AK泄漏28小时：运维工程师的极限自救

引言

周日下午，赵明明从一夜宿醉中醒来。手机上显示有23个阿里云未接来电和几百条告警短信；打开电脑，发现阿里云控制台满屏都是红色告警；颤抖的手指滑过手机短信账单通知，那数字令人窒息——372,584元。“这是我职业生涯最漫长的三分钟。”29岁的运维工程师赵明明（化名）回忆道。

01  高压下的致命疏忽

在创业公司的高压环境中，赵明明和他的团队为了尽快推出新产品，不得不进入“996冲刺”模式。每个成员都在拼尽全力，希望能在约定时间内完成项目。

周五晚上 21:09，为了快速调试新的云上业务系统，赵明明决定使用主账号生成一个拥有所有服务访问权限的访问密钥（Access Key, 简称 AK），并将该 AK 凭据存储到配置文件中，通过跳板机来间接访问其他服务。尽管他知道这样做并不安全，但为了节省时间，他还是选择了这条捷径。“反正测试完就删，而且跳板机只在内网开放，被黑客攻击的风险不大 ”，他在心里默默盘算着。然而，正是这一时的疏忽大意，埋下了巨大的安全隐患。

项目终于在周六下午顺利完成，如释重负的同事们决定下班后通过一顿热辣辣的火锅和几杯冰爽的啤酒来庆祝这一胜利时刻。大家忘却了连日来的疲惫与压力，尽情享受这份成功的喜悦。结束聚餐后已近深夜大家才各自归家，尤其是赵明明，拖着满是倦意的身体回到家中，几乎是头一沾枕便沉沉睡去。

02  数字黄金的诱惑

随着比特币等加密货币的价格持续上涨，挖矿活动成为了黑客们眼中的一块肥肉。尤其是在2024年至2025年间，比特币价格突破历史高位，吸引了大量投资者和投机者的目光。与此同时，这也引发了新一轮的黑客攻击浪潮，目标直指那些拥有强大计算资源的企业和个人用户。

新一代高性能GPU的出现显著提高了挖矿效率，使得原本难以实现盈利的小规模矿工也有了参与竞争的机会。此外，云计算平台提供的弹性计算资源为黑客们提供了一个便捷且高效的作案工具。他们可以利用被盗取的访问密钥（AK），通过 API 调用的方式，和使用账号一样，短时间创建大规模的计算集群进行挖矿，再将高额账单留给被害者承担。

03  暗夜侵袭：黑客视角

赵明明不知道的是，黑客早已盯上了他们的云账号，因为早在一个月前，黑客通过扫描工具发现了其公司对外暴露的一台老旧开发服务器。这台服务器运行着一个存在已知漏洞的开源框架 Apache Struts。由于该服务器长期无人维护，补丁更新滞后，黑客轻松利用远程代码执行漏洞获得了初步访问权限，并植入了一个隐蔽的后门，持续对内网其他机器进行扫描。

周五晚上，黑客扫描到赵明明创建的跳板机，利用弱密码策略，暴力破解SSH登录。通过分析跳板机上的历史命令记录，找到了配置文件中明文保存的主账号 AK，从而获取了更高的账号权限。

狡猾的黑客不愿意在白天打草惊蛇，一直等到周六晚上主机没有活动之后，利用该AK批量创建了多台虚拟机实例，并植入了挖矿病毒，短时间内横向扩散到其他的机器上，通过使用云端计算资源来挖矿，获取加密货币。这一切都在悄无声息中进行，与此同时，赵明明及其团队还在庆祝项目顺利结束，完全没有意识到云账户上大量的主机已经开始挖矿，为黑客贡献源源不断的计算资源。

04 争分夺秒的战斗

由于前一天晚上聚会狂欢，赵明明一直睡到下午 2 点醒来。充电开机之后，看到手机显示有23个未接来电以及上百条短信提醒，忽然就一个激灵清醒了。凌晨阿里云安全告警触发时，外呼平台拨打了多次赵明明所持的安全手机号，但由于手机已经关机导致未能接通。

意识到问题严重性的赵明明立刻打开电脑，迅速登录控制台查看审计日志，结合告警信息和实例创建的日志，他大概推断是 AK 泄漏导致了主机被利用挖矿。

担心直接删除 AK 可能会影响业务系统的正常功能， 赵明明首先尝试限制AK 的部分权限，但是由于使用了主账号 AK，无法限制实例创建，他不得不逐一检查并删除所有非法创建的实例。但是他并没有充分预估到黑客技术的复杂性，由于挖矿病毒已经从最初的感染点扩散到了一些关键业务实例上，导致这些实例不能被简单地释放。赵明明尝试中断受感染进程的方法来遏制挖矿，很快他发现，这种病毒极其顽固，即使中断了相关进程，它们仍能自动重启。在多次尝试无果后，赵明明意识到需要更专业的帮助，于是联系了阿里云的安全工程师协助查杀病毒病，阻断了服务器对矿池的访问。

在工程师的建议下，赵明明创建了新的RAM子账号和 AK，并替换原有的主 AK 使用场景，确保 AK 不会被再次利用。

经过几个小时的连续奋战，赵明明终于完成了大部分必要的修复工作。此时，他已经疲惫不堪，但仍然不敢放松警惕。他继续监控系统状态，确保没有遗漏任何安全隐患。

05  刻在工位上的教训

由于云账号被黑客利用创建了大量主机，同时也产生了高额的账单，事后赵明明根据日志和账单分析发现，仅周六凌晨到周日下午，异常创建的云资源就消耗了高达 37 万元的账单，他作为项目主要的运维负责人也因此承担了相应处分。

一个月后，赵明明的工位上贴着一张安全警示语：“安全从细节做起，禁止使用主账号AK。”这句话不仅是对自己的提醒，也是对其他同事的警示。从此以后，公司内部掀起了一股学习安全知识的热潮，大家都深刻认识到网络安全的重要性。

公司新规要求，所有云账号必须开启阿里云安全体检功能，及时发现不符合安全规范的操作，比如某次检测自动识别出公网暴露的Redis实例，通过这种方式，许多潜在的安全隐患得以及时发现并解决。项目经理王磊（化名）表示：“开启了安全体检功能后，能够清晰看到每个账号下的风险情况，对于项目安全有了很大保障，有效提升了系统的整体安全性。”