Logdateien Upload - aktiven Schadcode finden und entfernen
Um feststellen zu können, was bei einem Hack wie und wann passiert ist, hilft nur ein Blick in die Logdateien des Webservers. Diese sind meist im /logs Verzeichnis auf dem Webspace zu finden oder können über das Control Panel des Webhosters heruntergeladen werden.
In den sogenannten Access-Logs werden sämtliche HTTP Zugriffe protokolliert. Man unterscheidet zwischen GET und POST Requests. Bei einem Hack sind hauptsächlich letztere von Relevanz. Dabei werden Daten an ein Script übergeben und damit die weitere Ausführung beeinflusst.
Analyse der POST Requests
Dieses Tool generiert eine Übersicht der häufigsten POST Requests aus den Access Logs, sortiert nach Statuscode und Front-/Backend.
Daraus gehen genutzte Schaddateien (Backdoors, Webshells) und Spam Scripts hervor, auf die üblicherweise per POST Request zugegriffen wird.
Basierend auf dem Inhalt und dem Änderungszeitpunkt dieser Dateien kann rekursiv nach weiteren Vorkommen gesucht werden, wobei es jedoch in den seltensten Fällen nur ein Muster gibt.
Für die weitere Suche nach Schaddateien empfiehlt sich ein Vergleich mit einem Backup oder dem Original Archiv (frische Joomla/WordPress Installation), wie im "Joomla gehackt" bzw. "WordPress gehackt" Artikel beschrieben.
/administrator Requests können ignoriert werden, sofern das Backend mit einem .htaccess Passwortschutz versehen ist.
Aus Sicherheitsgründen ist die Angabe einer E-Mail-Adresse erforderlich, auch wenn keine manuelle Auswertung gewünscht wird.
Hinweis: Es können nur access.log - keine error.log Dateien analysiert werden.
Benennen Sie die letzte (aktive) Log Datei in *.log um und wählen Sie diese zusammen mit älteren Logs (meist *.gz) per Mehrfachauswahl aus (Shift-Taste von-bis). Es macht wenig Sinn die Logs von nur 1-2 Tagen zu analysieren. Der Auswertungszeitraum sollte im Idealfall 4-6 Wochen betragen, um möglichst viele Erkenntnisse daraus gewinnen zu können.
Die automatische Auswertung ist auf Joomla! und WordPress Systeme zugeschnitten (nicht darauf beschränkt) und wird ständig optimiert.
Es ist keinesfalls davon auszugehen, dass sich alle Schadcode enthaltenden Dateien auch in den Logs finden lassen - hier werden nur die sichtbar, auf welche aktiv zugegriffen wurde.
Changelog
28.03.2020: Admin Vorgänge nach Land werden angezeigt.
11.09.2019: Von nun an werden auch bedrohliche GET Requests im Zusammehang mit WordPress Hacks angezeigt.
Hochgeladene Logdateien werden für die Erzeugung der Auswertung nur temporär auf unserem Server gespeichert und anschließend gelöscht.
Aus Datenschutzgründen werden an keiner Stelle IP-Adressen, Session-IDs o.ä. ausgegeben.