Odpověď na názor

ad 2) to je přece nesmysl! Výskyt v logu neříká o podstatě útoku nic, pouze to znamená, že někdo testoval nacpání obsahu do hlavičky Referer. Kdyby zkusil jiné hlavičky, nedozvíme se to!

Ani návratová hodnota neříká nic. Dotaz může klidně vyvolat volání existujícího skriptu, útok se povede, ale skript vrátí bezstarostně 403 nebo 404. Nic to neznamená!

Administrátor serveru si je buď jistý, že včas záplatoval, anebo si jistý není a pak mu žádný log nepomůže. Čisté řešení je server při pochybnostech okamžitě přeinstalovat z důvěryhodných zdrojů.