Um feststellen zu können, was bei einem Hack wie und wann passiert ist, hilft nur ein Blick in die Logdateien des Webservers. Diese sind meist im /logs Verzeichnis auf dem Webspace zu finden oder können über das Control Panel des Webhosters heruntergeladen werden.
In den sogenannten Access-Logs werden sämtliche HTTP Zugriffe protokolliert. Man unterscheidet zwischen GET und POST Requests. Bei einem Hack sind hauptsächlich letztere von Relevanz. Dabei werden Daten an ein Script übergeben und damit die weitere Ausführung beeinflusst.

Analyse der POST Requests

Dieses Tool generiert eine Übersicht der häufigsten POST Requests aus den Access Logs, sortiert nach Statuscode und Front-/Backend.
Daraus gehen genutzte Schaddateien (Backdoors, Webshells) und Spam Scripts hervor, auf die üblicherweise per POST Request zugegriffen wird.
Basierend auf dem Inhalt und dem Änderungszeitpunkt dieser Dateien kann rekursiv nach weiteren Vorkommen gesucht werden, wobei es jedoch in den seltensten Fällen nur ein Muster gibt.
Für die weitere Suche nach Schaddateien empfiehlt sich ein Vergleich mit einem Backup oder dem Original Archiv (frische Joomla/WordPress Installation), wie im "Joomla gehackt" bzw. "WordPress gehackt" Artikel beschrieben.

/administrator Requests können ignoriert werden, sofern das Backend mit einem .htaccess Passwortschutz versehen ist.

Aus Sicherheitsgründen ist die Angabe einer E-Mail-Adresse erforderlich, auch wenn keine manuelle Auswertung gewünscht wird.

Erlaubte Dateiendungen: .gz, .log (max. 20 Dateien - Mehrfachauswahl möglich)

Hinweis: Es können nur access.log - keine error.log Dateien analysiert werden.
Benennen Sie die letzte (aktive) Log Datei in *.log um und wählen Sie diese zusammen mit älteren Logs (meist *.gz) per Mehrfachauswahl aus (Shift-Taste von-bis). Es macht wenig Sinn die Logs von nur 1-2 Tagen zu analysieren. Der Auswertungszeitraum sollte im Idealfall 4-6 Wochen betragen, um möglichst viele Erkenntnisse daraus gewinnen zu können.

Die automatische Auswertung ist auf Joomla! und WordPress Systeme zugeschnitten (nicht darauf beschränkt) und wird ständig optimiert.
Es ist keinesfalls davon auszugehen, dass sich alle Schadcode enthaltenden Dateien auch in den Logs finden lassen - hier werden nur die sichtbar, auf welche aktiv zugegriffen wurde.

Changelog

28.03.2020: Admin Vorgänge nach Land werden angezeigt.
11.09.2019
: Von nun an werden auch bedrohliche GET Requests im Zusammehang mit WordPress Hacks angezeigt.


Hochgeladene Logdateien werden für die Erzeugung der Auswertung nur temporär auf unserem Server gespeichert und anschließend gelöscht.
Aus Datenschutzgründen werden an keiner Stelle IP-Adressen, Session-IDs o.ä. ausgegeben.

Kommentare  
Björn
# Björn 2020-03-31 06:34
Danke dafür! Ich habe auch ab und an mit gehackten Seiten zu tun und was das Tool ausspuckt, ist super hilfreich!
Antworten

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Kontaktmöglichkeiten

Chat starten (online)
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr