Правильный HTTP-статус для возврата для попыток взлома

У меня есть система, которая регистрирует информацию, и иногда находит определенный IP-адрес, выполняющий что-то противное, как пытаться использовать phpmyadmin (даже если он даже не установлен в системе).

Когда я нахожу эти нарушители, добавляю IP-адрес в список блоков, который возвращает небольшое сообщение, существует ли страница или нет, и регистрировать IP-адрес и их строку запроса, чтобы я мог сохранять на них вкладки.

Проблема в том, что большинство из них кажутся сценариями, которые сканируют, и я все еще технически возвращаю код состояния HTTP 200 с небольшим сообщением. Я хочу быть продвинутым с кодом состояния, но я не уверен, какой из них лучше всего относится.

Я нашел список здесь , и кажется, что 401 или 403 лучше всего применять. Какой лучший код для «запрета» IP-адреса?