Ist bei meiner Nextcloud genauso. Da wird auch regelmäßig versucht die config files abzurufen.
Da wird darauf gehofft, dass der WEbserver mal aufgrund Fehkonfiguration die Datei ausliefert und man sich daran weiter im System vorarbeiten kann.
Sicherheitslücke nein, ist eher was für fail2ban. Da habe ich aber nur das Jail für ssh aktiviert.
Vermutlich weil der Aufrufer vermeindlich in der Ukraine zu sitzt.
In der config.php steht das Datenbankpasswort und wenn der Webserver grottenfalsch konfiguriert ist, kann man diese Datei damit auslesen/runterladen und wenn der MySQL-Server dazu noch falsch konfiguriert ist und auf dem externen Interface anstatt nur auf localhost lauscht, lassen sich so per mysqldump die ganzen Datenbanken zur weiteren Auswertung in die Ukraine dumpen…vermeintlich Ukraine.
Vermeintlich, da die Geolokalisierung schon lange nicht mehr funktioniert und selbst Werkzeuge wie mtr werden da vollkommen verarscht.
Durch shodan lassen sich Listen mit Moodleinstallationen erzeugen, ein Bot probiert das durch und wenn da was geht, schaut sich das ein Mensch an und es gibt viele grottenschlecht installierte Server. Ihr muesst nicht davon ausgehen, dass nur Debian und Ubuntu genutzt wird, es gibt tausende wild zusammengefickte Systeme, die keiner hegt und pflegt.
shodan kommt bei meinen Servern taeglich mindestens einmal am Tag vorbei und schaut nach Neuigkeiten.
Gruss Harry