一把“万能钥匙”引发的惨案

“风险提示：检测到服务器在马来西亚异地登录，请前往主机安全查看详情。” 某个周日晚上22:00，A公司的安全运维工程师马工收到一条异地IP登录的告警。马工顿感不妙，冲进书房打开电脑登录系统后台，快速浏览告警详情，发现服务器的安全组新增了入方向0.0.0.0:22端口权限。没有运维人员在马来西亚，也没有服务器的ssh端口直接对外，公司正常的访问都是要通过内网或堡垒机连接服务器。"肯定又是哪个Accesskey丢了。"马工十分笃定。在这半年内，公司已经第三次发生这类事件了。“我们在几台机器上发现了异常登录和来源不明的命令，应该是Accesskey丢了，不知道影响面有多大，麻烦你们今天来排查一下吧。”第二天早上9:00，马工立马联系了腾讯安全的周工。周末晚上，马工和他的同事们已经把排查出所有被修改的安全组，并删除了新增的异常 ………………………………