Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?

[vgarazhe]

Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45

Да, но проблема в том что он у меня и так без расширения txt или я что-то не так понял? Я просто не уверен, можно его переименовывать и давать расширения. Поддержка на моём хостинге говно они ничего говорить не хотят.

[dobriikot]

Может я что-то не правильно сделал, но мне помогло закрыть доступ к данному файлу при помощи смены атрибута файла error.txt на 600.

[freelancer]

а так же не забудьте vqmod log и файлы в xml

[dobriikot]

Тоже изменить на 600? Никак не повлияет на работу CMS?

[Rarisime]

Да тоже интересно, на какие файлы кроме .htaccess поставить доступ 600?

[markimax]

Да, что только не пишет в лог opencart: при падении MySQL сервера

 

2013-04-09 10:40:53 - PHP Notice:  Error: MySQL server has gone away<br />Error No: 2006<br />SELECT * FROM oc_customer WHERE LOWER(email) = '[email protected]' AND password = '3fde6bb0541387e4ebdadf7c2ff31123' AND status = '1' AND approved = '1' in /home/...../public_html/system/database/mysql.php on line 49
 

 

А иногда и просто адреса, пароли к MySQL БД в явном виде

[Zeppelin]

Админка - Система - Настройки - Сервер, в конце находите поле "* Файл журнала ошибок:" и меняете имя и расширение на то, которое вам милее :)

[Zeppelin]

 в такой конструкции

 

# Закрыть доступ к файлам шаблонов
<FilesMatch "\.(tpl|ini|log|txt)">
Order deny,allow
Deny from all
</FilesMatch>

 

error.txt , блокируется

http://selato.ru/system/logs/error.txt

 

robots.txt не блокируется

http://selato.ru/robots.txt 211 10 апр. 2013 г. 200 (Успешно)

[yvv75]

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Собственно, столкнулся с такой же ситуацией. Вышел очень просто. Переименовал расширение на .log в админке и создал соответствующий файлик на сервере. Файлы с этим расширением закрыты  в .htaccess

# Закрыть доступ к файлам шаблонов

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

и все нормально пишется и блокируется извне.

Правда я еще и закрыл паролем доступ в папку admin для пущей надежности :-)

[RomanPavlovich]

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Собственно, столкнулся с такой же ситуацией. Вышел очень просто. Переименовал расширение на .log в админке и создал соответствующий файлик на сервере. Файлы с этим расширением закрыты  в .htaccess

># Закрыть доступ к файлам шаблонов

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

и все нормально пишется и блокируется извне.

Правда я еще и закрыл паролем доступ в папку admin для пущей надежности :-)

 

Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

[yvv75]

Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

Скорее всего просто не читаете тему с начала. Файл ошибок изначально в системе называется error.txt и никакое переименование "htaccess.txt" в ".htaccess" не закрывает к нему доступ, так как расширение у него таки txt, а не tpl, ini, log...

Так вот тут и обсуждается каким образом сделать так, чтобы доступа к этому файлику извне не было.

[RomanPavlovich]

Я может чего не понимаю, но для версии OpenCart 1.5.5.1 в файле .htaccess  есть строки:

 

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

 

Просто после установки OpenCart на хостинг надо переименовать файл из "htaccess.txt" в ".htaccess"

Скорее всего просто не читаете тему с начала. Файл ошибок изначально в системе называется error.txt и никакое переименование "htaccess.txt" в ".htaccess" не закрывает к нему доступ, так как расширение у него таки txt, а не tpl, ini, log...

Так вот тут и обсуждается каким образом сделать так, чтобы доступа к этому файлику извне не было.

Читаю любую тему сначала)

В приведённом мной куске файла .htaccess изменить строку:

<FilesMatch "\.(tpl|ini|log|txt|her)">

 

И в система -> настройка -> магазин -> сервер изменить:

Файл журнала ошибок: error.her

 

Не то?

[noVe]

А если отключить запись ошибок в error.txt в админке?

[Einshtein]

от этого расширение txt он не поменяет

[yvv75]

В приведённом мной куске файла .htaccess изменить строку:

<FilesMatch "\.(tpl|ini|log|txt|her)">

 

И в система -> настройка -> магазин -> сервер изменить:

Файл журнала ошибок: error.her

 

Не то?

Конечно то, но в предыдущем посте не было в значениях расширений txt и her...

Можно и так, но зачем тогда расширение txt в .htaccess добавлять? Можно просто her или ttt - тут уже разницы нет. В моем способе я вообще ничего не добавлял в .htaccess а поменял расширение файла на log - к которым доступ уже был запрещен в .htaccess.

P.S. Мне пришлось это сделать, так как файлы с расширением txt на моем хостинге отдает сервер NGENIX, которому файл .htaccess как-то до лампочки... И, как мне кажется, такой выход будет оптимальным...

[Esox]

сервер NGENIX - может nginx?

файл .htaccess как-то до лампочки - это как?

[yvv75]

сервер NGENIX - может nginx?

файл .htaccess как-то до лампочки - это как?

nginx - прошу прощения, ошибся.

А .htaccess - это файл, который читает web-сервер Apache. То-есть nginx на него никак не реагирует. Для него нужно все правила переписывать в файл настройки nginx.conf

P.S. К большим гуру не отношусь, вся инфа из открытых источников - точнее из гугла :-) и техподдержки хостинга, посему если и есть какие-то заумные способы заставить nginx  таки читать файлы .htaccess и выполнять прописанные там директивы - прошу сильно не пинать.

[Esox]

Не соглашусь с Вами, у меня энджинкс и директивы из хтакцесс прекрасно работают, редиректы, кэш и т.д.

[Zeppelin]

nginx в 90 % случаев используется просто как кэширующий прокси для статической информации, а все остальное делает стандартный апаче, НО есть случаи, где "nginx" используется как единственный веб сервер. Поэтому, нельзя однозначно утверждать, что что-то работает или не работает.

Уточните у хостера какой вэб сервер используется

[vgarazhe]

nginx + apache

SetEnvIf Remote_Addr "^...\...\...\..." realremoteaddr
Order Deny,Allow
Allow from all
deny from env=realremoteaddr

пример .htaccess для nginx

только свое правило укажите

 

Вот что мне ответил суппорт. Я честно говоря далек от этого. Что мне сделать что бы закрыть error.txt

[yvv75]

 

Вот что мне ответил суппорт. Я честно говоря далек от этого. Что мне сделать что бы закрыть error.txt

 

Переименовать в error.log и не изобретать велосипед...

[delovoy]

Вот, а скажите мне человеку мало сведущему в администировании.

 

Нормально ли, что файл Конфигурации с данными базы и тп, хранится в корне сайта?!

Чем и как он защищен, разве только правами и его не видно? Нельзя его "грабануть" или что еще?

 

Мне это как то не нравится совсем.

[freelancer]

вебсервером, у которого есть инструкция такие файлы не отдавать, а исполнять

[delovoy]

вебсервером, у которого есть инструкция такие файлы не отдавать, а исполнять

Т.е. обычными правами на файл? Но чуть что не так, и скопируют... пусть не исполнятся, но скопировать то можно.

(надо будет попробывать "грабануть" файл)

 

Тем более горе хостингов у которых права слетают не мало!

 

Вот как проверить, что файл прикрыт тщательно и почему реально Конфиг выложен в корень, неужели нельзя было все разместить в отдельно директории разработчикам? Я не понимаю этого.

[freelancer]

права это файловая система. другой уровень.

веб сервер смотрит по расширению файла, его content-type