Eles escaneiam para saber se você está em risco, assim, para hackear você mais tarde, se eles puderem colocar a mão nesses arquivos.
Geralmente é o arquivo de configuração do php (com a senha do banco de dados), o arquivo de configuração do wordpress, etc.
Como no meu servidor, também vejo a tentativa do RDP, bem-vindo à internet ...
ps. Muitos usam fail2ban para bloquear esses ip depois de maneira automática.
Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits