okx

黑客悄悄挖矿,别让你的服务器成为“冤大头”!

时间:2023-06-15|浏览:201

一、小白剧场

小白:最近显卡的价格一路上涨,我有个朋友说他想卖掉自己的显卡赚一点差价。

大东:的确,19年的显卡现在可能已经翻了一番。

小白:似乎和产能下降有关。

大东:没错,除了产能下降,虚拟货币的火热也是显卡价格上涨的原因。

小白:还有“矿老板”囤积显卡来挖矿,市场供大于求,显卡价格自然就会上涨。我还看到有新闻报道说:黑客入侵电脑让电脑替他们挖矿呢。

大东:这种现象确实存在。最近,黑客已经不满足通过入侵个人主机让电脑帮忙挖矿了,他们盯上了服务器,例如github、dockerhub、travisCI和CirCleCI等。

小白:这是怎么回事呢?东哥,你能讲一下吗?

二、话说事件

大东:当然可以,让我把事情的经过捋一捋。

小白:如果黑客入侵github的服务器,技术难度会很高吧。

大东:实际上他们是钻了github的一个空子,这个入侵过程可能比侵入个人电脑还要容易,甚至不需要个人上当受骗。侵入个人电脑还可能出现钓鱼邮件。

小白:欸,那是怎么做到的呢?

大东:实际上是利用了github action的自动执行工作流的功能,轻松地将挖矿程序运行在github的服务器上。只需要提交pull request,即使项目管理者不同意,恶意挖矿代码依然能够执行。

小白:哦,看起来操作确实比较简单。那github的工作人员有采取措施缓解或者制止吗?

大东:github工作人员当然也想禁止这种现象的发生,但似乎没有起到很好的效果。他们采取的方式是封锁违规账号,但黑客可以新建一个账号,就像在玩“猫和老鼠”游戏一样。官方人员心里也很苦。

小白:那这个现象是什么时候被发现的,到现在有多久了呢?

大东:去年11月,一位敏锐的程序员发现黑客在薅github服务器的羊毛,到现在这种攻击方式仍在存在,甚至有荷兰的程序员在攻击代码中发现中文。

小白:如果我是github工作人员,我的内心一定很郁闷。那我们该怎么做呢?

大东:虽然不需要被攻击的仓库管理者接受恶意pull request,但需要在.github/workflows目录里配置了在收到pull request时执行,才会执行黑客的action。所以如果没有使用这个功能,黑客可能不会找上你。

小白:那如果我需要使用这个功能呢?这会不会给黑客可乘之机?

大东:不必太担心,有解决办法。你可以设置只允许本地action或只允许Github官方及特定作者创建的action。你还可以将情况反馈给客服,GitHub会对恶意账号进行封号和关闭相关pull request的操作。

三、大话始末

小白:我还想知道黑客是怎么被发现的,东哥你知道吗?

大东:当然知道,让我详细讲一下。

小白:好的。

大东:去年11月,一名程序员Tib发现自己在一个没有参加的repo上收到了7个PR请求,这些请求全是来自“y4ndexhater1”的用户,且没有任何描述内容。这让他十分惊讶。他点开项目主页,发现了几个不太正常的点。

小白:是什么点呢?

大东:首先这个项目不是很热门,star数量为0。其次打

热点:挖矿 显卡

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

非小号交易所排名-专业的交易行情资讯门户网站,提供区块链比特币行情查询、比特币价格、比特币钱包、比特币智能合约、比特币量化交易策略分析,狗狗币以太坊以太币玩客币雷达币波场环保币柚子币莱特币瑞波币公信宝等虚拟加密电子数字货币价格查询汇率换算,币看比特儿火币网币安网欧易虎符抹茶XMEX合约交易所APP,比特币挖矿金色财经巴比特范非小号资讯平台。
非小号行情 yonghaoka.cn 飞鸟用好卡 ©2020-2024版权所有 桂ICP备18005582号-1