<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2016-04-07 17:37 GMT+00:00 Sylvain <span dir="ltr"><<a href="mailto:sylvain@alogik.org" target="_blank">sylvain@alogik.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Salut,<br>
<br>
Un petit coup de Google sur l'IP, et on trouve des choses intéressantes :<br>
<br>
<a href="https://whois.arin.net/rest/nets;q=199.19.249.196?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2" rel="noreferrer" target="_blank">https://whois.arin.net/rest/nets;q=199.19.249.196?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2</a><br>
<a href="https://www.projecthoneypot.org/ip_199.19.249.196" rel="noreferrer" target="_blank">https://www.projecthoneypot.org/ip_199.19.249.196</a><br>
<a href="https://www.abuseipdb.com/report-history/199.19.249.196" rel="noreferrer" target="_blank">https://www.abuseipdb.com/report-history/199.19.249.196</a><br>
<a href="https://www.reddit.com/r/sysadmin/comments/1ow4gy/" rel="noreferrer" target="_blank">https://www.reddit.com/r/sysadmin/comments/1ow4gy/</a><br>
<a href="http://surveillance.rsf.org/en/blue-coat-2/" rel="noreferrer" target="_blank">http://surveillance.rsf.org/en/blue-coat-2/</a><br>
<br>
Pour résumer, cette IP est utilisée par la société Blue Coat, qui fournit des « services de sécurité » permettant, par exemple, de surveiller et filtrer les accès internet en masse.<br>
<br>
On peut imaginer qu'ils ont un robot qui crawle tout ce qu'il peut pour « catégoriser » les sites, voire « vérifier leur niveau de sécurité »...<br>
<br></blockquote><div><br></div><div>Merci pour cette recherche, c'est intéressant.<br><br></div><div>Je ne suis pas étonné que cette société est des robots qui "crawlent" le Web. Ce qui est étonnant, c'est que ce robot soit informé que cet URL a été utilisée dans la seconde précédente, sachant que:<br><ul><li>elle n'est pas référencée ni connue en dehors de la banque et de moi</li><li>la communication se fait entre la banque et le serveur, pas par un navigateur</li><li>il n'y a de mon côté aucun espion genre analytics qui puissent communiquer cette URL, vu qu'elle n'est que côté serveur</li></ul><p>Donc soit c'est un espion planqué sur les noeux du réseau, ce qui est inquiétant mais on sait que ça existe. Soit, plus vraisemblablement, Monetico informe volontairement ce robot de cet URL.</p><p></p><p>Au vu de ta recherche et de leur réponse, il semble bien qu'ils utilisent donc un service de Blue Coat, et qu'il était mal configuré de leur côté.<br></p></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Ca serait intéressant de demander à Monetico quelle fonctionnalité ils attendent de Blue Coat, vu qu'ils sont au courant de la chose, d'après leur réponse.<br></blockquote><div><br></div><div><br>En effet, mais c'est pas facile, car je ne suis pas en lien direct, ça passe par un service support délocalisé.<br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Sylvain<span class=""><br>
<br>
<br>
<br>
On 07/04/2016 12:06, Nicolas Toublanc wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">
Bonjour,<br>
<br>
J'ai observé un comportement étrange pendant la mise en place d'un<br>
paiement par CB sur un site marchand, et je serais curieux d'avoir<br>
l'avis de gens plus expérimentés que moi sur le sujet.<br>
<br>
Durant la procédure de paiement, le serveur de la banque (Monetico,<br>
situé en France) envoie une notification vers le site marchand<br></span>
(également en France, chez <a href="http://online.net" rel="noreferrer" target="_blank">online.net</a> <<a href="http://online.net" rel="noreferrer" target="_blank">http://online.net</a>>).<br>
<br>
La plage d'IP de Monetico est connue (*145.226.0.0 - 145.226.255.255*)<span class=""><br>
donc j'ai mis en place un filtrage par IP au niveau du proxy.<br>
<br>
Hors, pendant les tests, j'ai observé a plusieurs reprise une requête<br>
simultanée vers mon serveur, venant de Californie (requête GET au lieu<br>
de POST).<br>
<br>
<br></span>
nginx.1    | *2016/04/01 13:40:04* [error] 33#33: *3992 *access<br>
forbidden by rule, client: 199.19.249.196*, server:<br>
<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a> <<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>>, request: "*GET*<span class=""><br>
/payment-notification HTTP/1.1", host: "<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a><br></span>
<<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>>"<br>
nginx.1    | <a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a> <<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>><br>
*199.19.249.196* - - [01/Apr/2016:13:40:04 +0000] "GET<br>
/payment-notification HTTP/1.1" *403* 168 "-" "SPM"<br>
<br>
nginx.1    | *2016/04/01 13:40:04* [error] 33#33: *3993 upstream<span class=""><br>
prematurely closed connection while reading response header from<br></span>
upstream, client: *145.226.30.181*, server: <a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a><br>
<<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>>, request: "*POST* /payment-notification<span class=""><br>
HTTP/1.1", upstream: "<a href="http://172.17.0.19:8080/payment-notification" rel="noreferrer" target="_blank">http://172.17.0.19:8080/payment-notification</a>",<br></span>
host: "<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a> <<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>>"<br>
nginx.1    | <a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">mon-site-marchand.com</a> <<a href="http://mon-site-marchand.com" rel="noreferrer" target="_blank">http://mon-site-marchand.com</a>><br>
*145.226.30.181* - - [01/Apr/2016:13:40:04 +0000] "POST<br>
/payment-notification HTTP/1.1" *200* 172 "-" "SPM"<span class=""><br>
<br>
<br>
Ce qui signifie que la requête à été soit communiquée par Monetico à un<br>
autre serveur (volontairement ou non), ou alors repérée par un robot sur<br>
la route entre la banque et le site marchand.<br>
<br>
Je précise que le site marchand est hébergé en HTTP.<br>
<br>
Comme je trouvais ça étrange, j'ai contacté par précaution mon hébergeur<br>
ainsi que Monetico, lequel m'a répondu:<br>
<br>
    Suite à l'analyse et au retour de notre assistance technique ce<br>
    comportement est normal et n'est pas malveillant, cependant il a été<br>
    désactivé par notre assistance pour pas qu'il se reproduit.<br>
<br>
Et ce matin, j'ai refait un essai, et je n'ai plus cette requête, mais à<br></span>
la place, venant toujours de *199.19.249.196* une requête vers la page<span class=""><br>
d'accueil (css, js et requêtes json montrant que le javascript a été<br>
interprêté).<br>
<br>
J'en déduis donc que Monetico utilise un service tiers qui s'assure que<br>
le site marchand est UP, ou pour une autre raison.<br>
<br>
<br>
Qu'en pensez-vous?<br>
<br>
Avez-vous déjà observé quelque chose de ce genre?<br>
<br>
<br>
--<br>
Nicolas Toublanc<br></span>
@toubiweb <<a href="https://twitter.com/Toubiweb" rel="noreferrer" target="_blank">https://twitter.com/Toubiweb</a>><br>
<br>
<br>
_______________________________________________<br>
tetaneutral mailing list<br>
<a href="mailto:tetaneutral@lists.tetaneutral.net" target="_blank">tetaneutral@lists.tetaneutral.net</a><br>
<a href="http://lists.tetaneutral.net/listinfo/tetaneutral" rel="noreferrer" target="_blank">http://lists.tetaneutral.net/listinfo/tetaneutral</a><br>
<br>
</blockquote>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>Nicolas Toublanc<br></div><a href="https://twitter.com/Toubiweb" target="_blank">@toubiweb</a></div></div>
</div></div>