Kann man dem Apache nicht beibringen, dass nach zB 10 Zugriffen mit Fehler von der selben IP die IP für eine Stunde gesperrt werden soll? Das würde die Sache für den Scanner deutlich erschweren, oder?

Auf welche Obscurity vertraust du?
Unzugängliches schützt man entweder mit .htaccess oder stellt es ausserhalb von http docs.

Btw. Und was wenn die 404er durch deine Dusseligkeit verursacht sind?

mfg Beat