Em geral, qualquer tráfego que chegue até você ou que chegue ao gateway (quando enviado pelo host) conta contra o limite de largura de banda. Isso é verdadeiro mesmo se a atividade for insubstancial ou consistir apenas em tráfego bloqueado pelo firewall do host.
Eliminar o tráfego malicioso o mais rapidamente possível é o ideal. No entanto, parece que você pode ter um problema envolvendo um plano de hospedagem que tenha grande largura de banda, mas pequenas cotas de transferência. Você está enfrentando um problema fundamental com esses planos, se esse for o caso.
O que você faz daqui depende de como é o tráfego. Se forem apenas alguns hosts, considere o bloqueio desses hosts usando o firewall do provedor de VPS, se eles disponibilizarem essa opção. Se for um robô do mecanismo de pesquisa, adicione um robots.txt que os proíbe de rastrear qualquer caminho que esteja gerando os erros.
172
nos seus registros não é parte do código de erro - essas linhas significam apenas que o servidor retornou o código de erro 400 Bad Request
e a página de erro que ele retornou tinha 172 bytes de comprimento.
Como é o erro 400, provavelmente não é um mecanismo de pesquisa (a menos que você esteja executando um estranho aplicativo CGI), mas sem saber qual foi a string de consulta (incluindo o método), é difícil dizer o que está acontecendo. Mas tente abordá-lo com base no que parece que o "atacante" está tentando fazer.
É improvável que o bloqueio das solicitações no nginx mude muito.
Em vez disso, você pode considerar o bloqueio dessas solicitações na camada de rede, deixando de ofender o tráfego; Isso significa que o originador do tráfego acabará com um monte de conexões abertas. Se a velocidade não mudar, as probabilidades são razoavelmente boas, é malicioso. Você pode considerar enviar uma reclamação de abuso para o ISP de origem se tudo for proveniente da mesma rede e parecer uma inundação em vez de um processo automatizado tentando fazer alguma coisa. Pode ser tão simples quanto alguém ter tido seu nome de domínio antes de você.