Hallo!

Es wäre sehr viel sinnvoller an einer anderen Stelle anzusetzen: verbiete Passwort-Login, dann können sie nichts erreichen, auch nicht mit 10.000 wechselnden Proxies.

Ein gutes perlscript könnte dem weiterhelfen.
Ich habe selbst mal eines geschrieben mit hilfe von selfhtml (u.Struppi -besten dank),welches erst den htaccess geschützten link freigibt wenn das passwort und username erfolgreich war.Im script sind diverse hürden eingebaut,wo das script erst die passwortliste abklappert,wenn bestimmte eingaben gegeben waren, ansonsten zeigt es nur den login.
Wenn die eingabe zwar korrekt sind aber die user/pass daten falsch, dann wird ebenfalls das login gezeigt, wobei ein zähler die IP logt und hochzählt.Es wird auch zeitlich gemessen,wieviel mal pro sekunde er auf das script zugreift.Bei 6 falscheingaben, wird die IP gesperrt (oder wenn das script weniger als 1 sekunde mehrmals zugegriffen wird - sofort gesperrt) per htaccess und mir eine email mit ein paar details gesendet.
Solche bots oder programme haben oftmals mehrere zugriffe pro sekunde, im gegensatz wenn jemand es per hand versucht.
Seitdem hatte ich nur einen der es versucht hat mit so nem kidyprogramm. Er hat zwar die erforderlichen daten vom formular des logins mitgeschickt, aber leider ohne usernamen.
Früher hatte ich manchmal 60MB alleine von solchen attacken im errorlog und heute sind es knapp mal 20KB pro woche,welche meine errorlog beschreibt.

Größere Gefahren lauern meist eher im Bereich der unsicheren Web-Scripte.

das stimmt.
Gruss
Alain