PYU224

@PYU224

オープンソースの信奉者で何かを作っている人です。

https://linksta.cc/@pyu224

2025年03月からヤジュッターを利用しています

0 ヤジュコイン

4 フォロー中 30 フォロワー

つぶやき
PYU224 @PYU224 · 約1ヶ月前
新しいPeertubeのプラグインの案を思いついたからAIと一緒に仕様を考えてます。
0 1 0
PYU224 @PYU224 · 約1ヶ月前
CloudflareでNovogaraの掌返しのような事が起きないとは限りません。
万一あそこにある約1.2TBのバックアップデータとメディア本体が凍結されたら野獣動画2ndはほぼ確実に再起不能になります。
PYU224 @PYU224 · 約1ヶ月前

何故この話をしたのかと言いますと、今野獣動画2ndの動画の保管にはCloudflareのR2を使っています。
問題としては価格(今月の額は2999円でまだまだいける)もありますが、それよりもある日Cloudflareから突然「申し訳ないがホモはNG」と言われた場合、即座に詰みかねないのではという懸念が出てきたからです。
別に全く急いではないのですが、代替があると安心できるので、良い感じのS3互換のオブジェクトストレージがあれば教えて欲しいです。
2 0 0
PYU224 @PYU224 · 約1ヶ月前
何故この話をしたのかと言いますと、今野獣動画2ndの動画の保管にはCloudflareのR2を使っています。
問題としては価格(今月の額は2999円でまだまだいける)もありますが、それよりもある日Cloudflareから突然「申し訳ないがホモはNG」と言われた場合、即座に詰みかねないのではという懸念が出てきたからです。
別に全く急いではないのですが、代替があると安心できるので、良い感じのS3互換のオブジェクトストレージがあれば教えて欲しいです。
PYU224 @PYU224 · 約1ヶ月前

そういえばこれって使えるんですかね?
https://www.backblaze.com/
1 1 0
PYU224 @PYU224 · 約1ヶ月前
@yp3klknl への返信
今確認しました。
検索したら野獣動画本体側にもありませんね。
こちら側では特に何か削除をした覚えはありませんから、アップロードした方が自主的に消したかもしれません。
3 0 0
PYU224 @PYU224 · 約1ヶ月前
ニコニコ動画という国産の動画サービスの競合が出ないのは不思議ですし切磋琢磨ができないという点において非常によろしくないと思います。
求められる鯖の性能的に生放送の配信サービスよりハードルが低いと思いますが。
2 0 0
PYU224 @PYU224 · 約1ヶ月前
そういえばこれって使えるんですかね?
https://www.backblaze.com/
The Leading Open Cloud Storage Platform - Backblaze
Backblaze is a pioneer in robust, scalable low cost cloud backup and storage services. Enterprise hot storage, low cost backup and archive, and more.
www.backblaze.com
0 1 0
PYU224 @PYU224 · 約1ヶ月前
野獣動画2nd設立からそろそろ11ヶ月ですね。
3 0 0
PYU224 @PYU224 · 約2ヶ月前
@yp3klknl への返信
多分公式コミュニティで聞いた方が良いです。
あの辺はドキュメントが乏しいので。
https://framacolibri.org/c/peertube/38
PeerTube
Here, we talk about PeerTube, both the decentralized video hosting network, and the on free/libre software it’s based on.
Framacolibri
0 0 0
PYU224 @PYU224 · 約2ヶ月前
パスワードといった部分を除けば基本的にデフォルトの設定のまま運用しているので、そこから逸脱した設定や操作が原因である可能性は高いかと。
0 0 0
PYU224 @PYU224 · 約2ヶ月前
@morokan への返信
ログインの際にデフォルトのパスワードやメアドを変えたので侵入者はそこから入れなかったとなると原因の特定は難しいですね・・・
0 0 0
PYU224 @PYU224 · 約2ヶ月前
情報漏洩の発端はお知らせにも書きましたが、ブログとMisskeyと分けてる鯖を高性能なもので統合したら鯖代が年に2万円浮くし負荷を分散できるぞと思った事でした
42000円→22000円に鯖代が抑えられるのは大きいと感じたからです。
0 0 0
PYU224 @PYU224 · 約2ヶ月前
@yp3klknl への返信
VPSのコンパネにあったDockerだからかなり古いタイプだったようでした。
このプロキシは無印のnginxと異なり、しかも前々から不具合が多く更新頻度が低いそうです。
GUIで設定できるからときちんと調べずに使ったのが間違いでした。
0 0 0
PYU224 @PYU224 · 約2ヶ月前
nginxに代わる良いツールがあるとDockerでインストールしたnginx proxyは2.11.3で最新版だと確認しなかったのが致命的なミスの1つですね・・・
https://nvd.nist.gov/vuln/detail/CVE-2024-46256
NVD - CVE-2024-46256
nvd.nist.gov
0 1 0
PYU224 @PYU224 · 約2ヶ月前
あとは私がNPMの設定を間違えた可能性が高いです。
misskeyの問題なら普通にnginxを導入している他のサーバーはとっくに被害を受けているはずだからです。
PYU224 @PYU224 · 約2ヶ月前

ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
0 0 0
PYU224 @PYU224 · 約2ヶ月前
ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
Nginx Proxy Manager
Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt
nginxproxymanager.com
CuteBarn @CuteBarn · 約2ヶ月前

追記ですが、オープンポートからでもDBには接続できませんでした。確かにdefault.ymlには触れましたが。
0 2 0
PYU224 @PYU224 · 約2ヶ月前
@PYU224 への返信
犯行声明によるとサーバーのIP:3000からdefaultファイルに入ったと言っていたようです。
そこが問題だと睨んでいます。
0 0 2
PYU224 @PYU224 · 約2ヶ月前
@CuteBarn への返信
ファイアウォールのログやSQLの設定ファイルはローカルで保全しております。
その辺りかどうかは知識がなく断言はできませんが、GUIについてはnginx proxy managerからGUIで設定していたのと、ymlファイルのパーミッションをデフォルトのままにしていたので、そこにあった平文のパスワードを読まれたからだと考えています。
SSHとFTPはfail2banを導入していますし、もし仰る通りSSHが抜かれていたら同居させているブログや他のWebサービスも被害に遭っているでしょうからそこは考えにくいです
0 0 1
PYU224 @PYU224 · 約2ヶ月前
Webスニファとはこれか。
こんな方法もあるとは。
https://wa3.i-3-i.info/word12625.html
0 0 0
PYU224 @PYU224 · 約2ヶ月前
Postgresのデフォルト設定が問題だと思っていましたが、根本的な問題として侵入された際にファイアウォールが有効になっていなかった可能性が出てきました。
0 0 0
PYU224 @PYU224 · 約2ヶ月前
思い返してみれば実際は複数の方々から同じようなご指摘を頂いていたのに気づきましたが、私はそれに耳を傾けたつもりでも実際は受け止めていませんでした。
PYU224 @PYU224 · 約2ヶ月前

Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742

技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
0 0 0