Прямые заходы и 100% отказы

А что кстати по поводу ботов, которые из поиска Яндекса идут?

Ребята которые платно настраивают CF.

Вы против них какие нибудь меры предпринимаете?

Там же сотни разных AS по всей России.

Вот так это выглядит в метрике:

В логах, к сожалению, не знаю как смотреть(

Заходы прямые, на разные страницы сайта. При этом доля визитов с роботами в метрике - в норме.

Если понимать что и как в клауде, самостоятельно, то сначала на трафик можно посмотреть. На интересующий срез трафика на время ставится самая слабая проверка (JS), чтобы оно все попало в логи клауда. Для большей полноты анализа можно сделать проброс айпи в метрику.
А дальше уже смотреть закономерности, процент прохождения этой проверки, и принимать какие-то решения.
Например, по итогам проверки окажется, что сетей разных много, зато есть общий признак - одинаковый юзерагент, один и тот же браузер, ну и переход с поиска яндекса, т.е. то за что можно зацепиться. Значит этот срез правилами программируем под Managed Challenge.
Ну или сетей вроде много, но это десяток одних и тех же айпишников.
Ну как-то примерно так, в случае с розовыми пони, какающими на радугу в солнечных лучах, запивая смузи в коворкинге.

А в реальной жизни - обычно сразу накатывается шаблон (у каждого он свой, наработанный на основе личного опыта и где-то чего-то подсмотренного подслушанного), подкручивается донастраивается под проект и трафик, и оказывается, что проблема сама собой после этого рассосалась. Поисковый трафик после настройки обычно чуть припадает, как раз на размер разной чернухи. Это без явной проверки браузера всему срезу пришедших из поиска.

сомневаюсь, что тебе эти логи предоставит " хостер", если у тебя не VPS

ну и лайфхачик тебе, чтобы видеть хоть часть IP в метрике

ym(******, 'init', {clickmap:true,trackLinks:true,accurateTrackBounce:true,webvisor:true,'userParams':{\"ip\":\"".$_SERVER['REMOTE_ADDR']."\"}});

Переходы из поиска Яндекс, поставил вывод IP в метрику, сетей уже больше 100. По всей России.

Идут в основном на определенные страницы (в пределах 10 шт), ключи разные, но какие то кривые, просто генерируется каким то рандомом, только чтобы не сильно повторялись (нормальные пользователи такого вводить не будут).

Половина проходит Managed Challeng, но это точно боты, т.к CTR не реально высокий и трафика слишком много для этой частотности ключей.

Это в каком смысле? Один IP у разных AS?

Здесь в общем имелось в виду, без привязки к вашему случаю, что может быть какое-то количество повторяющихся айпи на каждую сетку. А может и не быть.
Ну а так, нужно смотреть логи клауда и его настройки. 
Причем, из прошлого общения на форуме, я знаю, что вы достаточно хорошо разбираетесь в клауде.

Из этих данных могу сделать вывод что юзер агент браузера Яндекс старт имеет уникальную строчку  YaApp_Android

Если "Ваши боты" эмулируют Яндекс Старт - то имеет место быть блокать по юзер агенту, который содержит эту строчку. Но опять же без логов сайта и метрики (чтобы все это сопоставить), это пальцем в небо.

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} YaApp_Android [NC]
RewriteRule ^ - [F,L]

Вот пример кода .htaccess.

Хостинг без логов ещё поискать нужно.

Та же самая ерунда от Яндекс старта, письма в поддержку Яндекс вебмастера, Яндекс старта, метрики результат не принесли - отписка (помочь не можем, возможно кто то эмулирует наше приложение), блокировка в .htaccess результата не дала, поддержка хостера по их словам заблочила на стороне nginx, но эта фигня упорно лезет, вариант один, отключать в настройках роботов - у меня по крйней мере это сработало.

Подозреваю что яша очередную фичу для личной монетизации тестит)))))

От этого они никуда не делись. Просто перестали показываться у вас в отчете.

А вы уверены в том, что Яндекс перестал их учитывать от того, что лично вы их больше не видите? 🔥