Cita:
Iniciado por Okidoki 
Primero se ve que el scripts del hacker esta fallando o es un novato que se lo =bajo de alguna pagina para probar por que falta el h en http, lo importante es que primero debes ver en log es que no haya encontrado la pagina y tenga error, sino ya te instalo el scripts cnd en el directorio .tmp y te combiene hacer un comando en el tmp "ls -la"porque te va ocultar los progrma de ejecución.
luego usa este scripts desde el shell
cambiar la ruta del log de tu apache si no coincide con el que te puse yo.
Esto te mostrara todos los IP que han intentado correr ese scripts y luego debes bloquear esos IP, te recomiendo primero bloquear el IP: 210.204.138.43
a si si logra encontrar una vulnerabilidad en tu server no podra instalar desde el IP: 210.204.138.43 el cmd.txt y asi no tendra efecto el ataque.
Gracias por la pronta respuesta
Obviamente, esto es un robot de vulnerabilidades, ya he comprobado estado de máquina, quienes han intentado acceder al script y demás. El hecho es que como solución, el bloqueo de ip me parece insuficiente, y mirarlo en las trazas después de que ocurra, aunque el servidor está bien protegido, pues no me gusta; lo que quería era bloquearlo de raiz desde la config de apache, mediante un rewrite de la URI cuando encontrase ciertos elementos en la URI (entre los parámetros) o un SetEnvIf, pero por alguna razón no consigo que coja ninguna expresión regular que capture la cadena "cmd" después de la ? de los parámetros de la URI