周六我的两台服务器被黑客执行了恶意代码,挖门罗币,还好 nextjs 项目是用 docker 跑的,把容器停止镜像删掉就没啥大问题。
这两个服务器跑着 nextjs 的项目,用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口,只有内网能访问( nginx 反代)。
我好奇黑客是怎么扫到这服务的?
是用 fofa 这种 serch engine 搜的么?搜索的关键字是什么?全网搜网站带有 nextjs 等关键字的前端网页么?
害人之心不可有,防人之心不可无。虽然做了相关升级,但还是想知道黑客怎么发现相关服务的,有注意服务器再做好相关防护。
