Merci pour vos réponses a vous deux !!!
en fait bizarrement je n'avais pas le défaut vhost juste ceux de mon site dans les site-enabled mais du coup ça ma donné une bonne piste pour bloquer tout ça !
j'ai crée des règles explicites pour deny l'accés depuis l'url vpsXXX.ovh.net avec le port 80 et 443 et du coup quand un utilisateur essaye d'accéder avec cette url il y a une page forbidden :D
janus57 ouais j'avoue ne pas trop comprendre comment des utilisateurs on pu accéder à cette url ..
sinon l'idée de n'autorise que les ip cloudflare me plait beaucoup je vais aller regarder comment m'y prendre
merci :)