Release v1.2.0 · reportedip/honeypot-server

Webhooks — externe Report-Ziele

Neuer Admin-Menüpunkt Webhooks: Detections können in Echtzeit als JSON-POST an eigene Logging-/SIEM-Systeme weitergeleitet werden.

Filter pro Webhook nach Kategorie-IDs und/oder Analyzer-Namen (ODER-Logik, leer = alle Detections)
Optionale HMAC-SHA256-Signatur über den Request-Body (X-ReportedIP-Signature: sha256=<HMAC>)
Test-Button, Zustellstatus und Fehlerzähler pro Webhook im Admin-Panel
Zustellung erfolgt nach dem Senden der Trap-Response — keine Verzögerung für den Angreifer
Neue Tabelle honeypot_webhooks, Migration läuft automatisch beim ersten Request
Payload-Format und Signatur-Verifikation sind in der README dokumentiert

Reports Richtung reportedip.de senden jetzt immer die aktuelle Version: dynamischer User-Agent: reportedip-honeypot-server/<version> (statt hartcodiert 1.0.0) plus neuer Header X-Honeypot-Version

Cloudflare IPv6: IpResolver kannte nur die IPv4-Ranges von Cloudflare. Bei IPv6-Origin-Verbindungen wurde CF-Connecting-IP ignoriert und die Cloudflare-Edge-IP statt der echten Angreifer-IP gemeldet (API-Ablehnung ip_whitelisted). Jetzt sind alle offiziellen IPv6-Ranges enthalten — wirkt nach dem Update sofort, ohne Anpassung der config.php
HeaderAnomaly False Positive: ::1 wurde als ungeankerter Substring gematcht und flaggte legitime IPv6-Adressen (z. B. 2a06:98c0:3600::103) als Loopback. Die Loopback-Erkennung vergleicht jetzt jeden X-Forwarded-For-Eintrag exakt
Report-Queue: permanent abgelehnte Reports (HTTP 4xx außer 429) werden als sent=2 aus der Queue genommen statt endlos retried — vorher blockierten sie per Head-of-line-Blocking alle neuen Reports
config.example.php und Web-Installer enthalten die Cloudflare-IPv6-Ranges im trusted_proxies-Default

352 Tests (22 neue), zusätzlich End-to-End-Verifikation der Webhook-Zustellung gegen einen lokalen HTTP-Receiver (Signatur, Filterung, Fehlerfälle).