[tetaneutral] Comportement étrange: serveur bancaire qui communique avec un serveur en Californie au moment du paiement

Nicolas Toublanc nicolas at toublanc.org
Thu Apr 7 20:09:45 CEST 2016 

2016-04-07 17:37 GMT+00:00 Sylvain <sylvain at alogik.org>:

> Salut,
>
> Un petit coup de Google sur l'IP, et on trouve des choses intéressantes :
>
>
> https://whois.arin.net/rest/nets;q=199.19.249.196?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
> https://www.projecthoneypot.org/ip_199.19.249.196
> https://www.abuseipdb.com/report-history/199.19.249.196
> https://www.reddit.com/r/sysadmin/comments/1ow4gy/
> http://surveillance.rsf.org/en/blue-coat-2/
>
> Pour résumer, cette IP est utilisée par la société Blue Coat, qui fournit
> des « services de sécurité » permettant, par exemple, de surveiller et
> filtrer les accès internet en masse.
>
> On peut imaginer qu'ils ont un robot qui crawle tout ce qu'il peut pour «
> catégoriser » les sites, voire « vérifier leur niveau de sécurité »...
>
>
Merci pour cette recherche, c'est intéressant.

Je ne suis pas étonné que cette société est des robots qui "crawlent" le
Web. Ce qui est étonnant, c'est que ce robot soit informé que cet URL a été
utilisée dans la seconde précédente, sachant que:

   - elle n'est pas référencée ni connue en dehors de la banque et de moi
   - la communication se fait entre la banque et le serveur, pas par un
   navigateur
   - il n'y a de mon côté aucun espion genre analytics qui puissent
   communiquer cette URL, vu qu'elle n'est que côté serveur

Donc soit c'est un espion planqué sur les noeux du réseau, ce qui est
inquiétant mais on sait que ça existe. Soit, plus vraisemblablement,
Monetico informe volontairement ce robot de cet URL.

Au vu de ta recherche et de leur réponse, il semble bien qu'ils utilisent
donc un service de Blue Coat, et qu'il était mal configuré de leur côté.



> Ca serait intéressant de demander à Monetico quelle fonctionnalité ils
> attendent de Blue Coat, vu qu'ils sont au courant de la chose, d'après leur
> réponse.
>


En effet, mais c'est pas facile, car je ne suis pas en lien direct, ça
passe par un service support délocalisé.



>
> Sylvain
>
>
>
> On 07/04/2016 12:06, Nicolas Toublanc wrote:
>
>> Bonjour,
>>
>> J'ai observé un comportement étrange pendant la mise en place d'un
>> paiement par CB sur un site marchand, et je serais curieux d'avoir
>> l'avis de gens plus expérimentés que moi sur le sujet.
>>
>> Durant la procédure de paiement, le serveur de la banque (Monetico,
>> situé en France) envoie une notification vers le site marchand
>> (également en France, chez online.net <http://online.net>).
>>
>> La plage d'IP de Monetico est connue (*145.226.0.0 - 145.226.255.255*)
>> donc j'ai mis en place un filtrage par IP au niveau du proxy.
>>
>> Hors, pendant les tests, j'ai observé a plusieurs reprise une requête
>> simultanée vers mon serveur, venant de Californie (requête GET au lieu
>> de POST).
>>
>>
>> nginx.1    | *2016/04/01 13:40:04* [error] 33#33: *3992 *access
>> forbidden by rule, client: 199.19.249.196*, server:
>> mon-site-marchand.com <http://mon-site-marchand.com>, request: "*GET*
>> /payment-notification HTTP/1.1", host: "mon-site-marchand.com
>> <http://mon-site-marchand.com>"
>> nginx.1    | mon-site-marchand.com <http://mon-site-marchand.com>
>> *199.19.249.196* - - [01/Apr/2016:13:40:04 +0000] "GET
>> /payment-notification HTTP/1.1" *403* 168 "-" "SPM"
>>
>> nginx.1    | *2016/04/01 13:40:04* [error] 33#33: *3993 upstream
>> prematurely closed connection while reading response header from
>> upstream, client: *145.226.30.181*, server: mon-site-marchand.com
>> <http://mon-site-marchand.com>, request: "*POST* /payment-notification
>> HTTP/1.1", upstream: "http://172.17.0.19:8080/payment-notification",
>> host: "mon-site-marchand.com <http://mon-site-marchand.com>"
>> nginx.1    | mon-site-marchand.com <http://mon-site-marchand.com>
>> *145.226.30.181* - - [01/Apr/2016:13:40:04 +0000] "POST
>> /payment-notification HTTP/1.1" *200* 172 "-" "SPM"
>>
>>
>> Ce qui signifie que la requête à été soit communiquée par Monetico à un
>> autre serveur (volontairement ou non), ou alors repérée par un robot sur
>> la route entre la banque et le site marchand.
>>
>> Je précise que le site marchand est hébergé en HTTP.
>>
>> Comme je trouvais ça étrange, j'ai contacté par précaution mon hébergeur
>> ainsi que Monetico, lequel m'a répondu:
>>
>>     Suite à l'analyse et au retour de notre assistance technique ce
>>     comportement est normal et n'est pas malveillant, cependant il a été
>>     désactivé par notre assistance pour pas qu'il se reproduit.
>>
>> Et ce matin, j'ai refait un essai, et je n'ai plus cette requête, mais à
>> la place, venant toujours de *199.19.249.196* une requête vers la page
>> d'accueil (css, js et requêtes json montrant que le javascript a été
>> interprêté).
>>
>> J'en déduis donc que Monetico utilise un service tiers qui s'assure que
>> le site marchand est UP, ou pour une autre raison.
>>
>>
>> Qu'en pensez-vous?
>>
>> Avez-vous déjà observé quelque chose de ce genre?
>>
>>
>> --
>> Nicolas Toublanc
>> @toubiweb <https://twitter.com/Toubiweb>
>>
>>
>> _______________________________________________
>> tetaneutral mailing list
>> tetaneutral at lists.tetaneutral.net
>> http://lists.tetaneutral.net/listinfo/tetaneutral
>>
>>


-- 
Nicolas Toublanc
@toubiweb <https://twitter.com/Toubiweb>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.tetaneutral.net/pipermail/tetaneutral/attachments/20160407/ac097dc1/attachment.htm>

More information about the tetaneutral mailing list