Боты из РФ, проходят через JS ngenix и сидят на сайте по 15-20 сек

Не поможет. Метрика глючит на Ngix. (из за кеширования и прокси внутреннего). Если он посмотрит вебвизор то будет время...

Забить на это если вебвизор показывает время.

Так дай несколько логов + скрин, чтобы время совпадало ..
У меня время например всегда совпадает ..

Поставить Yandex SmartCaptcha на те условия, которые надо. Либо невидимую капчу Yandex SmartCaptcha на весь трафик, бесплатно 250000 проверок в месяц. Проверено на многих сайтах, сейчас больше склоняюсь к невидимой на весь трафик без кучи разных правил и только с явной блокировкой каких-то сетей..., с остальным она справляется, точнее ML-алгоритмы.

у нас за 2 часа этот лимит выйдет :(

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:14 +0000] "GET / HTTP/2.0" 200 MISS "x.x.x.x" 19818 "https://habr.com/ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0.036" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "1/14361462174" 20475 "19818" "0.036" "0.036" "200" RU 6ab44c51c9720dd59367702a9067f0ae 443

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:15 +0000] "GET /images/news/395887/c5c7a900ce04.webp HTTP/2.0" 200 HIT "-" 20965 "https://www.domain.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "2/14361462174" 21366 "-" "-" "-" "-" RU c64d746cba61807f7b11668750a174c4 443

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:15 +0000] "GET /images/board/1083913/b76a0db3f06.jpg HTTP/2.0" 200 HIT "-" 4567 "https://www.domain.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "3/14361462174" 4769 "-" "-" "-" "-" RU 51fb9ca2fc446f635a388aed4ce9bbe0 443

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:15 +0000] "GET /images/board/108/0fb418672e.jpg HTTP/2.0" 200 HIT "-" 2983 "https://www.domain.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "4/14361462174" 3185 "-" "-" "-" "-" RU 681cc5f314feb25301095d3d9ea8451f 443

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:16 +0000] "GET /fonts/Rubik-Bold.ttf HTTP/2.0" 200 HIT "-" 64724 "https://www.domain.ru/css/styles.css?v=548" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "5/14361462174" 65128 "-" "-" "-" "-" RU 45ea07579e94f257a3166d6956ce335d 443

194.226.239.207 www.domain.ru [14/Feb/2025:00:17:17 +0000] "GET /images/favicon.ico HTTP/2.0" 200 HIT "-" 15086 "https://www.domain.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36" "0" "-" "TLSv1.3/TLS_AES_256_GCM_SHA384" "6/14361462174" 15387 "-" "-" "-" "-" RU 9180baca256c59e6108953590ca70139 443

только что это даст? 

поведение юзера

Это inethost net
Блокируй диапазон 194.226.236.0/22

1 PS Время в логах и на скрине с разницей 3+ часа, нужно было выложить чтобы визиты совпадали по времени. Это целая атака, долбят как из пульмета ..

2 PS Напиши на abuse@inethost.net и отправь им логи. Мне так помогали несколько раз ..

Их много с разных ip с разных ASN, задолбаюсь  всем писать

Есть и Мегафон, и мтс, и ростелеком, и куча местных региональных  провайдеров...