Hi

Erstens: Wenn so ein Angriff erfolgreich ist, dann ist sofort ein Schaden entstanden, indem die vom Angreifer erwünschten Auswirkungen wirksam werden. Mit Pech ist der ganze Server übernommen worden, so dass auf Logfileinhalte sowieso kein Verlaß mehr ist.

Ähm, das war IMHO eher früher der Fall, als man unter ein erfolgreiches Hacking immer verstand, daß man auch wirklich mit Shell auf den Server rauf konnte...

Die meisten Angriffe heutzutage sind jedoch ohne das erfolgreich. Referer-SPAMer wollen z.B. garnicht, daß sich auf dem Server irgendwas ändert.
Die wollen ganz einfach nur, daß in den Referer-Infos einer Seite die beworbenen Seiten ganz oben stehen. Bei einer Referer-SPAM-Attacke kommen dann mal ca. 20.000 Zugriffe pro einzelne Referer-beworbene Seite.

Andere Angriffe gehen auf Gästebücher-Skripten, Blogkommentare, Foren etc pp.

Von daher ist die IP schon wichtig. Zwar nicht für eine Strafverfolgung (das war schon immer Blödsinn, da die IP meist eh von einem Opfer, einem Proxy oder einem dummen Dialinprovider ist), sondern dafür, daß man im Falle einer solchen Attacke die Chance hat seinen Server oder seine Webanwendungen aus der Schusslinie zu nehmen. (Z.B. indem man Zugriffe von einer IP in eine  Teergrube leitet.)

Ciao,
  Wolfgang