Может быть так уменьшить трафик от вирусных хостов?

Это я же. Может быть можно сделать в apache так: как только обнаружен get-запрос нежелательного каталога/файла, так сразу же добавить в ipchains исходящий ip с reject? Тогда последующие запросы будут отсечены. Вот только как указать apache, чтобы он запустил ipchains?

Сделать-то это можно ... например поставить mod_rewrite и запускать скриптик блокирующий адрес в ipchains ... но ВХОДЯЩИЙ трафик это ведь не уменьшит?

Ну почему не уменьшит? Сессия создаваться не будет, значит, не будут поступать высокоуровневые пакеты с get-запросами, а они как раз и создают основной трафик.

Атаки происходят волнам. То тихо, то вдруг начинают ломиться. Поэтому как временную меру я все-таки реализовал отрубание с помощью занесения ip в ipchains. И действительно это помогло. Судя по денежному отчету провайдера, экономия на лицо, я практически вернул трафик к среднестатистическому. Пока идет волна, я могу перегружать сервер раз в сутки, отрубленные ip опять будут подключены. А когда 2/3 трафика - нежедательные запросы, это тоже не жизнь. Эта мера рассчитана на то, чтобы пережить очередной всплеск активности зараженных компов.