log_format
строку $host:$server_port
, и увидите, что все эти боты ломятся не по доменному имени (они его не знают), а исключительно по IP-адресу. Потому что они сканируют весь Интернет 0.0.0.0/0 на уязвимости, вдруг где чего можно взломать...listen 80 default_server; server_name _; location / { return 403; }