La URL extraña que aparece en mi flujo de pubsub, ¿debería preocuparme?

La URL que solicitaron lo explica todo. Su servidor Node.js está abierto a la Internet pública, escucha en un puerto comúnmente utilizado por los proxies HTTP, y un servicio que escanea la red en busca de proxies se topó con él y decidió probarlo al solicitar una URL y ver si su Node.js devolvería el contenido de esa URL (si lo hace, entonces es un proxy abierto y se incluirá como tal en su base de datos).

Este intento en particular no parece malicioso. Claro, si descubren que está ejecutando un proxy abierto, es muy probable que lo utilicen con fines malintencionados (correo no deseado, etc.), pero su análisis simplemente solicita una URL y no intenta explotar un error o DoS en su servidor. Eso no significa que otra persona no intente atacar y poner en peligro su servidor, DoS su aplicación llenando su base de datos con datos de basura o agotando el ancho de banda del servidor para que las solicitudes HTTP legítimas ya no lo alcancen.

Ahora, aún debe pensar en la seguridad y si realmente necesita que se pueda acceder a este servidor Node desde toda Internet ... dice que los datos que le interesan provienen de su red interna, entonces ¿por qué no los pone? ¿El servidor Node en esa misma red? De esa manera, evitará la pérdida innecesaria de datos a Internet y el firewall de la red de su empresa lo protegerá de los intentos de escaneo, ya que no hay una razón válida para que se pueda acceder a ese servidor Node desde Internet y ya no es vulnerable a los ataques DoS desde el Internet completo.

Si no es posible colocar el servidor Node en la red privada, considere la posibilidad de solicitar certificados de cliente TLS para autenticar la fuente de datos legítima, de modo que un cliente tenga un certificado válido antes de poder establecer el túnel TLS y emitir HTTP peticiones. Además, asegúrese de seguir las mejores prácticas de seguridad, como firewall, SSH (solo autenticación de clave, y cambie el puerto para evitar que los escáneres llenen sus registros), etc. para el propio servidor. Su aplicación Node puede ser la aplicación más segura del mundo, pero no servirá de nada si alguien puede convertirse en usuario de root mediante SSH'ing con una contraseña forzada con fuerza bruta o al explotar alguna otra aplicación que se ejecuta como root.

Lo más probable es que su nuevo servidor haya recibido una IP que una vez perteneció a ese host, que tiene otro sistema (watchdog, o algún cliente) que recuerda la antigua IP que una vez coincidió con este registro DNS.

Mi opinión es que testp2.czar.bielawa.pl no es el nombre de host de su servidor, ya que es accesible y muestra su dirección IP como respuesta. Esto refuerza la teoría de que su registro DNS se actualizó con una nueva IP.

Dado que sus registros muestran testp2.czar.bielawa.pl como host, significa que una máquina usó este host en su URL, pero se resolvió a su IP. Si realmente fuera algo malicioso, verías tu dirección IP en lugar de un nombre de host o tu nombre de host real.

Es bastante común con las IP elásticas de AWS, por ejemplo.