Primero se ve que el scripts del hacker esta fallando o es un novato que se lo =bajo de alguna pagina para probar por que falta el h en http, lo importante es que primero debes ver en log es que no haya encontrado la pagina y tenga error, sino ya te instalo el scripts cnd en el directorio .tmp y te combiene hacer un comando en el tmp "ls -la"porque te va ocultar los progrma de ejecución.
luego usa este scripts desde el shell
Cita: grep "cmd.txt" /usr/var/access-log | awk '{print $1}' | cut -d':' -f2 | sort |uniq -c | sort
cambiar la ruta del log de tu apache si no coincide con el que te puse yo.
Esto te mostrara todos los IP que han intentado correr ese scripts y luego debes bloquear esos IP, te recomiendo primero bloquear el IP: 210.204.138.43
a si si logra encontrar una vulnerabilidad en tu server no podra instalar desde el IP: 210.204.138.43 el cmd.txt y asi no tendra efecto el ataque.