RE: [FRnOG] [MISC] 40.94.101.0/24 ?
>> Michel Py a écrit : >> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail >> est visité pour vérifier >> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien >> contient quelque chose de >> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car il >> contenait un virus". > Laurent Barme a écrit : > Je pense que cette idée est la bonne ! En tout cas elle coïncide bien avec ce > que j'observe. Laurent, le lien que tu mets dans les emails que tu envoies, est-ce qu'il est unique à chaque email ? Genre il contient une information unique ? Ca vaudrait peut-être le coup d'essayer de mettre un lien plus générique qui pourrait être visité moins souvent. Peut-être. > Mickael Monsieur a écrit : > A un moment, on ne devrait pas dire à Claude que pour arrêter de polluer la > planète avec son > OS microchiotte avec des spams PowerPoint de chats qui pètent, et des > attaques de son PC > infesté par 500 malwares, qui peut aussi vider son compte bancaire ( et la > c’est pour son > bien) qu’il devrait avoir un minimum de connaissances pour mettre ses mains > sur son bouzin. Ah ouai ouai, faudrait interdire aux gens qui ne sont pas abonnés à la liste du FRnOG d'utiliser l'Internet. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
> Le 1 août 2021 à 00:19, Michel Py via frnog a écrit : > > >> >>> Michel Py a écrit : >>> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail >>> est visité pour verifier >>> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien >>> contient quelque chose de >>> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car >>> il contenait un virus". > >> Barthélémy DELUY a écrit : >> C'est un comportement auquel il va effectivement falloir s'habituer :-/ > > Je supporte la chose. Comme avec tout, on peut faire de la bouse, mais > globalement c'est une bonne idée : il y a encore trop de contamination qui > arrive parce que Claude Michu a cliqué dans un email sur un lien qui pointe > sur du merdiciel. On scanne bien les pièces jointes, pourquoi on ne > scannerait pas les liens à l'intérieur d'un email ? Michel, est ce qu’on prend pas le problème à l’envers ? Est ce que on met des oreillers ou du capitonnage le long des routes par ce que Claude Michu ne sait pas conduire et risque de se blesser ou de blesser les autres ? Non, on lui interdit de conduire. Permis, Lois, etc. A un moment, on ne devrait pas dire à Claude que pour arrêter de polluer la planète avec son OS microchiotte avec des spams PowerPoint de chats qui pètent, et des attaques de son PC infesté par 500 malwares, qui peut aussi vider son compte bancaire ( et la c’est pour son bien) qu’il devrait avoir un minimum de connaissances pour mettre ses mains sur son bouzin. > > En ouvrant le lien au moment de recevoir l'email, non seulement on a une > chance de d'attraper le merdiciel avant qu'il n'arrive à l'utilisateur mais > aussi, surtout pour ce qui a été envoyé pendant la nuit, on gagne un peu de > temps en rapportant le lien vérolé à tout le système, ce qui au final réduit > le profil d'attaque. > > Bon c'est sur que microchiotte, dans leur grande sagesse, ils auraient pu > mettre un reverse DNS qui voulait dire quelque chose, et un truc dans la > requête qui expliquerait ce que leur bot fait; mais je ne trouve pas le > principe répréhensible. > > Michel. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] 40.94.101.0/24 ?
>> Michel Py a écrit : >> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail >> est visité pour verifier >> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien >> contient quelque chose de >> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car il >> contenait un virus". > Barthélémy DELUY a écrit : > C'est un comportement auquel il va effectivement falloir s'habituer :-/ Je supporte la chose. Comme avec tout, on peut faire de la bouse, mais globalement c'est une bonne idée : il y a encore trop de contamination qui arrive parce que Claude Michu a cliqué dans un email sur un lien qui pointe sur du merdiciel. On scanne bien les pièces jointes, pourquoi on ne scannerait pas les liens à l'intérieur d'un email ? En ouvrant le lien au moment de recevoir l'email, non seulement on a une chance de d'attraper le merdiciel avant qu'il n'arrive à l'utilisateur mais aussi, surtout pour ce qui a été envoyé pendant la nuit, on gagne un peu de temps en rapportant le lien vérolé à tout le système, ce qui au final réduit le profil d'attaque. Bon c'est sur que microchiotte, dans leur grande sagesse, ils auraient pu mettre un reverse DNS qui voulait dire quelque chose, et un truc dans la requête qui expliquerait ce que leur bot fait; mais je ne trouve pas le principe répréhensible. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
