Hallo Christian,

[...]

Was mich aber am brennendsten interressiert ist, wer ein solches Tool so
gezielt einsetzt.

Das wiederum ist ne andere Frage. Die zu beantworten dürfte schwierig werden.

Sind aber meine Informationen, wo der Angriff herkommt einigermaßen verlässlich, oder könnte sich ein Angreifer hinter dieser IP nur versteckt haben?

Habe ich mit weiteren Scans der anderen auf dem Server gehosteten Domains
zu rechnen?

Auch die Frage lässt sich nicht beantworten ;)

Na dann muss ich mal abwarten, und die Kunden eindringlich darauf hinweisen, Ihre eingesetzten Programme zu aktualisieren.

Hat ein solcher Scan nicht sogar strafrechtliche Relevanz?

Seit dem 1.1.2004 ist AFAIR derartiges per EU-Richtlinie verboten.

Das wäre ja dann auch eine Grundlage, sobald Polen in der EU ist. Wann war das nochmal? ;))

Und kann man in Polen den Täter anhand der Logs Dingfest machen, d.h.
lohnt sich eine Strafanzeige überhaupt? Die IP lässt sich ja eindeutig
zuordnen, und ein Proxy hängt da wohl auch nicht dran.

Du kannst es ja versuchen, aber ich bezweifle, dass du da sehr viel Erfolg
haben wirst. Die Daten dürfen nur der Polizei offen gelegt werden, und ob die
über die Landesgrenzen hinweg daran kommt, ist zweifelhaft.

Ich habe dem Geschäftsführer des Hosters empfohlen wenigstens eine Strafanzeige zu stellen, und den "Eigentümer" der IP zu informieren.

Ich habe den SQL-Inject mal rekonstruiert. Es wurde dabei versucht in
die Passwortabfrage der Webadministrationsoberfläche für die Kunden
einfach ein ' als Username einzugeben.

Ich würde empfehlen, alle User-Parameter durch die Funktionen mysql_escape_string,
pgsql_escape_string, ... laufen zu lassen ;)

Leider kann ich das nicht bei allen Kunden überprüfen.
Aber die kritischen Stellen habe ich mal gepatched, so daß unerwünschte Zeichen gelöscht werden.

Gruß Alex