Koho se hrozba týká?

Hrozba se týká v drtivé většině všech, kteří nemají aktuální moduly vydané na prestashop.valasinec.cz / sk v tomto týdnu do 28.7.2023.

Jak je hrozba reálná?

Jedná se o jednotkové případy, kdy je mi známo 6 postižených e-shopů. Tedy zatím žádné hromadné útoky. Postižení jsou hlavně na Slovensku. IP adresy útočníka vedou také na Slovensko.

Co se vlastně děje?

Útočník zná mé moduly (měl přístup k instalačním souborům) a dokázal dešifrovat servisní funkce modulu a zneužít je. Uklidňuji, že útoční nedokáže na web vložit žádné cizí kódy, tedy nehrozí klasické zavirování a nehrozí také žádný únik dat a rovněž nedokáže do systému nic dostat co tam nemá být. Jediné, co dokáže útočník způsobit, je odinstalovat daný modul z PrestaShopu.

Jaké kroky byly podniknuty pro vaši ochranu?

I přesto, že případů je málo a nejedná se o klasickou bezpečnostní hrozbu, rozhodl jsem se kontaktovat hostingové služby a ty v drtivé většině zabezpečili weby automaticky bez jakéhokoliv vašeho přičinění. Jednoduše tak, aby se případná hrozba co nejvíce eliminovala a zákazníci nemuseli nic dělat, případně aby nebyly nepříjemně překvapeni.

Níže výpis hostingů, kteří hrozbu odstranili automaticky či informovali zákazníky:

C4 - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

WEDOS - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

Active24 - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

Český hosting - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

OpenServis – pan Ulrich - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

ZServer - pan Kopecký - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

Prestashost – pan Mach - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

MyDreams – pan Řehoř - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

WebSupport – Slovensko - Automaticky odstranil hrozbu. Není potřeba žádných dalších kroků z vaší strany.

Savana / WEBGLOBE

Nebyl jsem zpětně informován o způsobu zabezpečení, ale hosting rozeslali newsletter svým zákazníkům se zněním, že byly informováni a že si mají zabezpečení řešit sami. Doporučuji provést kroky k zabezpečení viz níže.

Tímto také děkuji za spolupráci jednotlivých hostingový službám a lidem, kteří pomohli hrozbu eliminovat.

Ostatní hostingové služby - Nebyly informovány, doporučuji provést zabezpečení viz níže.

Dalším krokem bylo vydaní všech modulů v nové verzi s mechanismem, který při aktualizaci modulu, ihned zabezpečí i všechny ostatní moduly.

Dalším krokem bylo vytvoření modulu, kterým zabezpečíte svůj e-shop pouhým nahráním v administraci.

Jak tedy zabezpečit svůj e-shop?

Je několik způsobů.

1. Buď vám zabezpečil e-shop hosting a nemusíte v podstatě nic dalšího řešit. Doporučuje se samozřejmě aktualizace modulů z aktuálních instalačních balíčků.
2. Aktualizujte své moduly. V administraci svého e-shopu máte upozornění, které z modulů máte ve starší verzi.
3. Pokud třeba nemáte přístup k aktuální verzi modulu a nechcete si sjednat prodloužení, můžete použít modul, který je ke stažení zde: https://prestashop.valasinec.cz/dm_security.zip Stačí jej pouze nainstalovat.

Kdo je útočník? 

Při prvních náznacích zneužití byla políčena past do souborů, které útočník zneužil. Aby se identifikoval a byl o tom záznam. Hrozba se na webu ponechala.

Poté se na hostinzích, které se zabezpečením spolupracovali našli záznamy v logu, odkud útočník přišel, co prováděl a kolikrát to zkoušel. Jsou zaznamenán IP adresy vedoucí ke konkrétními poskytovateli internetu a vzhledem ke známé IP adrese, která se nachází současně v logu v přihlášeních do jednotlivých PrestaShopů je útočník pravděpodobně přesně identifikován. Což je úspěch, že se podařilo konkrétně najít osobu spojenou s těmito útoky. Nejspíše díky tomu, že v komunitě PrestaShopu aktivně vystupuje.

Není v mé pravomoci toto vyšetřovat a řešit na úrovni obvinění a na někoho ukazovat. Ale nasbírané důkazy vedou ke konkrétní osobně na Slovensko. A spolu s klienty zvažujeme podání trestního oznámení na neznámého pachatele.

Policie předběžně informovala, že neoprávněný přístup k počítačovému systému a nosiči informací dle ust. § 230 trestního zákoníku je trestným činem, který je využitelný pro většinu jednání označovaného jako tzv. hacking, narušování dat, narušování systému a v neposlední řadě i zneužívání zařízení.

Situaci dále monitoruji.

Případné problémy s modulem Raiffeisen bank na párování plateb 

V jednotkových případech je zaznamenán problém s modulem Raiffeisen bank na párování plateb. Tento modul ve starší verzi může vykazovat chybu po odstranění hrozby a je potřeba jej aktualizovat vždy. Všem zákazníkům, kteří tento modul koupili, byl zdarma rozeslán mail, ve kterém byly informováni o získání aktualizace modulu. Takže tento modul aktualizujte.

Mám problém kvůli tomuto modulu v administraci.

Podle verze PrestaShopu může tento modul ve staré verzi způsobit, že se nedostanete do sekce s moduly případně do celé administrace. Zde je krok za krokem, jak modul opravit:

• Vejděte na FTP
• Najděte složku s modulem „modules/dm_rbbankpayment/"
• V této složce máte pravděpodobně soubor: „dm_function.php.ban“
• Tento soubor přejmenujte na „dm_function.php“ (odstraňujete koncovku .ban)
• Nyní se dostanete do administrace e-shopu / sekci moduly bez problémů
• Nyní je potřeba si ze svého účtu stáhnout aktuální modul Raiffeisen bank na párování plateb a aktualizovat jej

Co dělat, když daný soubor neexistuje?

• Stáhněte si ze svého účtu modul Raiffeisen bank na párování plateb
• Rozbalte jej na svém PC
• Přejděte na FTP do složky „modules/dm_rbbankpayment/override/classes/"
• Z rozbaleného balíčku ze stejné složky si na FTP nakopírujte aktuální soubor s názvem: „RbBankForm.php“ 

Co dělat, když vůbec nevím, o čem píšete?

-       Napište mi na e-mail admin@valasinec.cz a nějak to vyřešíme.