Die Log was du da gezeigt hast "könnten" manuelle Anfragen mittels telnet oder openSSL sein von Leuten die wissen wollen was für einen Server du betreibst.
Natürlich ist das „Stochern im Nebel“. Aber manuell? Telnet? Pures openSSL? Eher nicht. Es gibt genug „Hacking-Tools“, die Wunder versprechen.
Und es gibt wohl auch genug IoT-Dinger mit seltsamen Webservern (nicht vergessen: Wordpress-(und andere) Installationen ohne Updates) - die man mit sowas hacken kann.
Wenn ich Dich inzwischen richtig verstanden habe sendest Du selbst mit PHP einen 400er. Das solltest Du NICHT tun, überlass den 400er dem Apache exclusiv, damit Du Hänsel und Gretel unterscheiden kannst.