striderec Fijate que por los logs te están haciendo un básico ataque de diccionario para ingresar (todos los POST a / ). Poniendo .htaccess se les hará más complicado (quizas los script kiddies no usan basic http auth y solo automatizan los posts)... o bien tendrán dos claves que adivinar.
ARI es un conocido vector de ataque, no estoy seguro de que en la version incluída en Issabel 4 existan las vulnerabilidades en callme.php y similares que parecen haber sido los vectores de ataque en tu caso... es posible que eso esté resuelto, pero no puedo garantizarlo.
ARI es uno de los primeros candidatos a ser removido, luego de a2billing que ya fue removido del ISO. A menos que existan usuarios que puedan aportar los parches de seguridad adecuados, lo que posiblemente decidamos sea retirar la funcionalidad (desarrollada por terceros), o forzar capas de autenticación .htaccess. Pero lo ideal a mediano plazo sería reemplazarlo por herramientas propias y más modernas, al igual que FreePBX.
Sería bueno armar un equipo de "seguridad" que pueda hacer pruebas y pen testing , o que pueda intentar usar todos los exploits conocidos sobre una instalación fresca.
Saludos,