás un cable con A en un extremo y D en el otro (micro a standard).

HDMI según sus versiones.

Aquí es donde la gente se confunde más. Sobre todo comprando cables HDMI más baratos, correspondientes a versiones más antiguas, pero que no les permiten transmitir la resolución que quieren (por ejemplo no transmite 4K) o no son compatibles con su dispositivo.

  • HDMI 1.0. El original, ahora no quedan casi. Full HD a 60Hz.
  • HDMI 1.1. Permitía DVD-Audio.
  • HDMI 1.2: Permitía más resoluciones.
  • HDMI 1.3: Permitía 1920 × 1080 a 120 Hz o 2560 × 1440 at 60 Hz . Aquí añadieron el tipo C.
  • HDMI 1.4. Admitía 4k pero solo a 24 Hz. Añadieron el tipo D. Y se podía usar como conector de Ethernet.
  • HDMI 2.0. El que más veréis esos días. Admite 4K a 60 Hz y hasta 4 audio streams.
  • HDMI 2.1: Admite 8K a 120 Hz y mucho más.

¿Límites de longitud? No hay nada fijo, y depende de cómo esté construido el cable, pero no recomiendan longitudes máximas de 13 metros.

Esperemos que os ayude para elegir el cable adecuado. Más información aquí.

Pantalla negra con sonido en Netflix y cómo solucionarlo.

Hoy hablamos sobre uno de los errores más comunes que se encuentran los usuarios de Netflix al intentar reproducir su contenido en un dispositivo: ver una pantalla negra sin imagen y con sonido.

Hay muchas causas posibles y vamos a intentar resumirlas todas. Os aconsejamos que las leáis todas y probéis las que penséis que puede afectaros.
Nota: suponemos que habéis descartado problemas de conectividad tipo mala conexión de wifi, Internet lenta o fallos en la red, que pueden ocasionar también este problema.

Soluciones por dispositivo y método de conexión.

Con un USB tipo «cast» para enviar la señal al televisor.

La primera vez que vimos este error fue haciendo «cast» desde un dispositivo distinto al más famoso, el Chromecast. Hay muchas marcas, Ezcast, Miracast etc.
Lo que hay que entender aquí es que Netflix cifra su contenido por DMR, y tanto el dispositivo emisor como el receptor tiene que poder entender y manejar este cifrado. Así que si no es un dispositivo homologado, tipo Chromecast, a través de Chrome y con la aplicación de Netflix en el Chromecast….no te va a funcionar.

Es fácil de reconocer, si puedes ver todo, incluso los trailers, pero cuando le das al play no sale imagen en pantalla, es tema de protección DMR.
Hay quien dice que ha podido hacerlo con la aplicación Google Home desde el móvil, pero no lo hemos probado.

Por HDMI en la televisión.

Aquí no ha problemas de DMR, es conectar un monitor (o TV) directamente al portátil y debería verse. Pero puede que salga de nuevo la pantalla negra con o sin sonido. Os dejamos recomendaciones:

  • Intercambia los extremos del HDMI. No se me habría ocurrido nunca, pero lo vi en la ayuda de Netflix (ver abajo) y me funcionó.
  • Cambia el cable HDMI. Aunque la gente no lo sabe, no todos los HDMI son iguales. Puede que el cable que tengas no acepte la resolución de Netflix.
  • Prueba con otro puerto HDMI de tu ordenador.
  • Prueba con otro puerto HDMI de tu TV.
  • Prueba con otra TV si la tienes disponible.
  • Actualiza todo lo que puedas en tu ordenador: drivers de placa (para el HDMI), drivers de tarjeta gráfica, navegador, aplicación de Netflix, sistema operativo. Cualquiera de estas cosas obsoleta puede hacer que no funcione la reproducción.
  • Si estás usando Chrome, prueba a deshabilitar las extensiones. Pon esta dirección en tu navegador:  chrome://extensions , deshabilita todas y prueba de nuevo. Si funciona ve habilitando una cada vez hasta ver cual es la culpable.
  • Borra caché y cookies de tu navegador
  • Limpia tu ordenador de malware.

Desde un teléfono o una tablet Android.

  • Reinicia el dispositivo (si, lo se, muy típico, pero a veces no lo probamos).
  • Desactiva la corrección de color. Ve a Configuración>Ajustes>Accesibilidad>Correción de color y dejarlo en Desactivado (las pantallas pueden variar entre versiones).
  • Actualiza el dispositivo.
  • Contacta con el soporte de tu dispositivo. A veces tienes que conseguir la aplicación de otra manera si no es compatible con la oficial.
  • Reinicia la aplicación (fuerza su detención y vuelve a iniciarla).

En una SMART TV con la aplicación.

Además de los consejos anteriores (actualizar, reiniciar, p, puedes probar a reiniciar tu Smart TV quitando el cable de corriente durante un minuto aproximádamente. Después deja (con el cable quitado) el botón de encendido apretado durante unos 5 segundos.
Si no tiene botón de encendido déjalo desenchufado unos 5 minutos.

Puedes ver más de estas recomendaciones en la ayuda de Netflix aquí. Si no consigues que funcione siempre puedes contactar con su soporte al cliente.


Feliz Navidad 2019 desde SmythSys IT Consulting.

Todo el equipo de SmythSys IT Consulting queremos aprovechar este post para desearos una Feliz Navidad y un Próspero Año Nuevo.

Os agradecemos a todos: lectores del blog, visitantes de nuestras redes sociales y canal de Youtube, clientes, anunciantes y amigos, que un año más contéis con nosotros.

Esperamos haberos dado un servicio de calidad, e informaciones que os sirvan de ayuda para conocer y manejar mejor el mundo de las TIC (Tecnologías de la Información y Comunicación).

Nosotros ya estamos trabajando, estudiando y formándonos para mejorar y aumentar los servicios que os podemos ofrecer. Cada día podemos ayudaros en más proyectos con tecnologías diversas. Esperamos superarnos el año que viene.

¡Gracias por estar ahí!