Ok, ich hab mir das Logfile angesehen und versucht zu verstehen, warum es verdächtig aussieht. Mir erscheint nur folgendes verdächtig:
Hier werden verschieden PHP-Skripte mit GET-Paramtern aufgerufen. In dieden Parametern steht der Pfad nach etc/passwd.
... und das würde ich wie folgt interpretieren:
Hier probiert ein Automat aus, ob der in einem GET-Paramter übergebene Wert dazu verwendet wird, den Inhalt eines Files auszugeben, während der Wert des Paramters als Pfad zum File verwendet wird.
Interessant!