À job[-1], on avait le souci : envoi de fichiers dématérialisés, certains de nos clients avaient souscrit un antivirus/.antispam dans ce genre. Ça nous a causé des soucis le jour où on s'est rendus compte que la *totalité* des liens scannés étaient gentiment publiés sur le site web de l'éditeur de la solution, avec les adresses IP+ports des serveurs d'hébergement, le type de lien scanné, un score d'anti-virus, etc. On avait décidé de bloquer les IPs de cet éditeur, résultat les destinataires ne recevaient plus les mails... C'est un comportement auquel il va effectivement falloir s'habituer :-/ Barth Le sam. 31 juil. 2021 à 19:57, Erwan David a écrit : > Le 31/07/2021 à 18:54, Michel Py via frnog a écrit : > >>> Michel Py a écrit : > >>> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton > mail est visité pour verifier > >>> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le > lien contient quelque chose de > >>> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien > car il contenait un virus". > > > >> Laurent Barme a écrit : > >> Je pense que cette idée est la bonne ! En tout cas elle coïncide bien > avec ce que j'observe. > >> (Il y en a donc qui ont des antivirus bien pourris...) > > Attends toi à ce que ce genre de pratique devienne systématique; à > $job[0] on fait pire que çà, non seulement le lien est scanné au moment de > la réception du message, mais en plus il est remplacé par un lien qui sert > de proxy quand tu cliques dessus; quand l'utilisateur clique sur le lien > dans le message, c'est un serveur qui envoie la requête et qui vérifie > qu'il n'y a pas de contenu malicieux (une plaie, ça casse plusieurs choses). > > > > Michel. > > C'ets le comportement de O365 et de Gmail il me semble. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
Le 31/07/2021 à 18:54, Michel Py via frnog a écrit : >>> Michel Py a écrit : >>> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail >>> est visité pour verifier >>> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien >>> contient quelque chose de >>> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car >>> il contenait un virus". > >> Laurent Barme a écrit : >> Je pense que cette idée est la bonne ! En tout cas elle coïncide bien avec >> ce que j'observe. >> (Il y en a donc qui ont des antivirus bien pourris...) > Attends toi à ce que ce genre de pratique devienne systématique; à $job[0] on > fait pire que çà, non seulement le lien est scanné au moment de la réception > du message, mais en plus il est remplacé par un lien qui sert de proxy quand > tu cliques dessus; quand l'utilisateur clique sur le lien dans le message, > c'est un serveur qui envoie la requête et qui vérifie qu'il n'y a pas de > contenu malicieux (une plaie, ça casse plusieurs choses). > > Michel. C'ets le comportement de O365 et de Gmail il me semble. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] 40.94.101.0/24 ?
>> Michel Py a écrit : >> Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail >> est visité pour verifier >> qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien >> contient quelque chose de >> pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car il >> contenait un virus". > Laurent Barme a écrit : > Je pense que cette idée est la bonne ! En tout cas elle coïncide bien avec ce > que j'observe. > (Il y en a donc qui ont des antivirus bien pourris...) Attends toi à ce que ce genre de pratique devienne systématique; à $job[0] on fait pire que çà, non seulement le lien est scanné au moment de la réception du message, mais en plus il est remplacé par un lien qui sert de proxy quand tu cliques dessus; quand l'utilisateur clique sur le lien dans le message, c'est un serveur qui envoie la requête et qui vérifie qu'il n'y a pas de contenu malicieux (une plaie, ça casse plusieurs choses). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
Le 31/07/2021 à 18:36, Michel Py via frnog a écrit : Laurent Barme a écrit : Aucune des adresses IP de la plage 40.94.101.0/24 ne fait de requêtes sur robots.txt sur aucun de mes serveurs ;> si c'était un moteur de recherche il ne serait pas très respectueux. Ca ne serait pas la première fois que quelqu'un écrit du code avec les pieds :P Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail est visité pour vérifier qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien contient quelque chose de pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car il contenait un virus". Je pense que cette idée est la bonne ! En tout cas elle coïncide bien avec ce que j'observe. (Il y en a donc qui ont des antivirus bien pourris…) Merci Michel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] 40.94.101.0/24 ?
> Laurent Barme a écrit : > Aucune des adresses IP de la plage 40.94.101.0/24 ne fait de requêtes sur > robots.txt sur aucun > de mes serveurs ;> si c'était un moteur de recherche il ne serait pas très > respectueux. Ca ne serait pas la première fois que quelqu'un écrit du code avec les pieds :P Il y a une autre possibilité : antivirus. Le lien à l'intérieur de ton mail est visité pour vérifier qu'il ne contient pas de contenu malicieux. C'est assez courant, si le lien contient quelque chose de pas glop, il est remplacé par une page qui dit "j'ai remplacé le lien car il contenait un virus". Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
Le 31/07/2021 à 18:11, Michel Py via frnog a écrit :
Laurent Barme a écrit :
J'anticipe une demande de précision sur ces fameuse requêtes malvenues ; elle
suivent systématiquement un lien de désabonnement
présent dans un mail envoyé automatiquement par un de mes serveurs (sans pour
autant activer le désabonnement).
Ca ressemble à un moteur de recherche, ça pourrait être Bing. Comment il a
obtenu le lien ça reste à déterminer, mais dès qu'il a un lien valide il le
visite pour indexer.
