Hola Ferny,

Coincido contigo, al parecer es algún bot buscando scripts vulnerables en tu servidor.
Lo más sabio es (como bien has hecho) banear las IPs usando iptables:

Si estás usando algún firewall específico como APF, o CSF, solo corre:

o

Adicionalmente, te sugiero optimizar la seguridad a través de aplicaciones haciendo uso de Mod_Security.

Generalmente los ataques son lanzados desde otros servidores que han sido presa de una intrusión, muchos poseen servidores webs activos, otros no, así que no te extrañes si no ves nada al cargar la IP en el navegador.

Saludos,