Jakiś czas temu wystawiłem sobie na VPS aplikację SPA + backend API. Aplikacja jest ogólnie dostępna, tzn. nie mam żadnego ograniczania IP ani nic podobnego. Dla osób nieuprawnionych wyświetla się po prostu strona główna z formularzem logowania. Backend jest oczywiście zabezpieczony i jedyny endpoint dostępny dla anonimowych użytkowników to ten od logowania- a konkretnie od uzyskania tokena JWT po podaniu poprawnych danych logwania.
W logach zapisuję między innymi ścieżkę każdego requesta, i ostatnio przeglądając je natknąłem się na wpisy który przykuły moja uwagę. Tutaj przykłady:
[GET] /base/exchange_article/index/classid/1/id/1
[GET] /manager/js/left.js
[GET] /template/920ka/js/woodyapp.js
[GET] /user/Login
[GET] /info.php
Te wyglądają jakby ktoś albo jakiś proces próbował uderzać do plików/endpointów z całkowicie innej strony, ale używając mojej domeny. Zaznaczam że każda z powyższych ścieżek prowadzi donikąd na mojej domenie.
[GET] /robots.txt
Domyślam się że to było wywołane przez jakiś crawler?
[GET] /wp-login.php
To wygląda jakby ktoś próbował szczęścia żeby łatwo dostać się do aplikacji, licząc na to że używam Word Pressa i zapewne mam domyślny login admina.
[GET] /gaocc/g445g
Tutaj nie mam zielonego pojęcia co to jest, ale było kilka takich requestów przez kilka dni. Google wyrzuca jakieś chińskie strony kiedy użyje się /gaocc/g445g
do wyszukania.
Moje pytanie jest takie czy często zderzacie się z takimi randomowymi requestami? Nie zauważyłem żadnej innej podejrzanej aktywności ale zastanawiam się czy jest się czego obawiać.