Не понятные хиты или кто-то постоянно долбит сайт.

Analytics использует javascript, поэтому он и не видит ничего. Кто-то атакует сайт. Пока не позно принимайте меры для защиты. Если сервер свой, анализируйте лог на лету, если встречается несколько одинаковых запросов (например, 10) с одного адреса за какой-то промежуток времени (например, 5 минут) - блокируйте адрес.

Так в том то и дело, что ИП практически не повторяется, максимум, это когда один ИП встречается в логе пять раз за полмесяца. а таких ИП за полмесяца набегает 16-18 тыщ.

С аналитиксом точно, как-то я сам не сообразил.

А в чём тогда атака заключается? Если бы искали инъекции, было бы видно по запросу, а так всё время запрашивается одна и таже страница?

Получается около 1000 запросов в сутки и все с уникальных адресов? Достаточно много. Представьте, что будет если с каждого адреса сделают пару тысяч запросов, пусть даже одинаковых. Месяц назад отбивал сайт от такой вот мерзости, две недели по 500 уникальных адресов в сутки, запросы сыпались по 10 в секунду на одну страницу. Помогло то, что USER_AGENT указали с небольшой ошибкой.

Ищите закономерность в адресах, в периодичности запросов.

Да, получается ~1000-1500 на одну страницу, плюс ещё на другие в итоге отличия 3500-4000 с ГАналитикой.

В том то и дело, что закономерности по ИПешникам не удалось найти, повторяются, но крайне редко. Одна зацепка - Юзер агент. Выходит что "долбят" с заражёных компютеров или серверов? Ничё не понимаю, смысл этой долбежки?

Реферер есть?

Реферер пустой (см. тему).

Я сам столкнулся с подобной проблемой, правда у меня было намного проще IP один и тот же. запрашивал поочередно 3 страницы из 15К. Длилось месяц пока не отфильтровал IP.

Смысла искать не стал, видимо чей-то бот глюканул.

Чтобы понять дурака нужно им стать (с) кто-то.

Бороться надо. Какой UserAgent используется?

Может какой-то хакер-недоносок тестит свою невыросшую сетку затрояненных компов для ДДОС. А может и "доброжелатель". В этом случае защититься будет ой как непросто.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.

Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.

Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.

Наращивание ресурсов.

Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.

Активные ответные меры. Воздействие на источники, организатора или центр управления атакой. Меры могут быть как технического характера (не рекомендуется), так и организационно-правового характера.

Попробуйте поменять адреса этих страниц (хотя бы этих двух). А похоже на то, что у кого-то бот заглючил, согласен с Germ.

А какой там User Agent, скажите?