Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?


markimax

Recommended Posts

Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45

Да, но проблема в том что он у меня и так без расширения txt или я что-то не так понял? Я просто не уверен, можно его переименовывать и давать расширения. Поддержка на моём хостинге говно они ничего говорить не хотят.

Надіслати
Поділитися на інших сайтах


Да, что только не пишет в лог opencart: при падении MySQL сервера

 

2013-04-09 10:40:53 - PHP Notice:  Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_customer WHERE LOWER(email) = '[email protected]' AND password = '3fde6bb0541387e4ebdadf7c2ff31123' AND status = '1' AND approved = '1' in /home/...../public_html/system/database/mysql.php on line 49
 

 

А иногда и просто адреса, пароли к MySQL БД в явном виде

Надіслати
Поділитися на інших сайтах

Админка - Система - Настройки - Сервер, в конце находите поле "* Файл журнала ошибок:" и меняете имя и расширение на то, которое вам милее :)

  • +1 2
Надіслати
Поділитися на інших сайтах


 в такой конструкции

 

# Закрыть доступ к файлам шаблонов
<FilesMatch "\.(tpl|ini|log|txt)">
Order deny,allow
Deny from all
</FilesMatch>

 

error.txt , блокируется

http://selato.ru/system/logs/error.txt

 

robots.txt не блокируется

http://selato.ru/robots.txt 211 10 апр. 2013 г. 200 (Успешно)
Надіслати
Поділитися на інших сайтах


Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Собственно, столкнулся с такой же ситуацией. Вышел очень просто. Переименовал расширение на .log в админке и создал соответствующий файлик на сервере. Файлы с этим расширением закрыты  в .htaccess

# Закрыть доступ к файлам шаблонов

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

и все нормально пишется и блокируется извне.

Правда я еще и закрыл паролем доступ в папку admin для пущей надежности :-)

Надіслати
Поділитися на інших сайтах


Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Собственно, столкнулся с такой же ситуацией. Вышел очень просто. Переименовал расширение на .log в админке и создал соответствующий файлик на сервере. Файлы с этим расширением закрыты  в .htaccess

># Закрыть доступ к файлам шаблонов

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

и все нормально пишется и блокируется извне.

Правда я еще и закрыл паролем доступ в папку admin для пущей надежности :-)

 

Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

Надіслати
Поділитися на інших сайтах


Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

Скорее всего просто не читаете тему с начала. Файл ошибок изначально в системе называется error.txt и никакое переименование "htaccess.txt" в ".htaccess" не закрывает к нему доступ, так как расширение у него таки txt, а не tpl, ini, log...

Так вот тут и обсуждается каким образом сделать так, чтобы доступа к этому файлику извне не было.

Надіслати
Поділитися на інших сайтах


Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

Скорее всего просто не читаете тему с начала. Файл ошибок изначально в системе называется error.txt и никакое переименование "htaccess.txt" в ".htaccess" не закрывает к нему доступ, так как расширение у него таки txt, а не tpl, ini, log...

Так вот тут и обсуждается каким образом сделать так, чтобы доступа к этому файлику извне не было.

Читаю любую тему сначала)

В приведённом мной куске файла .htaccess изменить строку:

<FilesMatch "\.(tpl|ini|log|txt|her)">

 

И в система -> настройка -> магазин -> сервер изменить:

Файл журнала ошибок: error.her

 

Не то?

Надіслати
Поділитися на інших сайтах


В приведённом мной куске файла .htaccess изменить строку:

<FilesMatch "\.(tpl|ini|log|txt|her)">

 

И в система -> настройка -> магазин -> сервер изменить:

Файл журнала ошибок: error.her

 

Не то?

Конечно то, но в предыдущем посте не было в значениях расширений txt и her...

Можно и так, но зачем тогда расширение txt в .htaccess добавлять? Можно просто her или ttt - тут уже разницы нет. В моем способе я вообще ничего не добавлял в .htaccess а поменял расширение файла на log - к которым доступ уже был запрещен в .htaccess.

P.S. Мне пришлось это сделать, так как файлы с расширением txt на моем хостинге отдает сервер NGENIX, которому файл .htaccess как-то до лампочки... И, как мне кажется, такой выход будет оптимальным...

Надіслати
Поділитися на інших сайтах


сервер NGENIX - может nginx?

файл .htaccess как-то до лампочки - это как?

nginx - прошу прощения, ошибся.

А .htaccess - это файл, который читает web-сервер Apache. То-есть nginx на него никак не реагирует. Для него нужно все правила переписывать в файл настройки nginx.conf

P.S. К большим гуру не отношусь, вся инфа из открытых источников - точнее из гугла :-) и техподдержки хостинга, посему если и есть какие-то заумные способы заставить nginx  таки читать файлы .htaccess и выполнять прописанные там директивы - прошу сильно не пинать.

Надіслати
Поділитися на інших сайтах


nginx в 90 % случаев используется просто как кэширующий прокси для статической информации, а все остальное делает стандартный апаче, НО есть случаи, где "nginx" используется как единственный веб сервер. Поэтому, нельзя однозначно утверждать, что что-то работает или не работает.

Уточните у хостера какой вэб сервер используется

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...
nginx + apache
SetEnvIf Remote_Addr "^...\...\...\..." realremoteaddr
Order Deny,Allow
Allow from all
deny from env=realremoteaddr
пример .htaccess для nginx
только свое правило укажите
 
Вот что мне ответил суппорт. Я честно говоря далек от этого. Что мне сделать что бы закрыть error.txt
Надіслати
Поділитися на інших сайтах


  • 4 weeks later...
 
Вот что мне ответил суппорт. Я честно говоря далек от этого. Что мне сделать что бы закрыть error.txt

 

Переименовать в error.log и не изобретать велосипед...

Надіслати
Поділитися на інших сайтах


Вот, а скажите мне человеку мало сведущему в администировании.

 

Нормально ли, что файл Конфигурации с данными базы и тп, хранится в корне сайта?!

Чем и как он защищен, разве только правами и его не видно? Нельзя его "грабануть" или что еще?

 

Мне это как то не нравится совсем.

Надіслати
Поділитися на інших сайтах


вебсервером, у которого есть инструкция такие файлы не отдавать, а исполнять

Т.е. обычными правами на файл? Но чуть что не так, и скопируют... пусть не исполнятся, но скопировать то можно.

(надо будет попробывать "грабануть" файл)

 

Тем более горе хостингов у которых права слетают не мало!

 

Вот как проверить, что файл прикрыт тщательно и почему реально Конфиг выложен в корень, неужели нельзя было все разместить в отдельно директории разработчикам? Я не понимаю этого.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.