本帖最后由 cobra1 于 2022-2-10 15:42 编辑
现在全网爬虫太可怕了 昨天晚上十点多的时候我把自己写的代码传到github公开仓库,action里引用了一个remote ssh来实现代码更新后服务的重启。 然后因为是测试代码用的,小鸡也是测试用的vps,我就懒得用环境变量,直接yml里写了密码。因为知道这样不安全,所以我测试完之后就删库了(大概十二点多)。然后今天下午收到一个流量快耗尽的告警,当时也没多想,一个小时后又收到邮件流量跑光,服务被暂停了。马上一个激灵反应过来这是被黑了,果然对比ip是我昨晚测试的那台vps **妈这台机器流量有1.5T,是在多么暴力的鉴黄 ——- 回应一下吐槽,为什么知道这样不对还做?首先因为CI里代码的编译、scp复制分发、小鸡上的部署都比较耗时,由于github action私有库有时限,所以我只能用公有库。真正跑代码的那个服务器当然都是写环境变量的,但是这次想着是测试环境,就懒得再打开网页逐个设置变量复制粘贴,直接在ide里把写的环境变量给覆盖了 |
|
安全意识不牢靠。以后默认私库 |
-,- 涉及密码的东西一律私库 或者 自己搭建的gitlab |
。。。测试的,传到公开库 |
。。。骚操作啊 |
最近这两天,在写类似的监控 ……… |