Parece que alguém está analisando seu site em diferentes portas e procurando por um arquivo específico ( r.php ) que poderia ser um backdoor ou algo similar. Como o arquivo não existe ele gera erros (o que é bom) ... Eu vejo esse tipo de entradas de log de tempos em tempos também.
Fique com estas respostas sobre como proteger a LAMP em geral: Dicas para proteger um servidor LAMP