近期,一種名為比特幣的新型虛擬貨幣在網(wǎng)上異�;鸨鋬稉Q峰值曾高達1比特幣換266美元����。比特幣是一種網(wǎng)絡虛擬貨幣,因為具有高匿名性����,導致一旦出現(xiàn)被盜問題將很難追查����,因此備受黑客關(guān)注�����,用戶一旦感染與比特幣相關(guān)的病毒�,賬號中的比特幣將直接被盜���。而隨著高性能計算逐漸從陽春白雪的姿態(tài)轉(zhuǎn)變?yōu)橛H民形象�,很多黑客則將關(guān)注點轉(zhuǎn)向進攻高性能計算服務器系統(tǒng)�����,植入木馬程序����,耗費用戶系統(tǒng)資源來進行“比特幣挖礦”活動。此次�,黑客盯緊了清華大學生命科學學院的高性能計算機群,對其高性能計算服務器進行了入侵��。
北京并行科技有限公司(www.paratera.com)作為清華大學多個學院的機群運維服務商����,一直以來為用戶提供優(yōu)質(zhì)的高性能計算機群運維服務��,并以自主研發(fā)的Paramon和Paratune軟件作為清華駐場運維的管理運營利器����。在此次黑客入侵清華HPC機群中��,Paramon和Paratune“大顯身手”��,一舉解決用戶應用維護的后顧之憂�。
本月月初,并行科技運維人員在清華大學生命科學學院例行遠程巡檢時�,發(fā)現(xiàn)其中一臺登陸節(jié)點的CPU(all)%值(CPU總利用率所占的百分比)達到100%(如下圖1所示),而且在Paramon進程模式下能夠清楚地查看到是由root用戶(minerd@root)運行���,如下圖2所示�。此現(xiàn)象引起了并行科技運維人員的關(guān)注����,通過Paratune打開的para文件(如下圖3所示)發(fā)現(xiàn),該任務的提交時間也與學生經(jīng)常運行的作業(yè)特征不符���,且root的密碼只有一位管理員知曉�����,詢問清華學生后發(fā)現(xiàn)并未提交該任務��,故而直接鎖定為非法程序���。
圖1 黑客入侵清華HPC機群����,Paramon識別某節(jié)點服務器CPU(all)%值達100%
圖2 Paramon軟件快速識別CPU每核進程及用戶工作情況
圖3 Paratune軟件復現(xiàn)“挖礦”程序消耗資源過程
此非法程序的進程名是minerd����,顧名思義為“礦工”進程����,它屬于比特幣的“挖礦”程序,通過大量持續(xù)的計算將有機會獲取比特幣����,一般把這個計算過程叫做“挖礦”。“挖礦”的時候需要連接到“礦場”�����,清華的這臺機器連接到的是一個捷克的IP地址,這個地址就是捷克的一個“礦場”�。
同時,并行科技運維人員在服務器上的/etc/passwd/ 中找到兩個賬戶bash 和 svc����,它們的UID(User ID)均為0(Linux系統(tǒng)通過UID識別賬戶身份,0的權(quán)限和超級用戶root一樣)���, /etc/group 也有兩個對應組���,GID(Group ID) 是 6028 和 6029。經(jīng)過確認���,運維人員認定2個用戶屬于“后門”用戶�����。
在得出上述結(jié)論后��,并行科技運維工程師采用一系列安全手段快速恢復系統(tǒng)����,并填補安全漏洞,有效地防止了用戶計算資源的進一步損失��,為用戶程序的安全��、穩(wěn)定�、高效運行提供了強有力的保障。通過此次事件�����,再一次證明了Paramon和Paratune系列軟件的強大功能���,不僅為用戶提供高效的應用運行特征收集���、分析與可視化,同時對HPC機群潛在的安全風險進行實時監(jiān)控��、預防�����、管理和快速事件檢測��,在機群性能異常時采取報警機制�����,切實為用戶的安全生產(chǎn)保駕護航����。
