Tach!

Allerdings sagt das Datum nichts davon, sondern es zeigt immer noch das Erstellungsdatum an. Das würde wiederum heissen das ich keinen Datum trauen kann. (Mist)

Dateidatümer kann man beliebig manipulieren. Das ist keine durch das Betriebssystem geschützte Eigenschaft.

Gibt es da einen weg wie ich da am besten Vorgehen kann um die Einfallstüre zu finden.

Logfiles prüfen. Besonders nach POST-Requests. Ich geh mal davon aus, dass sie über die Webseiten reingekommen sind. SSH, wenn vorhanden, oder FTP wären auch noch zwei naheliegende Kandidaten. Aber ohne konkretes Datum ist das die Nadel im Heuhaufen, besonders wenn viele reguläre POST-Requests reinkommen. Ein Tool wie AIDE oder ein anderes Intrusion Detection System kann helfen, Änderungen zeitnah angezeigt zu bekommen.

dedlfix.