He encontrado en los registros de acceso de mi servidor que alguien está intentando acceder al archivo GXHLGSL.txt. Parece una prueba automatizada (fue justo después de probar wp-login.php).
Cuando busqué en Google ese archivo, lo encontré en varios sitios. Contiene la palabra PRUEBA.
¿Cuál es el propósito de esto? ¿Para marcar los sitios que permiten subir archivos?
Seguro que hay muchos sitios con este archivo. Parece que alguien intenta probar la capacidad de cargar un archivo, o subir un archivo y luego modificarlo tal vez.
No puedo encontrar ninguna descripción de que este nombre de archivo provenga de un escáner de vulnerabilidad específico, diría que tienes razón en que esto es un bot y no humano, podrían estar marcando sitios como Google parece indexarlos, aunque Espero que los usuarios malintencionados intenten cubrir sus huellas y no dejar evidencia detrás de su visita.
Cosas que podría hacer: eliminar el archivo, verificar sus permisos en su directorio de carga, asegurarse de que nadie pueda ejecutar nada, verificar sus tipos de archivos permitidos y cómo los está evitando, considerar prohibir esta IP y considerar prevenir la indexación a través de robots Archivo si no lo necesitas.
Lea otras preguntas en las etiquetas vulnerability-scanners