Hi Tom2

Im error-log steht folgendes
sh: /usr/bin/date: No such file or directory
und das ziemlich oft

Ehm... ja. Im Moment kann dir alles helfen, was geloggt wurde.

• Referer, also die Seite, die vor deiner Seite aufgerufen wurde. Wenn's Heise oder so ist, dann weist du warum.

46008: 99,55%:   111: 43,53%: 320,572: 99,15%: http://www.treffpage.de/
   65:  0,14%:    53: 20,78%:   0,271:  0,08%: http://forum.de.selfhtml.org/
hier die ersten beiden refererplätze des aktuellen Monats.
den referer können wir also ausschließen.

• IP-Adressen, die dir sagen, wer die Besucher waren.

#Anf.:  %Anf.: Seit.:  %Seit:  MBytes: %Bytes: Host
-----: ------: -----: ------: -------: ------: ----
8864: 12,79%:    30:  1,86%: 249,579: 29,86%: 80.145.126.123
 6821:  9,84%:     1:  0,06%: 173,206: 20,72%: 80.145.115.202
 2592:  3,74%:    10:  0,62%:  39,645:  4,74%: 80.145.98.205
 2330:  3,36%:    94:  5,81%:  22,597:  2,70%: 217.89.47.234
das sind die ersten vier plätze des aktuellen monats

• Uhrzeit. Wenn alles ganz nahe beieinander liegt, so deutet das auf einen automatisierten Angriff(/Loop) hin.

ja es liegt alles nahe beinander. am
Datum: #Anf.:  %Anf.: Seit.:  %Seit:  MBytes: %Bytes:
13. Mai 03: 23909: 34,50%:   128:  7,92%: 518,601: 62,05%:
um
Stunde: #Anf.:  %Anf.: Seit.:  %Seit:  MBytes: %Bytes:
    16: 21415: 30,90%:   111:  6,86%: 487,882: 58,38%
Die Angaben in Prozent beziehen sich auf die bisher ausgewerteten Tage im Mai.

Besorg dir also schnellst möglich die Logfiles und werte diese aus. Falls es sich nur um eine IP-Adresse handelt, so kannst du diese Adresse oder die Adressen dieses Providers temporär aussperren, um dein Angebot weiterhin für andere Surfer verfügbar zu machen.

der angreifer hat doch sicher ne dynamische ip oder?
wie kann ich eine ip aussperren? über .htaccess oder kann das nur mein provider?
mfg Marcel