卧槽,代码真不能乱传
现在全网爬虫太可怕了昨天晚上十点多的时候我把自己写的代码传到github公开仓库,action里引用了一个remote ssh来实现代码更新后服务的重启。
然后因为是测试代码用的,小鸡也是测试用的vps,我就懒得用环境变量,直接yml里写了密码。因为知道这样不安全,所以我测试完之后就删库了(大概十二点多)。然后今天下午收到一个流量快耗尽的告警,当时也没多想,一个小时后又收到邮件流量跑光,服务被暂停了。马上一个激灵反应过来这是被黑了,果然对比ip是我昨晚测试的那台vps
**妈这台机器流量有1.5T,是在多么暴力的鉴黄
https://i.bmp.ovh/imgs/2022/02/ba25b0b7acb79374.png
-------
回应一下吐槽,为什么知道这样不对还做?首先因为CI里代码的编译、scp复制分发、小鸡上的部署都比较耗时,由于github action私有库有时限,所以我只能用公有库。真正跑代码的那个服务器当然都是写环境变量的,但是这次想着是测试环境,就懒得再打开网页逐个设置变量复制粘贴,直接在ide里把写的环境变量给覆盖了 映象中,很久以前,有个mjj做了个站,在隐蔽的地方放了个链接,一键清空系统
然后,就被蜘蛛给点了 损失不大 下次一定 懒得用环境变量,直接yml里写了密码。因为知道这样不安全
安全意识不牢靠。以后默认私库 。。。测试的,传到公开库 -,- 涉及密码的东西一律私库 或者 自己搭建的gitlab 。。。骚操作啊 最近这两天,在写类似的监控 ......... :lol 自己作死吧了
页:
[1]