昨晚遇到一个比较头疼的问题。
一台 VPS 被服务商通知对外发起 SSH brute force ,随后 IP 被 null route 。机器上主要跑网站和一些自建服务,我自己肯定没有主动扫别人。
通过 VNC 进去看了一下,发现不是简单的误报。系统里确实有可疑进程在对外连很多 22/80/443 端口,而且进程挂在一个 runner 用户下面。继续查发现该用户家目录下有一个隐藏目录,里面有几个伪装成系统服务名的二进制文件,比如类似 crond 、init 、upd 这类名字,其中一个还是 UPX 压缩过的 ELF 文件。
目前的判断是:VPS 确实被植入东西了,且大概率和 self-hosted runner 或 CI/CD 执行环境有关,但还没完全确定入口。GitHub workflow 本身看起来没有明显异常,不过机器上确实有 self-hosted runner ,且恶意文件落在 runner 用户目录下。
现在已经做了几件事:
- 停掉 self-hosted runner
- kill 掉可疑进程
- 打包保留恶意目录
- 准备重装系统
- 准备轮换 SSH key 、GitHub secrets 、runner token
想问下大家:
- self-hosted runner 是否确实不适合和生产服务放在同一台 VPS ?
- 这种情况有没有必要继续深挖入口,还是直接备份数据后重装?
- 如果后续还要用 self-hosted runner ,比较稳妥的隔离方案是什么?单独 VPS 、Docker 、临时 runner 、还是干脆不用?
- 1Panel / Docker / CI runner 这些东西放公网,有没有比较推荐的最小暴露配置?
目前个人感觉,self-hosted runner 这类东西如果长期在线、又和生产环境混在一起,风险比想象中高很多。
Select Language