Moin Moin!

Ich arbeite beruflich mit PHP und weiß wo Ecken und Kanten sind..

Ohne Dich persönlich angreifen zu wollen: Nur weil jemand mit einer Sache sein Geld verdient, heißt es nicht, dass er gute Arbeit abliefert. Das kann man in meiner Neubauwohnung sehr schön sehen. :-( Und auch im PHP-Bereich gibt es dermaßen viele angreifbare Seiten von Leuten, die mit PHP ihr Geld verdienen, dass es einem die Tränen in die Augen treibt. Nicht, dass andere Sprachen grundsätzlich sicherer wären, aber PHP macht es eben sehr einfach, Fehler zu machen. Die große Verbreitung und die geringe Einstiegshürde machen es auch nicht besser. "Pubertierende Hauptschüler Programmieren" entbehrt ja nicht einer gewissen Wahrheit.

Die Aufrufe stammen zumindest von einem Perl-Skript (HTTP_USER_AGENT = libwww-perl/5.76).

Nicht unbedingt. Der User-Agent-Header ist genauso manipulierbar wie jeder andere Header.

Ich wundere mich nur über die Häufigkeit der Aufrufe - täglich mind. 1 mal.

Das würde ich als normales Hintergrundrauschen ansehen. Der Root-Server meines letzten Arbeitgebers hat pro Tag so um die 10 bis 50 automatisierte Angriffe auf den Webserver, typischerweise Versuche, IIS, phpMyAdmin und phpBB anzugreifen -- allesamt nicht vorhanden. Der SSH-Server hat in der gleichen Größenordnung Wörterbuchangriffe gesehen. Schade nur für die Angreifer, dass der SSH-Server root überhaupt nicht reinläßt, die wenigen befugten Accounts eben nicht admin, web, webmaster, student, test oder user heißen, und der SSH-Server grundsätzlich nur Leute reinläßt, die sich mit einem Zertifikat ausweisen können.

Auch die verschiedenen Orte der entsprechenden txt-Dateien sind komisch.

Wieso? Glaubst Du, Angreifer würden für ihre Angriffe ganz normal eine Domain und Webspace auf ihren eigenen Namen registrieren? So blöd ist wohl kaum jemand. Die txt-Resourcen sind auf allen möglichen und unmöglichen schon übernommenen Servern verteilt.

Und warum diese 3 Fragezeichen (manchmal auch nur 2) hinter der URL?

Schlampig gecoded, schlampig zusammengesammelte URLs.

Ich werde mal versuchen den page-Parameter umzubenennen, wahrscheinlich wird auch nach solchen aufrufen gezielt gesucht.

Vermutlich. Und vermutlich wird auch gelegentlich Deine Seite abgespidert, so dass das Umbenennen nur eine Weile hilft. Mach Deinen Code so sicher wie möglich, d.h. validiere ALLE Daten, die aus dem Netz kommen, und brich im Zweifel lieber mit 403, 404 oder 500 ab.

Meine versuche, an das Perl-Script heranzukommen blieben bisher ohne erfolg :/

Was versprichst Du Dir davon? Das Script wird garantiert immer wieder umgehackt, und nicht immer von Leuten, die sich damit auskennen. Ich denke, die überflüssigen Fragezeichen sind ein Artefakt eines Pfuschers, der irgendwann mal etwas am betreffenden Script geändert hat, ohne sich der Auswirkungen vollkommen bewußt zu sein.

Alexander