黑客入侵清华大学生命科学学院HPC机群,操纵计算资源挖矿

2021年6月29日 234点热度 0人点赞 0条评论

  北京并行科技有限公司作为清华大学多个学院的机群运维服务商,一直以来为用户提供优质的高性能计算机群运维服务,并以自主研发的Paramon和Paratune软件作为清华驻场运维的管理运营利器。在此次黑客入侵清华HPC机群中,Paramon和Paratune“大显身手”,一举解决用户应用维护的后顾之忧。

  本月月初,并行科技运维人员在清华大学生命科学学院例行远程巡检时,发现其中一台登陆节点的CPU(all)%值(CPU总利用率所占的百分比)达到100%(如下图1所示),而且在Paramon进程模式下能够清楚地查看到是由root用户(minerd@root)运行,如下图2所示。此现象引起了并行科技运维人员的关注,通过Paratune打开的para文件(如下图3所示)发现,该任务的提交时间也与学生经常运行的作业特征不符,且root的密码只有一位管理员知晓,询问清华学生后发现并未提交该任务,故而直接锁定为非法程序。



 

黑客入侵清华大学生命科学学院HPC机群,操纵计算资源挖矿插图


黑客入侵清华HPC机群,Paramon识别某节点
服务器CPU(all)%值达100%

黑客入侵清华大学生命科学学院HPC机群,操纵计算资源挖矿插图1


Paramon软件快速识别CPU每核进程及用户工作情况

黑客入侵清华大学生命科学学院HPC机群,操纵计算资源挖矿插图2


Paratune软件复现“挖矿”程序消耗资源过程



  此非法程序的进程名是minerd,顾名思义为“矿工”进程,它属于比特币的“挖矿”程序,通过大量持续的计算将有机会获取比特币,一般把这个计算过程叫做“挖矿”。“挖矿”的时候需要连接到“矿场”,清华的这台机器连接到的是一个捷克的IP地址,这个地址就是捷克的一个“矿场”。

  同时,并行科技运维人员在服务器上的/etc/passwd/ 中找到两个账户bash 和 svc,它们的UID(User ID)均为0(Linux系统通过UID识别账户身份,0的权限和超级用户root一样), /etc/group 也有两个对应组,GID(Group ID) 是 6028 和 6029。经过确认,运维人员认定2个用户属于“后门”用户。

相关推荐: FBI该如何处置从丝绸之路收缴的巨额比特币

美国联邦调查局(FBI)逮捕了“丝绸之路”(Silk Road)的老板罗斯•威廉•乌布利希(Ross William Ulbricht)并取缔了他的网站,与此同时他们还缴获了网站的资产,主要是这个匿名网上毒品交易市场所采用的货币:比特币。这批比特币数额巨大。 …

jakonwang

这个人很懒,什么都没留下