Hallo,

»» 1.) Hast Du serverseitige Scripte auf Deiner Website?
Ja, PHP Version 4.4.9.

abgesehen davon, dass PHP4 relativ veraltet ist - Felix meinte nicht die installierte PHP-Version, sondern von dir eingesetzte Scripte, die eventuell Schlupflöcher haben könnten. Foren, Gästebücher, Blogs, ...

Server-Logs sind angefordert und solange tappe ich im Dunkeln.
Die Webseite, die dort läuft, kommuniziert nach aussen nur .html-Dateien, mod_rewrite sei dank.

Solange "nach innen" trotzdem PHP benutzt wird, und Parameter von außen auf irgendeine Weise an das Backend gelangen können, spielt das erstmal keine Rolle.

Aufgefallen ist mir noch, dass auch Dateien im Verzeichnis direkt oberhalb des aktuellen DOCUMENT_ROOT betroffen sind.

Das ist zwar eine wichtige Beobachtung - hilft aber nicht. PHP hat auch dort bestimmt Schreibrechte, und je nach Konfiguration des Servers könnte auch von einem anderen Kunden-Account aus dort ein Schreibzugriff möglich sein.

Merke: Das Sicherheitsproblem muss nicht bei dir liegen, nur weil dein Account betroffen ist. Es kann ein ganz anderer Account sein, sogar einer mit administrativen Rechten ...

Good luck,
 Martin