markimax Опубліковано: 19 січня 2013 Share Опубліковано: 19 січня 2013 Серьезная уязвимость в opencart. http://ваш_сайт/system/logs/error.txt И весь журнал ошибок доступен для всех Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/ Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты SELECT command denied to user 'u138235'@'10.10.0....'..... и т п Пропишите в .htaccess <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> 14 Надіслати Поділитися на інших сайтах More sharing options... ravilr Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 напишите это разработчику !!! Пусть добавят! Надіслати Поділитися на інших сайтах More sharing options... Esmanager Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 вот это кошмар большое спасибо Надіслати Поділитися на інших сайтах More sharing options... Giant Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Спасибо, защита важнее всего! Надіслати Поділитися на інших сайтах More sharing options... Bios Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Серьезная уязвимость в opencart. http://ваш_сайт/system/logs/error.txt И весь журнал ошибок доступен для всех Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/ Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты SELECT command denied to user 'u138235'@'10.10.0....'..... и т п Пропишите в .htaccess <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> Дружище, где именно прописать в .htaccess, под какой строкой? Надіслати Поділитися на інших сайтах More sharing options... alf1976 Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Дружище, где именно прописать в .htaccess, под какой строкой? В конце файла можеш прописать. Надіслати Поділитися на інших сайтах More sharing options... Giant Опубліковано: 21 січня 2013 Share Опубліковано: 21 січня 2013 Я на первой строке прописал) все работает =) Надіслати Поділитися на інших сайтах More sharing options... zerr Опубліковано: 23 січня 2013 Share Опубліковано: 23 січня 2013 такие запреты не только к этому файлу писать надо. и не только на этом движке. много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются. а значит - надо запрещать Надіслати Поділитися на інших сайтах More sharing options... GeorgyM Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Ниче себе - спасибо Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Какие еще фалы на ваше усмотрение, лучше "закрыть" извне? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 4 лютого 2013 Share Опубліковано: 4 лютого 2013 попробывал не получается, прописал как надо :| Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 5 лютого 2013 Share Опубліковано: 5 лютого 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Ребят помогите закрыть доступ к файлу... Сделал как было написано выше, но не помогает...все равно файл доступен... Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 8 лютого 2013 Share Опубліковано: 8 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? можно и так только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #) Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 11 лютого 2013 Share Опубліковано: 11 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS И как быть ? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 14 лютого 2013 Share Опубліковано: 14 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Надіслати Поділитися на інших сайтах More sharing options... leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options... 1 month later... GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options... vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 3 Вперед Сторінка 1 з 3 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
ravilr Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 напишите это разработчику !!! Пусть добавят! Надіслати Поділитися на інших сайтах More sharing options... Esmanager Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 вот это кошмар большое спасибо Надіслати Поділитися на інших сайтах More sharing options... Giant Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Спасибо, защита важнее всего! Надіслати Поділитися на інших сайтах More sharing options... Bios Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Серьезная уязвимость в opencart. http://ваш_сайт/system/logs/error.txt И весь журнал ошибок доступен для всех Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/ Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты SELECT command denied to user 'u138235'@'10.10.0....'..... и т п Пропишите в .htaccess <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> Дружище, где именно прописать в .htaccess, под какой строкой? Надіслати Поділитися на інших сайтах More sharing options... alf1976 Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Дружище, где именно прописать в .htaccess, под какой строкой? В конце файла можеш прописать. Надіслати Поділитися на інших сайтах More sharing options... Giant Опубліковано: 21 січня 2013 Share Опубліковано: 21 січня 2013 Я на первой строке прописал) все работает =) Надіслати Поділитися на інших сайтах More sharing options... zerr Опубліковано: 23 січня 2013 Share Опубліковано: 23 січня 2013 такие запреты не только к этому файлу писать надо. и не только на этом движке. много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются. а значит - надо запрещать Надіслати Поділитися на інших сайтах More sharing options... GeorgyM Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Ниче себе - спасибо Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Какие еще фалы на ваше усмотрение, лучше "закрыть" извне? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 4 лютого 2013 Share Опубліковано: 4 лютого 2013 попробывал не получается, прописал как надо :| Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 5 лютого 2013 Share Опубліковано: 5 лютого 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Ребят помогите закрыть доступ к файлу... Сделал как было написано выше, но не помогает...все равно файл доступен... Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 8 лютого 2013 Share Опубліковано: 8 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? можно и так только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #) Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 11 лютого 2013 Share Опубліковано: 11 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS И как быть ? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 14 лютого 2013 Share Опубліковано: 14 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Надіслати Поділитися на інших сайтах More sharing options... leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options... 1 month later... GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options... vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 3 Вперед Сторінка 1 з 3 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
Esmanager Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 вот это кошмар большое спасибо Надіслати Поділитися на інших сайтах More sharing options...
Giant Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Спасибо, защита важнее всего! Надіслати Поділитися на інших сайтах More sharing options...
