圖1 黑客入侵清華HPC機(jī)群�����,Paramon識別某節(jié)點(diǎn)服務(wù)器CPU(all)%值達(dá)100%
圖2 Paramon軟件快速識別CPU每核進(jìn)程及用戶工作情況
圖3 Paratune軟件復(fù)現(xiàn)“挖礦”程序消耗資源過程
此非法程序的進(jìn)程名是minerd����,顧名思義為“礦工”進(jìn)程�,它屬于比特幣的“挖礦”程序,通過大量持續(xù)的計算將有機(jī)會獲取比特幣����,一般把這個計算過程叫做“挖礦”��。“挖礦”的時候需要連接到“礦場”��,清華的這臺機(jī)器連接到的是一個捷克的IP地址�����,這個地址就是捷克的一個“礦場”�����。
同時�����,并行科技運(yùn)維人員在服務(wù)器上的/etc/passwd/ 中找到兩個賬戶bash 和 svc�����,它們的UID(User ID)均為0(Linux系統(tǒng)通過UID識別賬戶身份,0的權(quán)限和超級用戶root一樣)�����, /etc/group 也有兩個對應(yīng)組����,GID(Group ID) 是 6028 和 6029。經(jīng)過確認(rèn)�,運(yùn)維人員認(rèn)定2個用戶屬于“后門”用戶����。
在得出上述結(jié)論后,并行科技運(yùn)維工程師采用一系列安全手段快速恢復(fù)系統(tǒng)�,并填補(bǔ)安全漏洞���,有效地防止了用戶計算資源的進(jìn)一步損失,為用戶程序的安全��、穩(wěn)定��、高效運(yùn)行提供了強(qiáng)有力的保障。通過此次事件�,再一次證明了Paramon和Paratune系列軟件的強(qiáng)大功能,不僅為用戶提供高效的應(yīng)用運(yùn)行特征收集�、分析與可視化,同時對HPC機(jī)群潛在的安全風(fēng)險進(jìn)行實時監(jiān)控、預(yù)防�、管理和快速事件檢測���,在機(jī)群性能異常時采取報警機(jī)制�����,切實為用戶的安全生產(chǎn)保駕護(hù)航���。
