黑客悄悄挖矿，别让你的服务器成为“冤大头”！

小白：最近显卡的价格一路上涨，我有个朋友说他想卖掉自己的显卡赚一点差价。

大东：的确，19年的显卡现在可能已经翻了一番。

小白：似乎和产能下降有关。

大东：没错，除了产能下降，虚拟货币的火热也是显卡价格上涨的原因。

小白：还有“矿老板”囤积显卡来挖矿，市场供大于求，显卡价格自然就会上涨。我还看到有新闻报道说：黑客入侵电脑让电脑替他们挖矿呢。

大东：这种现象确实存在。最近，黑客已经不满足通过入侵个人主机让电脑帮忙挖矿了，他们盯上了服务器，例如github、dockerhub、travisCI和CirCleCI等。

小白：这是怎么回事呢？东哥，你能讲一下吗？

二、话说事件

大东：当然可以，让我把事情的经过捋一捋。

小白：如果黑客入侵github的服务器，技术难度会很高吧。

大东：实际上他们是钻了github的一个空子，这个入侵过程可能比侵入个人电脑还要容易，甚至不需要个人上当受骗。侵入个人电脑还可能出现钓鱼邮件。

小白：欸，那是怎么做到的呢？

大东：实际上是利用了github action的自动执行工作流的功能，轻松地将挖矿程序运行在github的服务器上。只需要提交pull request，即使项目管理者不同意，恶意挖矿代码依然能够执行。

小白：哦，看起来操作确实比较简单。那github的工作人员有采取措施缓解或者制止吗？

大东：github工作人员当然也想禁止这种现象的发生，但似乎没有起到很好的效果。他们采取的方式是封锁违规账号，但黑客可以新建一个账号，就像在玩“猫和老鼠”游戏一样。官方人员心里也很苦。

小白：那这个现象是什么时候被发现的，到现在有多久了呢？

大东：去年11月，一位敏锐的程序员发现黑客在薅github服务器的羊毛，到现在这种攻击方式仍在存在，甚至有荷兰的程序员在攻击代码中发现中文。

小白：如果我是github工作人员，我的内心一定很郁闷。那我们该怎么做呢？

大东：虽然不需要被攻击的仓库管理者接受恶意pull request，但需要在.github/workflows目录里配置了在收到pull request时执行，才会执行黑客的action。所以如果没有使用这个功能，黑客可能不会找上你。

小白：那如果我需要使用这个功能呢？这会不会给黑客可乘之机？

大东：不必太担心，有解决办法。你可以设置只允许本地action或只允许Github官方及特定作者创建的action。你还可以将情况反馈给客服，GitHub会对恶意账号进行封号和关闭相关pull request的操作。

三、大话始末

小白：我还想知道黑客是怎么被发现的，东哥你知道吗？

大东：当然知道，让我详细讲一下。

小白：好的。

大东：去年11月，一名程序员Tib发现自己在一个没有参加的repo上收到了7个PR请求，这些请求全是来自“y4ndexhater1”的用户，且没有任何描述内容。这让他十分惊讶。他点开项目主页，发现了几个不太正常的点。

小白：是什么点呢？

大东：首先这个项目不是很热门，star数量为0。其次打

热点：挖矿 显卡