圖1 黑客入侵清華HPC機(jī)群�,Paramon識(shí)別某節(jié)點(diǎn)服務(wù)器CPU(all)%值達(dá)100%
圖2 Paramon軟件快速識(shí)別CPU每核進(jìn)程及用戶工作情況
圖3 Paratune軟件復(fù)現(xiàn)“挖礦”程序消耗資源過(guò)程
此非法程序的進(jìn)程名是minerd,顧名思義為“礦工”進(jìn)程�,它屬于比特幣的“挖礦”程序,通過(guò)大量持續(xù)的計(jì)算將有機(jī)會(huì)獲取比特幣�����,一般把這個(gè)計(jì)算過(guò)程叫做“挖礦”���。“挖礦”的時(shí)候需要連接到“礦場(chǎng)”,清華的這臺(tái)機(jī)器連接到的是一個(gè)捷克的IP地址��,這個(gè)地址就是捷克的一個(gè)“礦場(chǎng)”��。
同時(shí),并行科技運(yùn)維人員在服務(wù)器上的/etc/passwd/ 中找到兩個(gè)賬戶bash 和 svc����,它們的UID(User ID)均為0(Linux系統(tǒng)通過(guò)UID識(shí)別賬戶身份,0的權(quán)限和超級(jí)用戶root一樣)��, /etc/group 也有兩個(gè)對(duì)應(yīng)組����,GID(Group ID) 是 6028 和 6029。經(jīng)過(guò)確認(rèn)���,運(yùn)維人員認(rèn)定2個(gè)用戶屬于“后門”用戶���。
在得出上述結(jié)論后,并行科技運(yùn)維工程師采用一系列安全手段快速恢復(fù)系統(tǒng)����,并填補(bǔ)安全漏洞,有效地防止了用戶計(jì)算資源的進(jìn)一步損失����,為用戶程序的安全、穩(wěn)定�、高效運(yùn)行提供了強(qiáng)有力的保障。通過(guò)此次事件,再一次證明了Paramon和Paratune系列軟件的強(qiáng)大功能�,不僅為用戶提供高效的應(yīng)用運(yùn)行特征收集、分析與可視化�,同時(shí)對(duì)HPC機(jī)群潛在的安全風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控、預(yù)防����、管理和快速事件檢測(cè),在機(jī)群性能異常時(shí)采取報(bào)警機(jī)制���,切實(shí)為用戶的安全生產(chǎn)保駕護(hù)航�。
