昨晚遇到一个比较头疼的问题。

一台 VPS 被服务商通知对外发起 SSH brute force ，随后 IP 被 null route 。机器上主要跑网站和一些自建服务，我自己肯定没有主动扫别人。

通过 VNC 进去看了一下，发现不是简单的误报。系统里确实有可疑进程在对外连很多 22/80/443 端口，而且进程挂在一个 runner 用户下面。继续查发现该用户家目录下有一个隐藏目录，里面有几个伪装成系统服务名的二进制文件，比如类似 crond 、init 、upd 这类名字，其中一个还是 UPX 压缩过的 ELF 文件。

目前的判断是：VPS 确实被植入东西了，且大概率和 self-hosted runner 或 CI/CD 执行环境有关，但还没完全确定入口。GitHub workflow 本身看起来没有明显异常，不过机器上确实有 self-hosted runner ，且恶意文件落在 runner 用户目录下。

现在已经做了几件事：

1. 停掉 self-hosted runner
2. kill 掉可疑进程
3. 打包保留恶意目录
4. 准备重装系统
5. 准备轮换 SSH key 、GitHub secrets 、runner token

想问下大家：

• self-hosted runner 是否确实不适合和生产服务放在同一台 VPS ？
• 这种情况有没有必要继续深挖入口，还是直接备份数据后重装？
• 如果后续还要用 self-hosted runner ，比较稳妥的隔离方案是什么？单独 VPS 、Docker 、临时 runner 、还是干脆不用？
• 1Panel / Docker / CI runner 这些东西放公网，有没有比较推荐的最小暴露配置？

目前个人感觉，self-hosted runner 这类东西如果长期在线、又和生产环境混在一起，风险比想象中高很多。