2024年2月スパム対処顛末記+α

2024年2月スパム対処顛末記+α Fediverse在住6年目の鯖缶はどうやらかし、どう向き合ったか +自宅インフラ運用とかの話

あなたは誰？ 2

ふぉの (@fono@ma.fono.jp) 自作サーバ運用歴: 15年目 / 2009年〜 ref: $ whois fono.jp の 登録年月日 信州(okaya, shiojiri)、茨城(tsukuba)で負荷分散運用中 mastodon運用歴: 6年目 / 2018年〜 ref: メインインスタンスの初投稿 Web系会社員で飯を食っているので あくまで趣味で片手間運用(伏線) 最近は多趣味と消耗が趣味かもしれないと思い始めた 3

スパム概要 4

「荒らし共栄圏」 「荒らし共栄圏」のミームや経緯は ニコニコ大百科 を参照のこと 基本下記の箇条書きのようにアカウント作成・スパムリプライをスクリプト +人海戦術でやっている 主犯をほのめかす技術者倫理のない人物の情報は地元県警には情報提供済 (CoCにそぐわないため、 Xでの発言の引用や言及はしない ) 本業も忙しく疲労で愚痴も溢れるが、無駄な感情を持たずに淡々と処すこと 当該人物のスクリプトの挙動とその他のツールの組み合わせによると見られる https://github.com/EdamAme-x/misskey-account-generator 1. 2. 3. misskey.ioの連合先で登録が公開のサーバーを探す (Mastodonなども後に対象に ) 条件(当該スクリプトではメール認証なし , 後に突破)に該当するサーバーに登録する 不明なアルゴリズムでリプライを投げつけ続ける (フォローなどはしない ) 5

• https://github.com/EdamAme-x/misskey-account-generator

実際の投稿例 2月初旬: 荒らし共栄圏リンクのみ？ 主にMisskeyなので通報などに残らず (公開管理人用アドレスを用いた 脅迫メール・怪文書フォーム投稿もあった が、弊鯖では喰らわずに済んだ) 2月中旬頭: いわゆる「黒猫スパム」 メール認証突破機能を拡張された 2月中旬末: 5000兆円亜種, スパム缶亜種 2月下旬: メンション, リンクだけ系亜種 このように内容が変化していった 6

弊鯖での対応 & やらかし 7

対応タイムライン [2月上旬] 荒らし共栄圏が Misskey上で暴れている のを感知(影響なし) [2/17 14:04] 通報アカウントを停止 [2/17 15時頃] 新規登録停止 [2月中旬頭]スパム物量増加を観測 大枠の対応方針は以前のメールドメインブロック & 事後アカウント停止のスパム投稿アカウントから変 えず(これが大きな誤り ) [2/16] 警察情報提供 [2/17 13:38] 外部通報により アカウント作成とスパム投稿を感知 [2/17 深夜] 承認制+hCaptcha運用開始 [2/19] S-H-GAMELINKS/auto-spam-executioner フォーク運用開始 [2/20] asyncio周りの実装ミスで大量通報バグ [2/22] フォーク(fono09/auto-spam-executioner) 安定稼働開始 8

やらかし 新規登録を閉じなかった 通報爆撃してしまった 事前に可能なセキュリティ対策も不足していた 非同期処理で、ストリーミングのイベントリスナーの ど れかが終了(正常・異常無関係 )してしまったら、すべ て終了したあと 永久に立ち上げ直す 処理を書いた つ もりでいた ⇒ ミスが有り何も考えずにイベントリスナを無限に建 て続ける処理になった 従前の牧歌的なスパムの感覚が抜けていない 片手間運用という心の隙 (伏線回収) 警察に情報提供した通り、 ツールによる攻撃 ⇒「あとから対処」は既に踏み台として 誰かのアカウント・サーバーを加害している 捨てアドメールサーバのブロックリスト、 hCaptchaも当 該のbotには有効らしい 立ち上がった大量のリスナーが甘い条件で引っか かったスパムを大量通報してしまった 9

