Access.log Мамкин хакер?

Здравствуйте. Есть сайт, в связке Cloudflare+Nginx+Apache.

В логе access.log появились вот такие записи:

198.199.119.73 - - [18/Jan/2024:17:44:11 +0400] "GET /login HTTP/1.1" 403 1001

82.151.200.94 - - [18/Jan/2024:15:23:23 +0400] "GET /restore.php HTTP/1.1" 403 1001

64.62.197.193 - - [18/Jan/2024:14:22:30 +0400] "GET /dns-query?name=dnsscan.shadowserver.org&type=A HTTP/1.1" 406 -

182.92.168.12 - - [18/Jan/2024:10:23:06 +0400] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 403 1001

182.92.168.12 - - [18/Jan/2024:10:23:00 +0400] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 940

54.211.249.181 - - [17/Jan/2024:16:05:47 +0400] "GET /aaaaaaaaaaaaaaaaaaaaaaaaaqr HTTP/1.1" 403 1001

143.42.63.237 - - [18/Jan/2024:00:52:47 +0400] "GET /admin.jhtml HTTP/1.1" 403 1038

143.42.63.237 - - [18/Jan/2024:00:52:47 +0400] "GET /menu.jsa HTTP/1.1" 403 1038

и так далее.

В Cloudflare стоит фильтр не пускать с http 1.x.

Да, сервер отдает ошибку 40x. Но тем не менее, как-то эта дрянь лезет. Еще очень много обращений к favicon.ico, но у меня нет такого файла на сервере.

Уважаемые серчане, что это и как с этим бороться?