前回: 告知: 会員サービス改定2024-01 | 更新縮小内容、広告ブロッカー対策設置、会員限定対象見直し | GNU social JP Web。
「告知: gnusocial.jpへのDoS攻撃とweb.gnusocial.jpの分散SNS参加 | GNU social JP Web」に最後にDoS攻撃を受けてからしばらく落ち着いていましたが、先日DoS攻撃を受けたので報告します。
!gjp スパムアカウントの500以上の大量登録のDoS攻撃を受けています。もしかしたらサイトを一時中止にするかもしれません。もし見えなくなったら、X/Twitterのアカウントかnc.gnusocial.jpをご覧ください。
https://t.co/TPyRatByISが大量登録のDoS攻撃を受けて対策できないので一時アクセス停止にしました。設定で新規登録を無効にしたのに登録されます。たぶん設定がうまく機能してない箇所があるのだと思います。
— ぐぬ管 (GNU social JP管理人) (@gnusocialjp) January 18, 2024
!gjp とりあえず、登録無効にしても、api経由の場合、ガードが入っていなかったので、一旦ガードをいれて対応しました。 アプリ開発より、脆弱性対策のほうが先ですかね… ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jpreplying to ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
2024-01-17T08:40+09 Thuにaaaというユーザーの登録を始まりに、12:55にサイトのアクセスを停止させるまで1000件程度のランダム生成されたユーザー名での大量登録がありました。
認知していたので、管理画面からmain/registerの登録受付を停止 (site.closed) をオンにした (actions/register.php) のですが、/api/account/registerのAPI経由だとこの設定のガードがなく、登録を拒絶できませんでした。
ほぼ同じ処理が、画面用とAPI経由で2か所に散らばっていて汚いです。ひとまず、API経由にも設定を参照したガードのif文をローカルに仕込んで再開しました。
「月報2023-12: ThreadsのActivityPub試験対応、Blueskyのロゴ変更・投稿一般公開、Firefish壊滅、Misskeyの騒動など重要で濃密な月 | GNU social JP Web」で触れたように、12月からGNU socialのアプリの開発に着手していました。
GNU socialのコードの作りはシンプルなのですが、実装が汚い箇所が多く、テストコードも追加しにくいです。一度着手すると、後はひたすらずっとやることになるので、後回しにしていました。私なりに優先順位を考えているのです。
ただ、GNU socialはいろいろ脆弱性があって、サイバー攻撃に弱いので、いくつか対策を先に行うことにします。つくりさえ理解できれば、そんなに大それた修正にはなりません。ひとまずサイバー攻撃を受けたという報告だけでした。
詳細プロフィール。SNS: X Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
Comments
This Article was mentioned on web.gnusocial.jp