Pesquisar na Comunidade

Caros, Tenho um site online ao qual os clientes tem seus logins e senha para acessar um painel de controle, este login e senha é criado pelos próprios cliente no site. Nesta manhã recebi o seguinte vídeo de uma pessoa que aparentemente estava testando a segurança do meu site: https://puu.sh/EoqKj/313f9caa28.mp4 Ele está de alguma forma usando alguma ferramenta com combinações de "logins" e "senhas" ou até brute force não sei exatamente o que seria isto e quando um login e senha estão corretos retorna para ele que estes dados estão corretos e de fato estas informações estão corretas já confirmei todos logins listados e senhas todos são reais ( não é logins e senha que ele criou e expôs ali para dar veracidade a ferramenta pois tem contas criadas até de 5 anos atrás ali no meio. Assim que recebi o vídeo imaginei que poderia ser brute force e limitei a tentativa de acessos no painel de controle para 3, sendo assim bloqueando acesso ao login por 15 minutos e o ip também. Mesmo fazendo isto ele continua rodando esta ferramenta sem problemas, não tenho ideias no momento do que pode ser e estou apelando a vocês para poderem me auxiliar o que poderia ser feito para evitar este tipo de situação ? Observação: Não é injection também pois a script está devidamente protegida contra isso. Se necessário compartilho o index ( de acesso ao painel de controle ) com vocês para me ajudarem analisar se existe alguma brecha para isto.