Gazkhul

Пропишите в конфигах nginx в log_format строку $host:$server_port, и увидите, что все эти боты ломятся не по доменному имени (они его не знают), а исключительно по IP-адресу. Потому что они сканируют весь Интернет 0.0.0.0/0 на уязвимости, вдруг где чего можно взломать...

Лечится созданием server с

listen 80 default_server; server_name _; location / { return 403; }

Если у вас VSFTPD, то настройте вашего юзера в etc/vsftpd/vsftpd.conf:
chroot_local_user=NO
chroot_list_enable=YES

Укажите имя юзера в файле
chroot_list_file=/etc/vsftpd.chroot_list

юзер будет залочен в своей домашней папке.
Можете в /etc/passwd ему сразу прописать /var/www/site1 как домашнюю папку

P.S. Если прописать в настройках фтп сервера chroot_local_user=YES, то все юзеры КРОМЕ перечисленных в /etc/vsftpd.chroot_list будут залочены в своих домашних каталогах