Yoda

Затем, что не все обезьянки!

Сделайте полезное дело... Выжимку из правил. И соберите в итоговый код.

Холодно) Давайте пока не будем играть в угадайку, а дадим время исправить эту ситуацию на местах. Я обрисую ситуацию владельцам площадок. Чтобы были приняты меры с покупателями. Пока рекомендую всем добавить, независимо от обнаружения подобной штуки, правила из этой статьи, если у вас apache. Для Nginx - приличный пример здесь. Но бездумным копипастом решить все не выйдет, ссылки просто как базовые примеры.

Чтобы опять хвосты подчистил, и сказал какой он пушистый? И что это все злые языки ?

Так как на форуме нет раздела безопасность @dinox, сделай пожалуйста. Пишу пока в курилку. Вчера ко мне обратились мои подопечные со странной нагрузкой на сервер! Их шарашили изо всех пушек, пытаясь пробиться в базу через sql уязвимость менеджера редиректов, и в конце концов базу таки уложили. Не будем тыкать пальцем чей это модуль, просто проверьте у себя и своих подопечных в Index.php в корне вот такие строки: // Redirect manager $url = htmlspecialchars($_SERVER['REQUEST_URI']); $redirect = $db->query("SELECT * FROM oc_redirect WHERE from_url = '" . $url . "' LIMIT 1"); if($redirect->row) { header( 'Location: ' . htmlspecialchars_decode($redirect->row['to_url']) , true, 301 ); exit(); } // End redirect manager И замените на такое // Redirect manager $url = htmlspecialchars($_SERVER['REQUEST_URI']); $redirect = $db->query("SELECT * FROM oc_redirect WHERE from_url = '" . $db->escape($url) . "' LIMIT 1"); if($redirect->row) { header( 'Location: ' . htmlspecialchars_decode($redirect->row['to_url']) , true, 301 ); exit(); } // End redirect manager Это код из каких-то ранних версий дополнения, на сегодня там все ушло глубже в код и модель закодирована, но я думаю уязвимость осталась. Данный код присутсвовал в версии модуля редиректа полутарагодичной давности. Но брежененного бог бережет и да прибудет с вами сила. Также категорически рекомендую всем, у кого до сих пор 1.5 обновить класс db.php и классы драйверов баз от 1.5.6 https://github.com/opencart/opencart/tree/1.5.6.4/upload/system/database и поменять в конфигах mysql на mysqli. В силу, того что Mysqli по умолчанию поддерживает singlequery политику, вероятность навредить через подобные дыры несколько уменьшается, но только лишь несколько. Также в силу того, что данный мод является клоном модуля с офсайта, все кто использует оригинальный модуль - тоже проверьте есть ли у вас экранирование параметра $_SERVER['REQUEST_URI']. Ну и чтобы не быть голословным и не было возмущений вот структура таблицы моего подопечного от этого дополнения. CREATE TABLE IF NOT EXISTS `oc_redirect` ( `redirect_id` int(11) NOT NULL DEFAULT '0', `active` tinyint(1) NOT NULL DEFAULT '0', `from_url` varchar(512) CHARACTER SET utf8 NOT NULL, `to_url` varchar(512) CHARACTER SET utf8 NOT NULL, `response_code` int(3) NOT NULL DEFAULT '301', `date_start` date NOT NULL DEFAULT '0000-00-00', `date_end` date NOT NULL DEFAULT '0000-00-00', `times_used` int(5) NOT NULL DEFAULT '0' ) ENGINE=InnoDB DEFAULT CHARSET=latin1; А вот код в модуле, который распространяет один известный автор: $sql = "CREATE TABLE IF NOT EXISTS `" . DB_PREFIX . "redirect` ("; $sql .= " `redirect_id` int(11) NOT NULL AUTO_INCREMENT,"; $sql .= " `active` tinyint(1) NOT NULL DEFAULT '0',"; $sql .= " `from_url` text COLLATE utf8_bin NOT NULL,"; $sql .= " `to_url` text COLLATE utf8_bin NOT NULL,"; $sql .= " `response_code` int(3) NOT NULL DEFAULT '301',"; $sql .= " `date_start` date NOT NULL DEFAULT '0000-00-00',"; $sql .= " `date_end` date NOT NULL DEFAULT '0000-00-00',"; $sql .= " `times_used` int(5) NOT NULL DEFAULT '0',"; $sql .= " PRIMARY KEY (`redirect_id`)"; $sql .= ") CHARSET=utf8 COLLATE=utf8_general_ci"; $this->db->query($sql); UPD. Что делать с кодом, который закодирован в модуле и скорее всего такой там и остался?

Вас спасет только переезд на VPS.

КЭП!

Буквально вчера сталкивался с такой же проблемой. Таки да - это сео про, и как "полечить" слету пока не придумал.