ma.fono.jpのAP接続先各位 この度は大変ご迷惑をおかけしました - ma.fono.jp 管理人 ふぉの 10

相互運用に対する脅威であるため Fediverseのいちインスタンス運用者として 今回のスパマーは許容できない - ma.fono.jp 管理人 ふぉの 脇が甘かったとはいえ休日の昼間に外でスマホポチポチして処して、それが 終わっても、自動対処ツールが運用に乗るまで当面の間ポチポチポチポチポ チポチスパム通報で処して、2週間の間プライベートの3割ぐらい溶けたんです よ……？仕事とか日常があるので厳しい…… 11

現行対応 コンテナ化+動作が詳細化されたspam-auto-executionerで自動で処す 処理の中身はコードを読めばわかる、かつ、公開資料でそのまま書くと対策してきそうな連中がいるので、 設定パラメータとかは秘密。 今のところ、ストリーミングで引っかけているので通知は飛んでしまうが、 秒速で処理・停止されていて、本体にパッチを当てずに運用できている。 鯖缶はオペレータであってデベロッパではない という線引きで考えると、 こういった、一歩妥協はあるが機能する外付けソリューションはありがたい 。 12

こぼれ話 どうやら自分用 DNSファイアウォール (特定ドメインを 引けなくすることでアクセスしない )をメンテしている人 が、感染したAPをブロック対象に追加する作業をして いる。 https://github.com/mypdns/matrix 多少のやり取りの後、色々と把握した。 コントリビューション歓迎らしいが、 仕事柄、無償のインターネットには限界がある認識な ので、完全なアドブロックにつていは (Web性の違い で解散) https://miniwa.moe/objects/e63069 6b-afb2-4692-b5d2-757916df6529 13

• https://github.com/mypdns/matrix
• https://miniwa.moe/objects/e63069

+α: 最近の自宅鯖改修 14

隣部屋から簡易操作 課題: サーバとメイン端末部屋が別 でキーボードとディスプレイの取り回 しが面倒 選定候補↓ IP-KVM(最安で15k切る) ラズパイ相当品自作 (手間と安定性に疑問だが LUGのネタとしては作りたい ) (採用)既製品(15k前後) 今回は隣部屋のため (IP通信は不採用 ) 右の商品を組み合わせて実現 Logicool K400 Plus Black (K400pBK) KZNTAKU WirelessHDMI 送受信機セット 15

結果 pros: まあ安い(合わせて15kしない) 確実(接続すれば動く・BIOS設定可) 安全(15kより安い信頼できないIP-KVMは セキュリティホールになる) cons: 複数端末は別の手法を考える必要がある IP-KVMのような利便性はない (完全遠隔対応が可能にはならない) 画像は受信ドングル(RX)と、2.4GHzキー ボードによる操作(htop) 16

Wi-Fi AP更改 YAMAHA WLX202→WLX212 サイバー薄はんぺん→厚切りはんぺん WLX202: Webアクセスのみ (コンソール無し ) コントローラは同社ルータ RTX810で動作する 壁掛け、平置きがメイン WLX212: クラスタマネージャモードを切っても内部 にコントローラがおり、設定変更はそこから (同社 ルータからの設定適用も可能 ) 自立用の足がついてきている ⇒アンテナを指向させる面で有利 スタンドアロン運用については WLX212が過剰に複雑になった印象を受けてしま う(便利になることは良いこと ) 17

MastodonのMinIO移行の話をし たかったが既出でスパム対応に追 われたのでボツにしました 18

ご清聴 ありがとうございました これは1月末に長崎にツーリングに 行ったときの、日本本土最西端の 地のモニュメントです 正面から寄った写真はデジイチで 撮ったのにピンボケしてた 😢 この翌日、私の愛機 (SR400)は 宿から100kmも走らない間に動か なくなり陸送、私は空便で帰宅し、 手放すことになりました (二段オチ) 19