Linux - Встречаем скрипт-киддис, часть вторая или нет у меня для вас прокси

Баним ребят, желающих использовать наш Apache как прокси для своих неведомых нужд.
Впрочем, возможно на этот раз в логах отметились не прыщавые подростки, а вполне себе государственные служащие, денно и нощно воздвигающие «Великий китайский файрвол».

Следы выглядят примерно так:

58.218.***.*** - - [13/Oct/2011:20:08:42 +0000] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 505 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:20:08:33 +0000] "GET http://www.foodnese.com/indux.php HTTP/1.1" 404 498 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:21:08:18 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:22:38:08 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:08:13 +0000] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:18:23 +0000] "GET http://www.seektwo.com/proxy-1.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:21:45 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:48:13 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:51:13 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
и тому подобное...

Как бы то ни было — будем лечить с помощью всё того же fail2ban.

Это собственно фильтр:

[Definition]
# Matches lines such as:
# 192.168.1.1 - - "GET http://www.shopsline.com/proxyheader.php ...
failregex = ^(?:(?![0-9\.]* -.*"[A-Z]* (/|.*HTTP/1\.[0-9]" (301|302))))
ignoreregex =

Включаем как обычно, банить лучше сразу (maxretry = 0) и на неделю (bantime = 604800) Ибо нефиг.