不審なアカウントをサスペンドしました
仕事してるアピールするつもりが、仕事できないことが露呈する感じになりました。ポエムです。
始まり
今日(2018/12/02)なんとなくダッシュボードを眺めてみたら登録ユーザーがとても増えていました。
ちょっと前まで100人位だった記憶です。どこかで宣伝でもされたのでしょうか。何れにせよ来てくれたのは嬉しいので、どんな方が来てくれたのか見てみると外国っぽい名前とアイコンの方でした(スクリーンショットを取り忘れた)。
それらは37アカウントあり、すべて投稿0、フォロー1(デフォルトでフォローされる@potatos)でした。
特に問題がないなら何もしないでおこうと思ったのですが、他の鯖缶と話してスパムではないかとの疑いがあったので調べてみることにしました。
調べる
管理者にはユーザーが登録したメールアドレスと最後に利用したIPアドレスがわかります。
ざっと見てみたところ20個弱のIPアドレスを利用して、メールアドレスのドメインもほぼ全てバラバラのものでした。
MXレコードを引いてみるとすべて同じメールサーバーが指定されていました。
検索すると有名なMastodonのスパムアカウントらしいです。
倒す
とりあえずメールブラックリストに mxsrv.mailasrvs.pw
を追加すればアカウントの作成は防げるようです。MXレコードの先まで読んでくれるようになっているらしいです。
特に生かしておいてスパム活動されても困るので、存在しているアカウントはポチポチ手動でサスペンド(凍結)しました。思ったよりめんどくさかったのでスクリプトを書けばよかったなと後になって思いました。
サスペンドする際は細心の注意を払ったつもりですが、もし誤って人間のアカウントをサスペンドしていた際は、えあい (@Eai@mstdn.maud.io) へリプライか、 eai@mizle.net
までメールをいただければすぐに対応します。
もうちょっとだけ続くんじゃ
🤔
当インスタンスにアカウントを持っている方は知っているかと思いますが、開設当初からアカウント作成にはGoogle reCAPTCHAによる認証を必要としています。
ボットは通常これを突破することができないので、前述のようなスパムボットは弾くことができると考えていたのですが、実際には登録されていたわけで不思議に思っていました。
先の調査中にダイレクトメッセージが届きました。
…………?
登録しようとしてみると、確かにチェックを入れなくとも登録確認メールが届きます。これはいったい……。
調べること2時間弱。
なんと、reCAPTCHAをそのものは追加されていたものの、登録時に確認を必要とするコードを追加し忘れていたのです。
つまり開設当初からreCAPTCHAを認証しなくてもアカウントが作成できて……ただの飾りと化していたようで……。
完全に自分の確認不足&テスト不足です。仕事してる気になってすいませんでした……。
連合先に迷惑をかけないようほそぼそとやっているので、これからもPCGamer Socialをよろしくおねがいします。
追記
だそうです。(全振り)(GitHubのヒストリーのみかたよくわからん)(脳死コンフリクト解決をやめろ)(なんかもういろいろ申し訳ねえ)
次回からコンフリクトの解決には気をつけます。
ちなみにPCGamer Socialは:don:のソースコードを大いに参考にしています。この場を借りて御礼申し上げます。