<div dir="ltr"><div><div><div><div><div>Bonjour,<br><br></div><div></div>J'ai observé un comportement étrange pendant la mise en place d'un paiement par CB sur un site marchand, et je serais curieux d'avoir l'avis de gens plus expérimentés que moi sur le sujet.<br><br></div>Durant la procédure de paiement, le serveur de la banque (Monetico, situé en France) envoie une notification vers le site marchand (également en France, chez <a href="http://online.net">online.net</a>).<br><br></div>La plage d'IP de Monetico est connue (<span style="color:rgb(56,118,29)"><b>145.226.0.0 - 145.226.255.255</b></span>) donc j'ai mis en place un filtrage par IP au niveau du proxy.<br><br></div>Hors, pendant les tests, j'ai observé a plusieurs reprise une requête simultanée vers mon serveur, venant de Californie (requête GET au lieu de POST).<br><br></div><div><div><div><div><div><div><div><div><br><div style="margin-left:40px">nginx.1    | <b>2016/04/01 13:40:04</b> [error] 33#33: *3992 <span style="color:rgb(204,0,0)"><b>access forbidden by rule, client: 199.19.249.196</b></span>, server: <a href="http://mon-site-marchand.com">mon-site-marchand.com</a>, request: "<b>GET</b> /payment-notification HTTP/1.1", host: "<a href="http://mon-site-marchand.com">mon-site-marchand.com</a>"<br>nginx.1    | <a href="http://mon-site-marchand.com">mon-site-marchand.com</a> <b><span style="color:rgb(204,0,0)">199.19.249.196</span></b> - - [01/Apr/2016:13:40:04 +0000] "GET /payment-notification HTTP/1.1" <b>403</b> 168 "-" "SPM"<br><br>nginx.1    | <b>2016/04/01 13:40:04</b>
 [error] 33#33: *3993 upstream prematurely closed connection while 
reading response header from upstream, client: <span style="color:rgb(56,118,29)"><b>145.226.30.181</b></span>, server: <a href="http://mon-site-marchand.com">mon-site-marchand.com</a>, request: "<b>POST</b> /payment-notification HTTP/1.1", upstream: "<a href="http://172.17.0.19:8080/payment-notification">http://172.17.0.19:8080/payment-notification</a>", host: "<a href="http://mon-site-marchand.com">mon-site-marchand.com</a>"<br>nginx.1    | <a href="http://mon-site-marchand.com">mon-site-marchand.com</a> <b><span style="color:rgb(56,118,29)">145.226.30.181</span></b> - - [01/Apr/2016:13:40:04 +0000] "POST /payment-notification HTTP/1.1" <b>200</b> 172 "-" "SPM"<br></div><br><br></div>
<div></div>
<div>Ce qui signifie que la requête à été soit communiquée par Monetico à un autre serveur (volontairement ou non), ou alors repérée par un robot sur la route entre la banque et le site marchand.<br><br></div><div>Je précise que le site marchand est hébergé en HTTP.<br><br></div>Comme je trouvais ça étrange, j'ai contacté par précaution mon hébergeur ainsi que Monetico, lequel m'a répondu:<br><br><blockquote><font face="Helvetica">Suite à l'analyse et au retour de notre 
assistance technique ce comportement est normal et n'est pas 
malveillant, cependant il a été désactivé par notre assistance pour pas 
qu'il se reproduit.</font><br></blockquote></div><div>Et ce matin, j'ai refait un essai, et je n'ai plus cette requête, mais à la place, venant toujours de <b><span style="color:rgb(204,0,0)">199.19.249.196</span></b> une requête vers la page d'accueil (css, js et requêtes json montrant que le javascript a été interprêté).<br><br></div><div>J'en déduis donc que Monetico utilise un service tiers qui s'assure que le site marchand est UP, ou pour une autre raison.<br><br><br></div><div>Qu'en pensez-vous?<br><br></div><div>Avez-vous déjà observé quelque chose de ce genre?<br></div><div><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>Nicolas Toublanc<br></div><a href="https://twitter.com/Toubiweb" target="_blank">@toubiweb</a></div></div>
</div></div></div></div></div></div></div></div>