近期���,一種名為比特幣的新型虛擬貨幣在網(wǎng)上異常火爆����,其兌換峰值曾高達(dá)1比特幣換266美元。比特幣是一種網(wǎng)絡(luò)虛擬貨幣,因為具有高匿名性��,導(dǎo)致一旦出現(xiàn)被盜問題將很難追查��,因此備受黑客關(guān)注�����,用戶一旦感染與比特幣相關(guān)的病毒����,賬號中的比特幣將直接被盜。而隨著高性能計算逐漸從陽春白雪的姿態(tài)轉(zhuǎn)變?yōu)橛H民形象����,很多黑客則將關(guān)注點轉(zhuǎn)向進攻高性能計算服務(wù)器系統(tǒng),植入木馬程序����,耗費用戶系統(tǒng)資源來進行“比特幣挖礦”活動。此次�,黑客盯緊了清華大學(xué)生命科學(xué)學(xué)院的高性能計算機群,對其高性能計算服務(wù)器進行了入侵�。
北京并行科技有限公司(www.paratera.com)作為清華大學(xué)多個學(xué)院的機群運維服務(wù)商,一直以來為用戶提供優(yōu)質(zhì)的高性能計算機群運維服務(wù)�����,并以自主研發(fā)的Paramon和Paratune軟件作為清華駐場運維的管理運營利器。在此次黑客入侵清華HPC機群中��,Paramon和Paratune“大顯身手”��,一舉解決用戶應(yīng)用維護的后顧之憂�。
本月月初,并行科技運維人員在清華大學(xué)生命科學(xué)學(xué)院例行遠(yuǎn)程巡檢時�,發(fā)現(xiàn)其中一臺登陸節(jié)點的CPU(all)%值(CPU總利用率所占的百分比)達(dá)到100%(如下圖1所示)�,而且在Paramon進程模式下能夠清楚地查看到是由root用戶(minerd@root)運行,如下圖2所示����。此現(xiàn)象引起了并行科技運維人員的關(guān)注,通過Paratune打開的para文件(如下圖3所示)發(fā)現(xiàn)����,該任務(wù)的提交時間也與學(xué)生經(jīng)常運行的作業(yè)特征不符,且root的密碼只有一位管理員知曉����,詢問清華學(xué)生后發(fā)現(xiàn)并未提交該任務(wù),故而直接鎖定為非法程序���。
圖1 黑客入侵清華HPC機群�,Paramon識別某節(jié)點服務(wù)器CPU(all)%值達(dá)100%
圖2 Paramon軟件快速識別CPU每核進程及用戶工作情況
圖3 Paratune軟件復(fù)現(xiàn)“挖礦”程序消耗資源過程
此非法程序的進程名是minerd,顧名思義為“礦工”進程����,它屬于比特幣的“挖礦”程序,通過大量持續(xù)的計算將有機會獲取比特幣�����,一般把這個計算過程叫做“挖礦”���。“挖礦”的時候需要連接到“礦場”�,清華的這臺機器連接到的是一個捷克的IP地址���,這個地址就是捷克的一個“礦場”��。
同時�,并行科技運維人員在服務(wù)器上的/etc/passwd/ 中找到兩個賬戶bash 和 svc��,它們的UID(User ID)均為0(Linux系統(tǒng)通過UID識別賬戶身份�����,0的權(quán)限和超級用戶root一樣), /etc/group 也有兩個對應(yīng)組���,GID(Group ID) 是 6028 和 6029���。經(jīng)過確認(rèn),運維人員認(rèn)定2個用戶屬于“后門”用戶�����。
在得出上述結(jié)論后�����,并行科技運維工程師采用一系列安全手段快速恢復(fù)系統(tǒng)�,并填補安全漏洞���,有效地防止了用戶計算資源的進一步損失�,為用戶程序的安全���、穩(wěn)定����、高效運行提供了強有力的保障。通過此次事件����,再一次證明了Paramon和Paratune系列軟件的強大功能,不僅為用戶提供高效的應(yīng)用運行特征收集��、分析與可視化�����,同時對HPC機群潛在的安全風(fēng)險進行實時監(jiān)控��、預(yù)防��、管理和快速事件檢測����,在機群性能異常時采取報警機制,切實為用戶的安全生產(chǎn)保駕護航����。
