Você não pode esconder completamente que existe um servidor web, uma vez que a conexão com o servidor é feita com o endereço IP, e não com o nome do host. O Apache, em seguida, lê a solicitação, que contém um campo Host indicando o IP que foi usado para acessar este site, mas, nesse momento, a conexão TCP já está estabelecida. No entanto, você pode usar mod_security para fechar a conexão TCP, uma vez que o apache encontrou o vhost correto sem enviar uma resposta HTTP, consulte link .
Além disso, certifique-se de que o vhost usado para eliminar essas solicitações seja o primeiro lido do vhost na sua configuração, pois esse será o escolhido se nenhum vhost corresponder (por exemplo, se alguém usar o arquivo hosts para fornecer uma nome aleatório para o seu endereço IP).