嘟嘟社区

卧槽,代码真不能乱传


本帖最后由 cobra1 于 2022-2-10 15:42 编辑

现在全网爬虫太可怕了

昨天晚上十点多的时候我把自己写的代码传到github公开仓库,action里引用了一个remote ssh来实现代码更新后服务的重启。

然后因为是测试代码用的,小鸡也是测试用的vps,我就懒得用环境变量,直接yml里写了密码。因为知道这样不安全,所以我测试完之后就删库了(大概十二点多)。然后今天下午收到一个流量快耗尽的告警,当时也没多想,一个小时后又收到邮件流量跑光,服务被暂停了。马上一个激灵反应过来这是被黑了,果然对比ip是我昨晚测试的那台vps

**妈这台机器流量有1.5T,是在多么暴力的鉴黄

——-

回应一下吐槽,为什么知道这样不对还做?首先因为CI里代码的编译、scp复制分发、小鸡上的部署都比较耗时,由于github action私有库有时限,所以我只能用公有库。真正跑代码的那个服务器当然都是写环境变量的,但是这次想着是测试环境,就懒得再打开网页逐个设置变量复制粘贴,直接在ide里把写的环境变量给覆盖了

懒得用环境变量,直接yml里写了密码。因为知道这样不安全

     

安全意识不牢靠。以后默认私库
-,- 涉及密码的东西一律私库 或者 自己搭建的gitlab
。。。测试的,传到公开库
。。。骚操作啊
最近这两天,在写类似的监控 ………