Tengo un sistema de compra magento y lo leo en mis registros:
206.75.231.xxx - - [14/Dec/2017:19:59:11 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"
200.128.35.x - - [14/Dec/2017:20:37:41 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"
129.121.49.xxx - - [14/Dec/2017:21:29:02 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"
Y también hay 3 veces más que este "visitante" (con también otra IP) intentó detectar una vulnerabilidad en la instalación.
¿Por qué el "visitante" intenta esto con siempre 6 IP diferentes enviando siempre 9 POST? Creo que es suficiente intentar una vez para adivinar que no hay posibilidad de acceder.