Er hat sogar die IP von ccbill.com jedenfalls die ersten beiden 64.38.
ist das denn überhaubt möglich?

IP-Spoofing, ja.

Hier hab ich seinen referer:
user detail Agent D'ohBot!/0.1 libwww-perl/5.48 IP 64.38.240.43 referer

Gefälscht offensichtlich.

Kann man dagegen was tun? Vielleicht im cgi?

Gegen IP-Spoofing helfen nur aufwendigere Techniken, z.B. zusätzlicher Paßwortschutz des Scripts (.htaccess) oder Vergabe von Zertifikaten.