Esa no es la IP de origen de la solicitud, es el valor de lo que el agente de usuario estableció en el encabezado Host .
Cuando hago una solicitud HTTP a StackExchange para obtener la página de esta pregunta, se ve así:
GET /questions/169836/http-requests-from-server-itself HTTP/1.1
Host: security.stackexchange.com
...
El encabezado Host indica que deseo cargar desde el host security.stackexchange.com y, por lo general, mi navegador lo llena automáticamente cuando hago una solicitud. Conoce el host porque está en la URL completa que estoy visitando.
El encabezado permite que un servidor aloje múltiples sitios en múltiples dominios a través de alojamiento virtual . Un servidor HTTP en una dirección IP puede alojar múltiples sitios con diferentes nombres de dominio (cada uno apuntando a la misma IP a través de DNS) diferenciados por el contenido del encabezado Host enviado por el agente del usuario (por ejemplo, un navegador).
Lo que está viendo es o bien las solicitudes de alguien hechas manualmente yendo a http://1.2.3.4 o las solicitudes hechas por sistemas automatizados que escanean Internet. En el caso de este último, es probable que escaneen solo por espacio de IP y no conozcan el nombre de host correcto para el sistema, así que simplemente proporcione un encabezado Host con la dirección IP en.
En resumen: estas solicitudes no se realizan desde su propio servidor web, y no diría que esto es un problema de seguridad.