вот что было в том давнем отчете - похоже это как раз такой случай Поиск пользователей Описание При включенном на сервере модуле mod_userdir возможно определение наличия пользователя в системе. В дальнейшем атакующий может воспользоваться этим для подбора пароля к существующему пользователю. Например: /~root Решение Отключить использование модуля mod_userdir. Ссылки http://www.apache.org/