Ciao Dario,
dunque, fino a quando pubblicherai i package SCORM dentro il file system di Moodle, ogni file del package potrà essere scaricato solo se sarai loggato ed iscritto al corso quindi è normale vedere la richiesta "di furto" che viene rediretta (HTTP Status 303) alla pagina di login per autenticarla ed eventualmente autorizzarla. Questo comportamento porta ad un DoS ma a "nulla più": tool come fail2ban potrebbero aiutarti, dipende dal tuo OS facendo anche attenzione a legare URL pattern e HTTP Status (303) perchè un HTTP Status 200 deriva da Moodle che ha già legittimato la richiesta e rischieresti di escludere utenti regolari che hanno molta banda (veloci nelle richieste) o più utenti NATtati dietro ad un proxy (sempre un alto numero di richieste dal medesimo IP).
L'errore client denied by server configuration deriva da Apache, direi la 2.4: dovresti controllare cosa segue subito dopo perché quello è il percorso negato e secondo me fa parte dello scanning al tuo web server e probabilmente sono percorsi non esistenti sul tuo server e non legati a Moodle.
Detto questo, la pagina che tu vedi non esiste sul web server ma viene generata dal tuo browser in seguito ad aver ricevuto una risposta vuota e quindi non attesa; difficile fare una diagnosi, certamente se puoi navigare la tua istanza Moodle fino a chiedere il backup il problema non è di filtraggio del tuo IP ma da altro che potrei ora identificare solo in problemi di spazio disco (log che saturano lo spazio a disposizione sul server?) e non ad esempio come effetto di intrusioni, soprattutto se la tua istanza Moodle viene tenuta ragionevolmente aggiornata.
Infine, Moodle di suo non ha meccanismi di IDS per cui non è in grado di escludere nessuno né tantomeno di bloccare il servizio di download.
HTH,
Matteo