Buenas a todos, tengo un servidor HP Microserver con Apache y Nextcloud, desde que está accesible a internet todos los días veo en en log de Apache registros como este:

Código:
125.212.217.215 - - [27/Aug/2018:23:38:57 +0200] "GET / HTTP/1.1" 400 7610
125.212.217.215 - - [27/Aug/2018:23:39:00 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:03 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:06 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:08 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:10 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:13 +0200] "GET / HTTP/1.1" 400 7610
125.212.217.215 - - [27/Aug/2018:23:39:14 +0200] "quit\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:16 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:19 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:20 +0200] "GET /sitemap.xml HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:22 +0200] "GET /.well-known/security.txt HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:22 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:24 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:25 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:25 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:28 +0200] "GET / HTTP/1.1" 400 7610
125.212.217.215 - - [27/Aug/2018:23:39:29 +0200] "quit\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:31 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:34 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:34 +0200] "GET /favicon.ico HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:35 +0200] "GET /sitemap.xml HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:36 +0200] "GET /.well-known/security.txt HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:38 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:40 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:40 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:42 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:43 +0200] "GET /favicon.ico HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:45 +0200] "quit\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:48 +0200] "GET /sitemap.xml HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:49 +0200] "GET /.well-known/security.txt HTTP/1.1" 400 4071
125.212.217.215 - - [27/Aug/2018:23:39:52 +0200] "\n" 400 301
125.212.217.215 - - [27/Aug/2018:23:39:57 +0200] "GET /favicon.ico HTTP/1.1" 400 4071


5.199.135.153 - - [15/Sep/2018:15:04:08 +0200] "GET / HTTP/1.1" 400 4071
5.199.135.153 - - [15/Sep/2018:15:04:08 +0200] "GET / HTTP/1.1" 400 4071
5.199.135.153 - - [15/Sep/2018:15:04:09 +0200] "GET / HTTP/1.1" 400 4071
5.199.135.153 - - [15/Sep/2018:15:04:09 +0200] "GET /HNAP1/ HTTP/1.1" 400 4071
5.199.135.153 - - [15/Sep/2018:15:04:09 +0200] "GET /HNAP1/ HTTP/1.1" 400 4071
5.199.135.153 - - [15/Sep/2018:15:04:10 +0200] "GET /HNAP1/ HTTP/1.1" 400 4071
Tengo configurado Fail2ban con todas las reglas de Apache activadas, pero este tipo de "escaneos" no los bloquea. He tenido que hacer un script que se ejecuta cada día y bloquea a través de iptables las ips que le pongo en un fichero de texto.

Lo que pasa es que no reviso a diario el log de Apache y como veis, alguna ip se pone muy pesada buscando vulnerabilidades (tengo ips con 40-50 líneas de registro).

¿Alguien sabe como crear una regla en Fail2ban para que bloquee este tipo de conexiones?

Gracias.