Bios Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Серьезная уязвимость в opencart. http://ваш_сайт/system/logs/error.txt И весь журнал ошибок доступен для всех Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/ Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты SELECT command denied to user 'u138235'@'10.10.0....'..... и т п Пропишите в .htaccess <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> Дружище, где именно прописать в .htaccess, под какой строкой? Надіслати Поділитися на інших сайтах More sharing options...
alf1976 Опубліковано: 20 січня 2013 Share Опубліковано: 20 січня 2013 Дружище, где именно прописать в .htaccess, под какой строкой? В конце файла можеш прописать. Надіслати Поділитися на інших сайтах More sharing options...
Giant Опубліковано: 21 січня 2013 Share Опубліковано: 21 січня 2013 Я на первой строке прописал) все работает =) Надіслати Поділитися на інших сайтах More sharing options...
zerr Опубліковано: 23 січня 2013 Share Опубліковано: 23 січня 2013 такие запреты не только к этому файлу писать надо. и не только на этом движке. много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются. а значит - надо запрещать Надіслати Поділитися на інших сайтах More sharing options...
GeorgyM Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Ниче себе - спасибо Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Какие еще фалы на ваше усмотрение, лучше "закрыть" извне? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 4 лютого 2013 Share Опубліковано: 4 лютого 2013 попробывал не получается, прописал как надо :| Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 5 лютого 2013 Share Опубліковано: 5 лютого 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Ребят помогите закрыть доступ к файлу... Сделал как было написано выше, но не помогает...все равно файл доступен... Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 8 лютого 2013 Share Опубліковано: 8 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? можно и так только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #) Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 11 лютого 2013 Share Опубліковано: 11 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS И как быть ? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 14 лютого 2013 Share Опубліковано: 14 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Надіслати Поділитися на інших сайтах More sharing options... leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options... 1 month later... GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options... vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 3 Вперед Сторінка 1 з 3 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?
delovoy Опубліковано: 31 січня 2013 Share Опубліковано: 31 січня 2013 Какие еще фалы на ваше усмотрение, лучше "закрыть" извне? Надіслати Поділитися на інших сайтах More sharing options...
shpunt Опубліковано: 4 лютого 2013 Share Опубліковано: 4 лютого 2013 попробывал не получается, прописал как надо :| Надіслати Поділитися на інших сайтах More sharing options...
delovoy Опубліковано: 5 лютого 2013 Share Опубліковано: 5 лютого 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Надіслати Поділитися на інших сайтах More sharing options...
shpunt Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Ребят помогите закрыть доступ к файлу... Сделал как было написано выше, но не помогает...все равно файл доступен... Надіслати Поділитися на інших сайтах More sharing options...
HyperLabTeam Опубліковано: 7 лютого 2013 Share Опубліковано: 7 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? Надіслати Поділитися на інших сайтах More sharing options...
RGB Опубліковано: 8 лютого 2013 Share Опубліковано: 8 лютого 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? можно и так только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #) Надіслати Поділитися на інших сайтах More sharing options... shpunt Опубліковано: 11 лютого 2013 Share Опубліковано: 11 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS И как быть ? Надіслати Поділитися на інших сайтах More sharing options... RGB Опубліковано: 14 лютого 2013 Share Опубліковано: 14 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Надіслати Поділитися на інших сайтах More sharing options... leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options... 1 month later... GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options... vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 3 Вперед Сторінка 1 з 3 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
shpunt Опубліковано: 11 лютого 2013 Share Опубліковано: 11 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS И как быть ? Надіслати Поділитися на інших сайтах More sharing options...
RGB Опубліковано: 14 лютого 2013 Share Опубліковано: 14 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Надіслати Поділитися на інших сайтах More sharing options... leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options... delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options... 1 month later... GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options... 2 weeks later... ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options... vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options... ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 3 Вперед Сторінка 1 з 3 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
leo Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb... Написал в суппорт пришел ответ! И как быть ? Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны. 1 Надіслати Поділитися на інших сайтах More sharing options...
delovoy Опубліковано: 16 лютого 2013 Share Опубліковано: 16 лютого 2013 Забить и почаще проверять файл на ошибки. Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет. Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика! Надіслати Поділитися на інших сайтах More sharing options...
GenafdrvX Опубліковано: 17 березня 2013 Share Опубліковано: 17 березня 2013 Так как в файле уже присутствует FilesMatch я сделал вот так # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> # Prevent Direct Access to files2 <FilesMatch "error.(txt)$"> Order Allow,Deny Deny from all </FilesMatch> незнаю на сколько это правильно... кто что скажет? А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Надіслати Поділитися на інших сайтах More sharing options...
ukrgeraldika Опубліковано: 26 березня 2013 Share Опубліковано: 26 березня 2013 А зачем столько текста? Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после log вот это |txt и все готово Но таким образом закроется досуп к robots.txt 2 Надіслати Поділитися на інших сайтах More sharing options...
vgarazhe Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Надіслати Поділитися на інших сайтах More sharing options...
ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь? Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45 Надіслати Поділитися на інших сайтах More sharing options...
ukrgeraldika Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще? Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess: <FilesMatch [файл конфига]> Order Allow,Deny Deny from all </FilesMatch> И надо сам .htaccess защищать: <FilesMatch .htaccess> Order Allow,Deny Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options...
tigranat Опубліковано: 28 березня 2013 Share Опубліковано: 28 березня 2013 а почему молчит OC team? Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts