Esses tipos de sondas são muito comuns na Internet. Existem algumas coisas que você pode fazer para bloquear esse problema e reduzir o sucesso de um invasor.
Primeiro, recomendo que todos usem a autenticação de dois fatores para que, mesmo que o invasor adivinhe seu nome de usuário e senha, ele ainda não consiga entrar. Havia uma recompensa de US $ 500 para violar o TFA e, embora os atacantes de chapéu branco tivessem nome de usuário e senha, não puderam violar.
O módulo de revisão de segurança ou o Droptor pode ajudar a monitorar esses logons com falha. Se eles acontecem muito, você precisa começar a tomar mais ações. Os ataques de força bruta às senhas só funcionam se alguém os faz muito, por isso, se acontecer apenas algumas dúzias de vezes, não me preocuparia.
Você pode rastrear o endereço IP em uso por essa pessoa usando entradas do watchdog e, em seguida, usar as Regras de acesso do D6 internas (ou o equivalente do d7 - http://drupal.org/project/user_restrictions ) para bloquear o acesso por esse IP. Você também pode negar o acesso ao IP no Apache ou em algum outro firewall no nível do servidor. O firewall / servidor da web é um local mais eficiente para bloquear os usuários em termos de carga no servidor, mas geralmente requer um pouco mais de esforço.
Para os Drupal 6 e 7, o AjitS forneceu uma resposta com uma boa descrição de como usar um recurso de limitação de taxa para impedir repetidas tentativas de login a partir do mesmo IP.