Nein, vermutlich nicht! Da gehört schon eine gewisse Erfahrung dazu, um das effektiv auswerten zu können.Zitat von soxan
Versuchen würde ich es aber. Wenn es nicht klappt, wende Dich an die diversen Experten die hier im Forum unterwegs sind. (Bitte nicht an uns/mich - wir haben genug zu tun).
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Ich hätte jetzt meine LogFiles...Kann mir jemand helfen oder verraten, welche Programme es gibt diese auszulesen ?
DANKE
Mit einem normalen Text-Editor. Logfiles sind simple Textdateien.
Du kannst Sie auch in eine Tabellenkalkulation einlesen und anhand der Trennzeichen eine bessere Formatierung erreichen. Das Einlesen scheitert aber meistens an der Größe der Logfiles.
Am sinnvollsten sind Komandozeilen-Tools wie "grep". Damit filterst Du Logfiles nach Suchparametern. Nur wenige Editoren bieten ähnlichen Komfort. Erwähnswert ist hier der Ultraedit. Damit geht das auch superklasse.
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
OK !
ultraEdit funktioniert super! hmmm, aber wie finde ich nun "hacks"...was deutet auf einen hack hin? soll ich die log-datei mit den in frage kommenden tagen veröffentlichen ?
Wie ich ja schon schreibe gehört eine gewisse Erfahrung dazu, das zu finden. Das kann man unmöglich hier so erläutern, das Du damit eine 0815-Anleitung hast.
Du siehst in Logfile jede Aktivität, die ein User per Browser gemacht hat. Du siehst ob er eine Abfrage gestartet hat ("GET ") oder ob er Daten geschickt hat ("POST "). Du siehst die Uhreiten, die siehst die IP des Users und die Herkunftsadressen, die menge der übertragenen Daten, den Rückgabecode des Webservers usw.
Wie Du jetzt vorgehst hängt davon was, wie Du den Vorfall einschränken kannst. So sind z.B. das Änderungsdatum veränderter Dateien ein guter Einsstiegspunkt in Verbindung mit POST-Vorgängen. Stösst Du auf Verdächtiges kannst Du anhand der IP das ganze Bewegungsprofil des Besuchers filtern. Du kannt nachsehen, woher die IP kommt (ripe.net). Bestimmte Länder sind typisch für solche Angriffe...
Also: Nutze Deine analytischen Fähigkeiten und geh sachlich/logisch an die Sache heran. Einfach alle Zeilen "durchgucken" bringt Dich nicht weiter.
Findest Du nichts, dann such Dir professionelle Hilfe (hier gibt es jede Menge Leute, die Dir helfen können). Bitte nicht an uns wenden. Solche Analysen machen wir nur für unsere Kunden.
Geändert von flotte (31.10.2008 um 14:56 Uhr)
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen