ちょうど Mastodon v4.2.7 がリリースされたところですので、それに対するパッチを出しておきます。
リモートから届いた、あるいはブーストや検索等でfetchしたCreate Activityのcontentに対し正規表現でマッチしたものを拒否する機能を追加するものです。
要するにサーバレベルのリモート投稿フィルタです。
https://github.com/fedibird/mastodon/tree/add-reject-pattern-to-admin-setting-v4.2.7
手順はざっくりこんな感じ。
sudo -iu mastodon
cd live
git fetch https://github.com/fedibird/mastodon add-reject-pattern-to-admin-setting-v4.2.7
git reset --hard FETCH_HEAD
RAILS_ENV=production bundle install
RAILS_ENV=production yarn install --frozen-lockfile
exit
sudo systemctl restart mastodon-*
データベーススキーマなどには影響しないので、いつでもv4.2.7に安全に戻せます。必要な方はどうぞ。
普通に人の多いMastodonサーバも混じってきたので、雑にブロックで対応はできないねえ。
また送信元がどっさり増えたかな?
🍶 Fedi廃仕込み
今回の件、fedibird.com(とnightly)は、初動対応としては踏み台6サーバーのドメインブロック、次にinboxへ送られてくる特定パターンのCreate Activityのreject(管理者設定項目を追加)を行ってドメインブロック解除、対象サーバの攻撃用アカウントの定期抽出とサスペンド対応を行っているよ。
ブロックは解除してあるので、検出の漏れているパターンはすり抜けていると思うけど、アカウントは定期削除してるので、それらも追って見えなくなっていると思う。
Fedibirdには、フォロー関係にない新規アカウントからのメンションをブロックする設定項目があるので、ユーザーレベルではだいたいそれで防げるハズ。困ってる人は設定しておいてね。
まぁ、これは攻撃がシンプルだからできる対応。いつかそうなるだろうけど、まだ電子メールみたいな世界にはしたくないよね。
既に複数のサーバ管理者が警察に相談を入れている。法治国家の社会のレイヤーで対応する案件かな。 #fedibird #fedibird_info
スパム、突然の高負荷でVPSやCDNのデータ転送量が超過したり、メンション等の通知でメール送信通数が爆増したりして、お財布に大打撃ってこともあるよ。
@Sujiyan Hi. sujiyan.
Look at the federation timeline on mstdn.jp and pawoo.net. Since last night, a large number of slanderous posts have been flowing in from a large number of spam accounts created on several servers, and they are also directly sending random mentions to people who have posted publicly. Please, take action.
風が強くて
主に、Fediverseへの関心に基づいた投稿を行うアカウントです。DTP・印刷に関する話をしたり、同人の話をしたり、カレーをブーストしたりします。
Mastodonのcollaborator(開発者の一員)です。また、独自機能を盛り込んだFedibirdを管理・開発しています!
Mastodonサーバ『fedibird.com』の管理者アカウントでもあります。ご連絡は当アカウントへ、サーバインフォメーションについては https://fedibird.com/about/more と @info を参照してください。