grep -h xmlrpc.php /usr/local/apache/logs/error_log | awk '{print $8}' | sed 's/]//g' | sort | uniq -c |sort

esto le dara la lista de IP que usa nuestro "amigo" para encontrar la vulnerabilidad el xmlrpc.php y luego pues bloquearlo en el server.