Aucune des adresses IP de la plage 40.94.101.0/24 ne fait de requêtes sur
robots.txt sur aucun de mes serveurs ; si c'était un moteur de recherche il ne
serait pas très respectueux.
Par ailleurs, le champ "user agent" de ces requêtes n'est pas renseigné alors
que pour une indexation par bing il l'est (" Mozilla/5.0 (compatible;
bingbot/2.0; +http://www.bing.com/bingbot.htm)").
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] [MISC] 40.94.101.0/24 ?
> Laurent Barme a écrit : > J'anticipe une demande de précision sur ces fameuse requêtes malvenues ; elle > suivent systématiquement un lien de désabonnement > présent dans un mail envoyé automatiquement par un de mes serveurs (sans pour > autant activer le désabonnement). Ca ressemble à un moteur de recherche, ça pourrait être Bing. Comment il a obtenu le lien ça reste à déterminer, mais dès qu'il a un lien valide il le visite pour indexer. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
Le 31/07/2021 à 11:03, Jean-Yves LENHOF via frnog a écrit : Le 31/07/2021 à 10:48, Laurent Barme a écrit : Bonjour, J'observe des requêtes malvenues du range 40.94.101.0/24 … Une idée comme une autre : Ce sont peut-être des IPs appartenants à Microsoft mais utilisés pour Azure et donc des personnes qui auraient des serveurs mal protégés... Les requêtes que j'observe ne ressemblent pas à celles émises par un serveur piraté et elles ne proviennent pas d'un serveur unique mais de toute la plage 40.94.101.1-100 avec une rotation de l'utilisation des IP qui semble aléatoire. Il n'y a pas de reverse défini pour aucune de ces IP pour laquelle j'ai tenté un host. J'anticipe une demande de précision sur ces fameuse requêtes malvenues ; elle suivent systématiquement un lien de désabonnement présent dans un mail envoyé automatiquement par un de mes serveurs (sans pour autant activer le désabonnement). Ces mails envoyés automatiquement font pourtant partie d'un service pour lequel on me paye ; j'imagine mal les destinataires vérifier systématiquement le lien de désabonnement. C'est comme si leurs mails étaient scannés en profondeur, jusqu'à suivre tous le liens qu'ils comportent. Ce genre de "service" parle à quelqu'un ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] 40.94.101.0/24 ?
> Laurent Barme a écrit : > J'observe des requêtes malvenues du range 40.94.101.0/24 C'est bien du MS, adresse ARIN; la route que je vois c'est 40.80.0.0/12, AS 8075, RPKI valide. Vu d'ici ça n'a pas l'air d'être détourné, la patate chaude donne le trafic à msn.net en Californie à Palo Alto (pour moi). > Jean-Yves LENHOF a écrit : > Ce sont peut-être des IPs appartenants à Microsoft mais utilisés pour > Azure et donc des personnes qui auraient des serveurs mal protégés... Le rasoir d'Ockham privilégie cette hypothèse, en effet. Et bien, yàplukà utiliser https://cert.microsoft.com, avec une chance de réussite de -273,15 Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Fermeture de la BL Cuivre, 2eme experiementation
Salut! A ceux d'entre vous qui ne sont pas clients "direct" d'OWF, la publication dela deuxieme expérimentation de fermeture de la BL cuivre viens d'etre lancée avec comme nouvelle date de fermeture complete du réseau cuivre à horizon 2030. Pour le partage des doc, passez moi un message en MP. Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 40.94.101.0/24 ?
Le 31/07/2021 à 10:48, Laurent Barme a écrit : Bonjour, J'observe des requêtes malvenues du range 40.94.101.0/24 Un whois sur une des adresse IP de cette plage m'indique que c'est du MS et les exemples de requêtes observées me font penser que c'est lié à un logiciel de messagerie. Une recherche sur Internet me sort un site intéressant db-ip.com qui m'indique (ex. https://db-ip.com/40.94.101.43) : "40.94.101.43 is an IPv4 address owned by Microsoft Corporation and located in Paris, France" Mais bon, à quoi MS peut-il bien utiliser cette plage ? Une idée ? Laurent Barme Une idée comme une autre : Ce sont peut-être des IPs appartenants à Microsoft mais utilisés pour Azure et donc des personnes qui auraient des serveurs mal protégés... Après si ça vient de MS en interne, c'est plus inquiétant... Cdlt, --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] 40.94.101.0/24 ?
Bonjour, J'observe des requêtes malvenues du range 40.94.101.0/24 Un whois sur une des adresse IP de cette plage m'indique que c'est du MS et les exemples de requêtes observées me font penser que c'est lié à un logiciel de messagerie. Une recherche sur Internet me sort un site intéressant db-ip.com qui m'indique (ex. https://db-ip.com/40.94.101.43) : "40.94.101.43 is an IPv4 address owned by Microsoft Corporation and located in Paris, France" Mais bon, à quoi MS peut-il bien utiliser cette plage ? Une idée ? Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/
