Checksummen sind nicht eindeutig verlässlich.
Die Wahrscheinlichkeit zweimal dieselbe Summe zu haben liegt bei 1 zu 2128 beim MD5-Algorithmus.
Über Logdateien zu glauben, alle Hacks finden zu können, ist ebenfalls nicht realistisch. Oft genug werden Hacks erst nach langer Zeit bemerkt und es sind gar nicht ausreichend Logdateien mehr verfügbar, je Provider unterschiedlich.
Deswegen durchsucht man seine Logs auch jeden Tag, und nicht erst dann, wenn es zu spät ist. Wenn du allerdings einen geglückten Hack aufklären sollst, ist natürlich klar, dass du nach hinzugefügten und veränderten Dateien suchst. Allerdings kommst du auch hier nicht ohne Logs aus, zum Beispiel dann nicht, wenn Core- oder Erweiterungsdateien verändert, und gleichzeitig das Änderungsdatum an die Umgebung angepasst wurde, und du nicht weißt, nach welchen Strings du in den Dateien suchen musst.
Die letzten beiden "fiesen" Hacks erzeugen in Folge teils auch keine auffälligen Muster in den Logdateien.
Nur nach Mustern zu suchen genügt nicht. Man sollte schon etwas genauer hinschauen, weshalb Kenntnisse der gängigen Exploit-Techniken und aktueller Sicherheitslücken und ihrer Ausnutzung (Exploit DB) von Vorteil sind.
Und beim nötigen Durchsuchen der Datenbank braucht man wieder Know-How und Gespür, das nicht nach Schema F ist.
Richtig.
Ich bleib dabei: Dateiinhalts-Abgleich, PHP-Kenntnisse, Joomla-Kenntnisse.
Ist auch wichtig, keine Frage.
Alles andere ist Beiwerk, mehr oder weniger hilfreich.
Nein, ohne eingehende Analyse der Zugriffslogs kannst du einen Hack weder vernünftig dokumentieren, noch aufklären. Dass einige Provider sich die Bereitstellung von Log-Dateien Extra kosten lassen, ist ein anderes Thema.