Podejrzane requesty w logach do "prywatnej" aplikacji

Jakiś czas temu wystawiłem sobie na VPS aplikację SPA + backend API. Aplikacja jest ogólnie dostępna, tzn. nie mam żadnego ograniczania IP ani nic podobnego. Dla osób nieuprawnionych wyświetla się po prostu strona główna z formularzem logowania. Backend jest oczywiście zabezpieczony i jedyny endpoint dostępny dla anonimowych użytkowników to ten od logowania- a konkretnie od uzyskania tokena JWT po podaniu poprawnych danych logwania.

W logach zapisuję między innymi ścieżkę każdego requesta, i ostatnio przeglądając je natknąłem się na wpisy który przykuły moja uwagę. Tutaj przykłady:

[GET] /base/exchange_article/index/classid/1/id/1
[GET] /manager/js/left.js
[GET] /template/920ka/js/woodyapp.js
[GET] /user/Login
[GET] /info.php

Te wyglądają jakby ktoś albo jakiś proces próbował uderzać do plików/endpointów z całkowicie innej strony, ale używając mojej domeny. Zaznaczam że każda z powyższych ścieżek prowadzi donikąd na mojej domenie.

[GET] /robots.txt

Domyślam się że to było wywołane przez jakiś crawler?

[GET] /wp-login.php

To wygląda jakby ktoś próbował szczęścia żeby łatwo dostać się do aplikacji, licząc na to że używam Word Pressa i zapewne mam domyślny login admina.

[GET] /gaocc/g445g

Tutaj nie mam zielonego pojęcia co to jest, ale było kilka takich requestów przez kilka dni. Google wyrzuca jakieś chińskie strony kiedy użyje się /gaocc/g445g do wyszukania.

Moje pytanie jest takie czy często zderzacie się z takimi randomowymi requestami? Nie zauważyłem żadnej innej podejrzanej aktywności ale zastanawiam się czy jest się czego obawiać.

To wygląda jak automatyczne skanowanie adresów IP w poszukiwaniu kilku popularnych dziur frameworków/routerów.
Zdarzało się dość często. Codziennie lub co kilka dni paczka zapytań.
Raczej niegroźne.
Jak kiedyś sprawdzałem to adresy żródłowe zmieniały się i wychodziły z chmury googla więc blokowanie po IP nie miało większego sensu.

Moje pytanie jest takie czy często zderzacie się z takimi randomowymi requestami?

Całkiem często, tak; przykład z jednego z moich serwerów:

[Sun Jun 13 04:17:04.816239 2021] [core:error] [pid 704] (36)File name too long: [client 167.71.14.11:48990] AH00036: access to /3000D00E0000FFFF3F0031313744373731343634304537353046007A7A7A7A7A7A7A7A7A7A7A7A7A7A7A0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000008047A7A7A7A7A7A7A7A7A0000000000000000000000000000000000000000000000000000000000000000 failed (filesystem path '/ścieżka-do-aplikacji/3000D00E0000FFFF3F0031313744373731343634304537353046007A7A7A7A7A7A7A7A7A7A7A7A7A7A7A0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000008047A7A7A7A7A7A7A7A7A0000000000000000000000000000000000000000000000000000000000000000')
[Wed Jun 23 20:34:16.414026 2021] [:error] [pid 29583] [client 213.108.196.109:46749] script '/ścieżka-do-aplikacji/gate.php' not found or unable to stat
[Thu Jun 24 00:39:22.310253 2021] [:error] [pid 29022] [client 80.87.192.169:37856] script '/ścieżka-do-aplikacji/wp-login.php' not found or unable to stat
[Thu Jun 24 10:48:32.667597 2021] [:error] [pid 1302] [client 213.108.196.109:40686] script '/ścieżka-do-aplikacji/recv4.php' not found or unable to stat

Tak jak wspomina @Delor - o ile nie hostujesz pięcioletniej wersji WordPressa, powinieneś być bezpieczny; w 99% jesteś ofiarą jakiegoś automatycznego skanera, który wypatruje znanych podatności.

Dzięki panowie, jestem spokojniejszy! :)

spokojniejszy? jesteś pod ostrzałem 24/7! :P