Auf einem meiner meiner Server läuft noch PHP 5.3 (wegen altem Code)
Dort finden sich in letzter Zeit im Logfile permanent Angriffsversuche wie :

[20/Jul/2020:19:02:08 /var/www/vhosts/domainname.de/logs/access_log:150.129.x.x /?%2D%64+%61%6C%6C%6F%77%5F%75%
oder
[20/Jul/2020:19:02:09 /var/www/vhosts/domainname.de/logs/access_log:150.129.x.x  /php4?%2D%64+%61%6C%6C%6F%77%5F%

Wer kein CGI verwendet, sondern PHP-FPM der kann nach den cgi Angriffen so suchen:
# grep “/cgi” /var/www/vhosts/domainname.de/logs/access_log | awk ‘{print $1″ “,substr($7,1,20)}’

Dies zeigt die Angreifer IP und einen Teil des Angriff – Codes, hier 20 Buchstaben

Möchte man nur die angreifenden IPs ermitteln:
# grep “/cgi” /var/www/vhosts/domainname.de/logs/access_log | awk ‘{print $1}’ | uniq

uiniq sorgt dafür dass jede IP nur einmal angezeigt wird auch bei mehreren Versuchen

Hat man mehrere Domains auf dem Server klappt es auch mit Sternchen:
# grep “/cgi” /var/www/vhosts/*/logs/access_log | awk ‘{print $1}’ | uniq