我是在前天收到这个噩耗的,信息是阿里云发给我的,我在起床的时候收到了阿里云的短信。当时就很气愤,又来了。早在去年的时候,公司的一台服务器同样也是被挖矿病毒入侵,服务器CPU一直满负荷运转,SSH连接都要等半天。这是非常气人的。公司那次被入侵是因为一位员工离职过后把公司的项目代码公开到了GitHub上面,代码里面有公司服务器的AccessKey。我为什么知道是公司的前员工泄漏了代码呢?其实这也是阿里云告诉我的,我通过阿里云发布的Accesskey泄漏链接找到了泄漏我们代码的人,因为他的GitHub名称用的是他名字的全拼,最后我联系到了他本人,删除了代码。然后公司这边也进行了处理。
我很纳闷,这一次到底是什么地方出了漏洞,导致我的服务器被入侵。我没有办法,对付这些东西,我没有一点儿经验,于是我重装了系统。可是没过多久,又收到了阿里云的提示短信,去到控制台一看,CPU又开始满负荷运转起来了,我真的有很多❓
就在我一筹莫展的时候,事情开始发生变化。当我正常在使用docker命令的时候,我docker ps了一下,结果发现了惊天秘密,我的docker这在运行一个我不知道哪儿来的容器,那一瞬间,我像被闪电击中了一样恍然大悟!肯定是有人利用了我的docker端口进行了非法的操作。而前几天在进行持续集成的时候,我开放了docker的端口和私有仓库的端口。只要黑客扫描到了我的端口,就可以把他的镜像pull到我的私有仓库然后运行。
怀着激动的心情,我停止了非法容器,删除了非法镜像,然后关闭了docker的端口和私有仓库的端口。我的持续集成是在本机上执行的,根本没有必要开放这两个端口的啊!事实证明,我关闭了这两个端口,对持续集成的业务没有任何影响。一次小小的教训,让我知道了开端口之前要三思!很有价值的一次经历。
到今天服务器都还在正常运行,病毒没有复发。
文章评论