Логи... Почему они вылетают как вы говорите?

Удивительное рядом... А если заглянуть в консоль бразуера можно увидеть много ошибок.

Модуль simple не при чем. Если письма не ходят - они не ходят! https://www.mail-tester.com/ Сделайте тестовую регистрацию на мыло с этого сервиса, и после покажите результаты.

Поменяйте местами конструкции. Сначала сделайте редирект на https После этого www-зеркало И потом уже системный роут для опенкарта.

Ну откуда же вы лезете. Неграмотные некультурные мамкины спициализды. Тыкайте пожалуйста себе в мягкие места. Я вам не друг, не мамка. Для тех кто в танке... Неуникальный, он же мусорный контент, а тем более ворованный, а тем более ворованный у яндекс маркета - это контент-труп. Он никогда не проиндексируется и на сотую позицию. Сказки рассказывайте вашим потенциальным клиентам. И по факту парсинг = воровство! Если вы со мной каким то образом не согласны, или имеет свою точку зрения изложите ее в виде жалобы спортлото!

Да не. Не в анекдоты. Ну не могут быть все умные и красивые. Людям на репутацию и на клиентов в массе вобщем то с большой колокольни жиденьким. Основная модель бизнеса студий и фрилансеров. Урвал 300-500 долларов, движок поставил, шаблон натянул, ворованных модулей наставил - нате вам магазин чпокайтесь. Другое дело, что 99% этих магазинов в нынешних реалиях обречены на провал. Но это никого не волнует. Зато студия же заработала. Куда далеко ходить. Посмотрите на концепцию работы недосео. Идей наворовали. Модулей наклонировали. Клиентов наразводили и рассчесывают. А как у кого бизнес в итоге - никого не волнует. Лишь бы заносили бабло. По моим личным ощущениям, большинство магазиносоздателей превращаются в менеджеров канадских оптовых компаний и адептов бизнес-молодости. Слава богу что есть его величество рынок, который не прощает подобные финты ушами.

Вы работаете по донорам-чертям. Которым наплевать на то что их парсят. Ну и в принципе, парсинг - это чертизм. Можно. Но сколько вы потратили вашего времени? Сколько стоит ваше время? А какой толк будет от этого контента? - нулевой. Краденый контент не стоит ничего потому что он очень плохо индексируется. Заплатите коприайтерам - это будет паритетно в деньгах потраченому времени и будет несоизмеримый эффект! Никак. Только общие правила и эвристика.

При желании... Карту сайта можно отдать только ботам.. И только ботам! Также у парсера есть признаки. Которых нет у людей. По ним очень легко определить и CD и шмеде и все что угодно. Прокси и соксы - я уже выше написал банятся на раз два.. В итоге все сведется к 5-6 используемым айпи, которые в черный список добавить за неделю - дело техники.

Соксы закрываются на раз, достаточно простыми и практически бесплатными методами. Еще определенными действиями очень сильно подрезается набор потенциально возможных для использования проксей. Для подозрительных действий капча+скрытые поля + еще кое-какой анализ действий клиента. ИИИИ... парсинг становиться золотым. При чем при желании вся конструкция настраивается напиливается и вешается на систему за пару дней.

Да нууу... на самом деле же все просто. Та же методология что и с ддосом. Просто паттерны блокировок немного другие, и то! В случае если умные парсерщики. Но как правило даже на соксы никто не тратится и таймауты не добавляют. Так что если вдруг один айпи за десять минут посмотрел 100 уникальных страниц, без единого повтора. Иди сюда мой маленький в баньку. Ну а всех секретов раскрывать не буду, дабы парсерщикам неповадно было.

OCMOD Отменили? И да как у вас там с поддержкой? Опять будете теряться на полгода и кидать заказчиков?

Не катит это поиск с учетом триграмм и левенштейна исправляет далеко не все. Инфиксы - тоже не супервариант. Словарь исправлений - долго и дорого. В целом надо делать все вместе.

И как будет это у вас работать, если где то в теле будет скрипт без jquery.ready? Как можно быть уверенным в корректной последовательности выполнения скриптов в дополнениях, если у вас асинк и нет предварительных обработчиков событий? Как это пролезет с дополнениями, которые динамически подгружают контент с интегрированными скриптами? Сколько заказов потеряют клиенты с косяком при оформлении заказа при подобном механизме? Какие 100 из 100 оценок pageSpeed на который влияет еще вагон и маленькая тележка ресурсов, кроме js есть css ttfb и иже с ними.. НУ бред же .. И развод на бабки хомяков.

Опять форум превращается из базы знаний в рекламную площадку кривой конторы.

Меня такие мысли не покидают уже неделю!

Тугосери атакуют! Очень напомнило: