Прочитал всю дискуссию и немного сконфужен :) Не понимаю причины для беспокойства
У нас в компании используются несколько серверов приложений, многие из них не имеют в качестве фронтенда ни апача ни nginx'а, используется их собственный встроенный веб-сервер.
Как только мы стали подменять заголовок Server на Apache или Nginx, то с 2004 года была только 1 предметная атака с попыткой использовать уязвимости этих серверов приложений. И то скорей всего по причине того, что на одном сервере отдавалась родная страница ошибки с указанием реальной версии сервера (закрыли. чуть позже)
А все остальные случаи (каждый день) это именно попытки ломать через стандартные PHP уязвимости
Ведь основное кол-во атак производится автоботами, а они насколько я понимаю для предварительного анализа ресурса используют заголовок Server