It's an internal project and no one knows about this server.
Solo perché non lo hai detto a nessuno non significa che nessuno lo sappia. Qualsiasi host esposto a Internet viene spesso controllato per il tipo di servizi forniti. Anche i soliti exploit vengono provati nella speranza di trovare un obiettivo facile da prendere in consegna e utilizzare impropriamente, ovvero inviare spam, distribuire malware, attaccare altri sistemi all'interno di un attacco DDoS, cryptomining, ecc.
... should I be worried?
Se il tuo server non è sicuro dovresti essere preoccupato. È meglio mantenere la superficie di attacco piccola, ad esempio richiedendo l'autenticazione, limitando l'accesso a specifici indirizzi IP o qualsiasi altra cosa sia possibile nel proprio caso d'uso specifico.