So, das war ein sehr informativer Samstag Nachmittag.
Zwischenzeitlich habe ich an der htaccess gearbeitet und eine neue angelegt:
-> http://www.joomla-security.de/…haupt-htaccess-datei.html
Die Log-Dateien der betreffenden Tage, an denen der 'Überfall' verm. stattfand, habe ich, wie von JoomlaWunder empfohlen, vom Server kopiert.
Allerdings sind das mehrere MB große Texte, mit dene ich nicht allzu viel anfangen kann. D.h.: ich bin noch nicht schlauer.
Herkunft der IPs habe ich meistens in Russland, Litauen etc aber auch in USA lokalisieren können.
Die Logs sind fast ausschließlich wie folgt aufgebaut:
95.188.48.219 - - [05/Mar/2017:00:14:32 +0100] "GET /administrator/index.php HTTP/1.1" 200 9583 "http://xxxx-xxxxxxxxxxx.de/administrator/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36"
188.186.43.133 - - [05/Mar/2017:00:14:46 +0100] "POST /administrator/index.php HTTP/1.1" 303 245 "http://xxxx-xxxxxxxxxxx.de/administrator/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36"
78.28.201.84 - - [05/Mar/2017:00:14:56 +0100] "POST /administrator/index.php HTTP/1.1" 303 245 "http://xxxx-xxxxxxxxxxx.de/administrator/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36"
46.159.21.1 - - [05/Mar/2017:00:15:01 +0100] "GET /administrator/index.php HTTP/1.1" 200 9583 "http://xxxx-xxxxxxxxxxx.de/administrator/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36"
und gehen im Sekunden-Takt mit "GET und "POST die index.php an.
Kann mir vielleicht noch geraten werden, wie ich am Besten vorgehen soll?