Форуми / National / Russian / Тех. поддержка / Закрыть возможность достучатся до файлов

Kopusha
#1 02.01.2019 09:46

Друзья, с НОВЫМ 2019 годом! Пусть в этом году котонти не стоит на месте!

А теперь внимание, черный ящик вопрос! 
В служебных директориях в корне лежит пустой index.html со следующим содержанием

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. 
Какие еще шаги сообщество предложит для более грамотного вопроса бесопасности?
Спасибо!

Added 21 minutes later:

Сам же начну отвечать на свой вопрос
Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.

Это плагин Marketorders, люди покупают файлы и качают их. Что бы не качали получив ссылку на свой оплаченный и другие файлы (люди не переименовывают их к примеру и вполне можно введя прямую ссылку на datas/marketfiles/diplom.txt его скачать, а заставить систему переименовывывать в неудобночитаемо тоже не выход) сделано так - 
при добавлении переименовываем в sys.now+cot_randomstring+оригинальное_имя
На выходе имеем что то вроде 20190129105276c00404c259Diploma.txt
Дико удобно искать файл руками по ftp в случае чего - все и отсортировано да и зная дату можно дернуть по поиску и исключает перебор.
 


Відредаговано: Kopusha (02.01.2019 10:07, 5 років тому)
Roffun
#2 02.01.2019 17:04
#43939 Kopusha:

В служебных директориях в корне лежит пустой index.html со следующим содержанием

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. 
 

Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы, то в Cotonti используется:

 defined('COT_CODE') or die('Wrong URL.');

Также можно .htaccess положить в директорию с нужными настройками, но это индивидуально.

#43939 Kopusha:

Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.
 

Не факт что улучшение безопасности. Я когда-то писал плагин Confirmtheright, он как раз создает экстраполе для загрузки проверочных файлов для подтверждения прав на сайт. Оказалось самого экстраполя недостаточно для безопасности, нужно делать проверку на стороне сервера.

#43939 Kopusha:

Это плагин Marketorders, люди покупают файлы и качают их.
 

Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

Улетел на другую планету, а там почты нету.. https://www.cotonti.com/forums/45298?m=posts

Відредаговано: Roffun (16.01.2020 16:04, 4 року тому)
Kopusha
#3 02.01.2019 19:31
#43941 Roffun: 
Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

На виртуальной машине не осили как заставить работать и отложил.

По CONFIRMTHERIGHT не очень разобрался.
У меня так - есть поле file в Marketorders которое позволяет залить .jpg одному пользователю и продавать сайту напечатанный принт на базе этого jpg. То есть после заливки кроме админа (условия есть в шаблонах) доступ к оригинальному jpg закрыт (даже владельцу). Сам jpg может заливать любой пользователь.

Added 1 minute later:

#43941 Roffun: 
Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы

Речь именно о переборе статичных файлов в папке.

Evgen14
#4 04.01.2019 11:18

У меня на сайте человек накрутил себе баланс вот как он это сделал? 

maks
#5 04.01.2019 13:21
#43943 Evgen14:

У меня на сайте человек накрутил себе баланс вот как он это сделал? 

У меня тоже самое, баланс не пополнял а на счету миллион.

Виктор
#6 04.01.2019 18:09
#43943 Evgen14:

У меня на сайте человек накрутил себе баланс вот как он это сделал? 

хакер!?

maks
#7 05.01.2019 02:12

Логин у него: HACKER

Kopusha
#8 05.01.2019 02:24

Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем.
"Как накручивают себе баланс" это не вопрос.
Какие платежные системы стоят хотя бы сказали.

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.


Відредаговано: Kopusha (05.01.2019 10:05, 5 років тому)
maks
#9 05.01.2019 17:39
#43952 Kopusha:

Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем.
"Как накручивают себе баланс" это не вопрос.
Какие платежные системы стоят хотя бы сказали.

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.

Здравствуйте, я вам в личку не писал. И краденными скриптами не торгую, у меня в магазине несколько авторов которые сами пишут и продают свои скрипты. Теперь к проблеме. Судя по логам накрутка была через плагин: paymarkettop. У меня платежки Payeer и Free-kassa. 

Скрин из базы: 

https://prnt.sc/m3fhup

id взломщика 222. 

и лог с хостинга:

https://cloud.mail.ru/public/Lcbj/8jwQ3Y6GA все лишние ip отсеял только ip взломщика. Время накрутки как я понял 14:20:33

Kopusha
#10 05.01.2019 18:06

Я про предыдущего оратора Evgen14.