2019-12-11 LGTMoonが荒らされている問題

大量の画像が生成されている

id 37821 - 66369 の間くらいが怪しい

code:sql

lgtmoon::DATABASE=> select id, created_at from image where id = 37821;

id | created_at

-------+-------------------------

37821 | 2019-12-11 05:45:14.327

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 38000;

id | created_at

-------+-------------------------

38000 | 2019-12-11 06:03:24.449

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 39000;

id | created_at

-------+-------------------------

39000 | 2019-12-11 06:16:22.149

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 40000;

id | created_at

-------+-------------------------

40000 | 2019-12-11 06:17:00.256

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 48000;

id | created_at

-------+-------------------------

48000 | 2019-12-11 06:17:28.075

(1 row)

39000 から 48000 のあたりで大量に生成されていることがわかる。

さらに 49000 - 66369 あたりの間も大量に生成されていることがわかる。

code:sql

lgtmoon::DATABASE=> select id, created_at from image where id = 49000;

id | created_at

-------+-------------------------

49000 | 2019-12-11 13:34:34.539

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 50000;

id | created_at

-------+-------------------------

50000 | 2019-12-11 13:34:37.217

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 55000;

id | created_at

-------+-------------------------

55000 | 2019-12-11 13:37:09.616

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 60000;

id | created_at

-------+-------------------------

60000 | 2019-12-11 13:38:57.773

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 65000;

id | created_at

-------+-------------------------

65000 | 2019-12-11 13:40:35.035

(1 row)

lgtmoon::DATABASE=> select id, created_at from image where id = 66369;

id | created_at

-------+-------------------------

66369 | 2019-12-11 13:41:08.184

(1 row)

多分途中から生成が失敗し始めたものと思われる。そう考えるとここまで処理できていたみたいなのですごい処理能力である。

68869 が最新のIDである。

2回アタックがあったっぽいので間の時間がどうだったかを見てみることにする

code:sql

lgtmoon::DATABASE=> select id, created_at from image where id = 48400;

id | created_at

-------+-------------------------

48400 | 2019-12-11 08:07:38.637

(1 row)

48400 と 48399, 48388 あたりは普通に生成された画像っぽいので、このあたりはアタックではないようだ。

調べてみると、48386 までは同じ画像っぽいので、

37821 - 48386 は攻撃っぽい。その後も同じ画像が何回か並ぶことがあるので、試したりしているようだ。

48388 からもしばらく同じ画像になる。

多分同じ主である

code:sql

lgtmoon::DATABASE=> select id, created_at from image where id = 48483;

id | created_at

-------+-------------------------

48483 | 2019-12-11 13:34:33.047

(1 row)

どうやらここが攻撃の始まりっぽい。

48483 - 66369

ということで対策として

37821 - 48386 の画像を消す

48483 - 66369 の画像を消す

その他生成失敗の画像を消す

ことにする

code:sql

select count(id) from image where 37821 <= id and id <= 48386;

count

-------

10566

(1 row)

delete from image where 37821 <= id and id <= 48386;

DELETE 10566

select count(id) from image where 48483 <= id and id <= 66369;

count

-------

17887

(1 row)

delete from image where 48483 <= id and id <= 66369;

DELETE 17887

delete from image where status = 0;

DELETE 4282

画像から、日本人がやってあるであることは想像できるので、一応IPだけ調べておく。