log_format строку $host:$server_port, и увидите, что все эти боты ломятся не по доменному имени (они его не знают), а исключительно по IP-адресу. Потому что они сканируют весь Интернет 0.0.0.0/0 на уязвимости, вдруг где чего можно взломать...listen 80 default_server; server_name _; location / { return 403; }/^(?:(?:https?|ftp):\/\/)(?:(?!(?:10|127)(?:\.\d{1,3}){3})(?!(?:169\.254|192\.168)(?:\.\d{1,3}){2})(?!172\.(?:1[6-9]|2\d|3[0-1])(?:\.\d{1,3}){2})(?:[1-9]\d?|1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{1,2}|2[0-4]\d|25[0-5])){2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:[a-zа-яё\u00a1-\uffff0-9][a-zа-яё\u00a1-\uffff0-9-]*)(?:\.[a-zа-яё\u00a1-\uffff0-9][a-zа-яё\u00a1-\uffff0-9-]*)*(?:\.[a-zа-яё\u00a1-\uffff][a-zа-яё\u00a1-\uffff0-9-]+))(?::\d{2,5})?(?:\/\S*)?$/