第一次遇到这种情况,事情整体经过是这样的。

缘起

之前在腾讯云上部署了一个umami服务,最近vps资源有点紧张,就将它迁移到家里的服务器上运行, 然后通过frp将其暴露到公网。

发现问题

今天发现这台服务器的CPU完全打满,有大量的这种名称为随机字符串的进程在运行, 如图所示。

img

处理

经过排查,确认是umami服务引起的,赶紧停掉。同时为了安全起见,将frp的服务端和客户端程序也都停了。

这个是运行在pve的虚拟机上的,所以这台虚拟机也准备删掉重新安装。

总结

回想一下,其实腾讯云之前发过了警告,但是我没当回事,这是当时发的警告邮件内容。

查了一下资料以及AI的分析,大概率是Umami / Next.js 相关漏洞链导致的,至于为什么之前没有,可能是被云厂商拦截掉了,现在是直接扫描到了内网无任何防护的这台机器。

总结经验教训主要是以下几点:

  • 内网服务轻易不要暴露到公网,如果真的需要,考虑使用更安全的方式,至少frp以后不用了
  • 监控很重要,能及时发现问题
  • 做好备份与隔离
  • 安全邮件要引起重视,不要视而不见