En standard le serveur docwizon implémente un “pot de miel” vous permettant de collecter les IP des scan et autres testeurs de failles de sécurités classiques. Ce dispositif vous permet de lancer un outil tel que fail2ban en proactif.
Ce fichier est par défaut stocké dans l'arborescence de l'application, docwizon/storage/logs/laravel-honeypot.log
et se compose de lignes comme par exemple
[2022-03-24 00:34:04] prod.ALERT: IP:5.51.128.243 "GET phpmyadmin5/index.php" 418 [2022-03-24 00:34:14] prod.ALERT: IP:5.51.128.243 "GET phpmyadmin2022/index.php" 418 [2022-03-24 00:34:18] prod.ALERT: IP:5.51.128.243 "GET phpMyAdmin-5.1.1/index.php" 418 [2022-03-24 02:17:10] prod.ALERT: IP:45.146.165.37 "POST vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php" 418 [2022-03-24 03:08:44] prod.ALERT: IP:45.146.165.37 "GET vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php" 418 [2022-03-24 06:02:10] prod.ALERT: IP:45.146.165.37 "POST Autodiscover/Autodiscover.xml" 418 [2022-03-24 06:18:00] prod.ALERT: IP:109.237.103.9 "GET .env" 418 [2022-03-24 06:18:00] prod.ALERT: IP:109.237.103.9 "GET .env" 418 [2022-03-24 06:27:28] prod.ALERT: IP:192.241.225.85 "GET owa/auth/logon.aspx" 418 [2022-03-24 07:02:55] prod.ALERT: IP:45.146.165.37 "GET _ignition/execute-solution" 418
Deux fichiers sont livrés en standard avec l'application pour vous permettre l'interfaçage rapide avec fail2ban:
docwizon/fail2ban/jail.d/laravel-honeypot.conf
: le fichier de configuration de la prisondocwizon/fail2ban/filter.d/laravel-honeypot.conf
: le fichier de configuration des filtresVous devrez les adapter (en indiquant entre autre le chemin vers votre fichier laravel-honeypot.log) et les copier dans votre arborescence de fail2ban.