no sé si tienes un servidor web o tu servidor solo contiene una pagina, pero si capturas el URI despuies de ? vas a dejar muchos de los php instaldos en el servidor fuera de combate
Otraq cosa , no solamente usan cmd.txt, usan tambien el tool25.txt, y seguuimos te combiene por ejemplo buscar esto, te daras cuenta de muchisimos ataques con este metodo
Cita: grep "REQUEST" /usr/var/access-log | awk '{print $1}' | cut -d':' -f2 | sort |uniq -c | sort