Antwort #45 am: 15. Dezember 2015, 23:55:03
Wichtig ist, was auf dem Webspace war, als der erste erfolgreiche Zugriff erfolgte. Jeder halbwegs planmäßig vorgehende Hack sieht für den Moment ein paar Backdoors vor, die in dem Moment installiert werden.
In der Regel läuft der gesamte Vorgang von aufspüren bis zu diesem Moment automatisiert durch Bots ab.
Nur für den Fall, dass eine Backdoor erfolgreich eingebaut wurde hinterlässt der Bot eine Nachricht.
Der eigentliche Hacker bekommt dadurch eine Liste mit befallenen Webseiten, die er dann selber nutzen oder den Backdoorlink verkaufen kann. Oft vergeht etwas Zeit, von der Infektion bis zu dem Moment, indem die Backdoor genutzt wird.
Das was ich beschreibe ist die am häufigsten genutzt Angriffsart, die auf bestimmte bekannte oder noch unbekannte Sicherheitslücken abzielt. Es gibt noch weitere mögliche Szenarien, die dann aber in der Regel ein bestimmtes Ziel angehen. Dabei geht es dann meist um Wirtschaftsspionage. Das schließe ich in deinem Fall eher aus, da dein Provider feststellen konnte, dass dein Server für Spam-Mails missbraucht wurde.
Das Thema Hackerangriff ist ein weitgefächertes Themengebiet und ich will nicht unnötig weit ausholen.
Wichtig ist, was die erste Sicherheitslücke war. Ich vermute da eher das von dir erwähnte CMS, da die gewählten Dateinamen und Pfade zum Verschleiern an Joomla angelehnt sind. Wenn du also in den Logs was dazu findest, solltest du auch die Entwickler vom CMS informieren. Welches CMS war es denn nun?