Ha van időd, és lehetőséged, akkor próbáld már ki a fail2ban-t! Alapból semmivel nem kell tökölni, a konfigban engedélyezed a telepített szolgáltatásnak megfelelő rész - esetünkben az apache-noscript szekciót. Nem kell foglalkoznod új IP-kkel, a fail2ban automatikusan bannolja, majd a letelt idő után visszaengedi az adott ip-t. Ha egy trükkös valaki egyszerre 10 címről támadja a gépet, akkor szépen mind a 10 ip megkapja a maga pihenőjét, neked annyi a dolgot, hogy néha ránézel a logra, és ha bizonyos szolgáltatást masszívan támadnak, akkor felemeled a ban idejét, meg csökkented az engedélyezett próbálkozások számát.
A második részhez:
Jobb válaszom nincs hirtelen, mint hogy nem így működik a dolog :) Nézd meg a fail2ban-t, mert rossz a megközelítésed. De ha pld. működne a dolog, hogy csak joomlát védesz (de hogyan??), attól még leterhelhetik a szervert másodpercenkéti több phpmyadmin kereséssel, de erről már írtam fentebb. (Egyébként a tárgyalt apache-noscript szűrő 2 rövid regexp sor - ha létezne előre definiált "joomla sebezhetőség pack", szerintem az nem jönne ki 2 sorból, meg mi van a nem ismert sebezhetőségekkel?)
Ahol esetleg tévedsz: a fail2ban szerver-szolgáltatásokat véd (ssh, ftp, web, dns, mail stb.), nem pedig "weboldalakat" - tudom ez nem a legkorrektebb kijelentés, de most hirtelen nem tudom jobban megfogalmazni.
Azt viszont igaz, hogyha a szerveren nincs dns és mail szerver, akkor felesleges bekapcsolni a hozzájuk kapcsolódó szűrőket. (Bár nem hiszem, hogy egy feleslegesen bekapcsolt szűrő brutális teljesítménycsökkenést okozna, mert a vizsgált log vagy minimális méretű vagy nem is létezik).
Ne kattints ide!