内部IPアドレス172.17.0.1からのスパム提供？

Thanatermesis · 2025 年 9 月 24 日午後 2:43

短編小説：最近、Discourseのインストールで、テキストテンプレート（古いインストールからのもの？）の「メール確認」のURLが url/authorize_email/ のようになっているのを変更した後、大規模なスパムが発生しました。最終的には、5日前のフォーラム全体を復旧する必要がありました…

現在、スパムボット攻撃がさらにないかログを確認していますが、何か奇妙なことに気づきました…ほとんどのスパムボットはローカルIPから来ているようです：

そのため、私のインストールに何か問題があるのかどうか確信が持てません。

例えば、この 172.16.0... の設定は正しいのでしょうか？

pfaffman · 2025 年 9 月 24 日午後 2:47

リバースプロキシ（おそらくnginx-proxyのようなもの）を使用しています。

app.ymlに次のようなものを追加する必要があります。

afer_bundle_exec:
  - replace:
    filename: /etc/nginx/conf.d/discourse.conf
    from: "types {"
    to: |
      set_real_ip_from 172.16.0.0/12;
      set_real_ip_from 10.0.0.0/8;
      real_ip_recursive on;
      real_ip_header X-Forwarded-For;
      types {

Thanatermesis · 2025 年 9 月 24 日午後 4:43

最初のスクリーンショットでわかるように、一部のもの（スパムボットからのものだけのように見える）だけのように見えます。

リバースプロキシを使用していないようで、DiscourseはDockerインスタンスから直接提供されています。

pfaffman · 2025 年 9 月 24 日午後 4:55

すみません。172.17.x.x というアドレスを見たとき、リバースプロキシを使用していると仮定しました。

では、これは標準的なインストールですか？

単一のホストでロードバランサー/リバースプロキシがない場合、そのようなIPアドレスを誰が持っているのか分かりません。何か他のものがトラフィックを転送しているのでしょうか？これらはプライベートアドレスなので、ローカルネットワークから来ているように見えます。これは、スパムボットがネットワーク上に存在していることを示唆しています。(Guide to Private IP Address Classes and Ranges - Ipstack)

正当なユーザー（例：LAN上の人々）がそのIP範囲からDiscourseにアクセスしていない場合は、ブロックしても安全です。ネットワークを管理している人に連絡して、これらの攻撃が内部アドレスから来ていることを知らせてください。

Jagster · 2025 年 9 月 24 日午後 5:31

それはDockerのIPアドレスですよね？

pfaffman · 2025 年 9 月 24 日午後 5:36

そこで見たのですが、その範囲には他に使い道があると思います。

あるいは、スパムボットがそのマシン上のDockerコンテナである可能性もありますね。

Jagster · 2025 年 9 月 24 日午後 6:01

わかりませんし、私にとってDockerの世界は大きな謎ですが、SSHなどを介してコンテナIPを取得することは可能なのでしょうか？

Thanatermesis · 2025 年 9 月 24 日午後 7:46

はい、何年も前にそうしましたが、これだったと思います。基本的に、この目的のためだけにvultrの専用小型ホストマシン（DOのdroppletsのようなもの）があり、dockerにインストールされており、ホスト/vpsの残りは他の目的には使用されていません。

ええ、私もそう思っています。何らかの設定ミスか、スパムボットから発生しているように見えるので、何か奇妙なことが起こっているのでしょう。

そのマシンには他のDockerはありません。

pfaffman · 2025 年 9 月 24 日午後 7:54

何年もOSをアップデートしていないのですか？ホストマシンがハッキングされた可能性はありますか？それらのIPアドレスは、同じマシンから来ているように見えます。

Thanatermesis · 2025 年 9 月 25 日午後 2:50

2～3ヶ月後に再インストールする予定です。

そのようには見えませんが、知るのは難しいかもしれません。一方で、スパムボットは大量ではありません（しかし、確認メールのURLリンクを「authorize_email」から「confirm-new-email」に変更したところ、数日前は大量のスパムが発生していました。これは古いテンプレートの内容のようでしたが、復元されたバックアップには、別の攻撃を避けるために、まだ古い方法が残っています）。

Thanatermesis · 2025 年 9 月 25 日午後 3:21

奇妙なのは、このメールテンプレートが設定で重複しているように見えることです。そのため、この問題について別の投稿トピックを作成しました。

tobiaseigen · 2025 年 10 月 6 日午後 8:23

問題の解決に十分なことがわかりましたか？このトピックノートを閉じてもよろしいですか？

Thanatermesis · 2025 年 10 月 6 日午後 8:51

いいえ、古いバージョンから保持されているように見える間違ったコンテンツを持つ「メールテンプレート」が多数重複している理由と、前の投稿で述べたようにそれらを削除できない理由については、まだ回答をお待ちしています。

tobiaseigen · 2025 年 10 月 6 日午後 9:18

ここで説明されている問題の原因がメールテンプレートである可能性は低いです。サーバーに関連しているように思われるため、新規インストールで再インストールすると問題が解決するはずです。

ここでお手伝いできることは他にないようですので、このトピックは閉じさせていただきます。メールテンプレートに関するご質問にも回答しました。新しい問題が発生した場合は、新しいトピックを開始してください。

トピック		返信	表示
Discourse shows server IP/localhost as user's IP Installation unsupported-install	19	2041	2022 年 7 月 12 日
IP addresses are not correct in my installation Support	8	1203	2021 年 12 月 3 日
Remote users IPV6 address shows as localhost Support	30	4787	2020 年 9 月 13 日
Spam Filter / Whitelist suggestions Hosting	3	1786	2016 年 10 月 15 日
User overview: Last IP Adress 172.17.0.1 Support	4	99	2025 年 4 月 5 日

内部IPアドレス172.17.0.1からのスパム提供？

関連トピック