Linux&HPC并行计算集群中挖矿病毒临时解决方法及预防方法研究

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量1.8k 收藏 55
点赞数 57
分类专栏: Linux并行计算&HPC高性能计算 window&linux操作系统 文章标签: linux 运维 服务器 安全 集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27815483/article/details/139904206
版权

一、集群中病毒临时解决方法

系统异常现象:top中CPU使用率达100%,但无法看到是哪个进程使用,类似下图所示:

使用netstat命令查看网络连接,同样可以看到一个不显示进程名称的可疑连接:

以上的系统异常现象是该病毒的其中一个版本(或称为变种)的行为导致的现象,其他变种可能会有其他现象,近期观察到有部分变种仅占用一部分CPU资源,而非100%的CPU占用,从而降低被人感知到中毒的概率,但在top等工具中隐藏自身进程仍然是这类病毒的共性。因此一旦发现CPU使用率异常而无法直接看出占用CPU的进程时,可以大概率认为系统中存在病毒。

病毒进程隐藏方法:通过恶意so文件(/usr/local/lib/libprocesshider.so),新建或修改系统/etc/ld.so.preload文件以将该文件进行预加载,使得top中不显示病毒进程。

删除/etc/ld.so.preload文件后,在top中可以看到病毒进程:

上图中的qemu-kvm仅是病毒的一种伪装,其他变种有伪装成nginx等进程的,因此对病毒的判断应从行为着手

根据进程PID,可以查到病毒文件所在目录:

以及病毒进程的命令行:

此时使用netstat命令也可以看到该进程:

使用kill -9 <PID>的方式可以临时杀掉病毒进程,然后删掉/usr/local/games/.x目录。这样可以暂时将机器上的该病毒删掉,后续若发现系统再次出现之前的异常现象,可以按上述方法进行排查。其他变种也有在其他目录下存放病毒的,有些变种甚至会创建以空格表示的目录(例如:“/tmp/  /.x”),这样在SSH下不方便查看目录以及进入或删除目录,此时可以使用FTP工具进行删除。

二、病毒预防方法

阻断病毒传播途径是一种有效的防范计算机病毒的措施。对病毒传播的阻断可以从源头上进行阻断,将已感染病毒的机器进行杀毒处理,或采取重装系统等措施,从而阻止该机器继续传播病毒。近期观察到该类病毒的传播方式主要是通过SSH来连接其他机器,若SSH连接成功便可将挖矿病毒传播到新中毒机器上,进而进行挖矿。有时这类传播病毒的机器不在我们部门的掌控下,无法从源头上进行处理,此时可以在尚未中毒的机器上采取措施进行防范,从而降低中毒的概率。我们可以采用的方法有阻止中毒机器进行SSH登录。

通过编辑/etc/hosts.deny文件,将禁止登录的IP列入以禁止该IP进行SSH登录,格式如下:

sshd:<IP地址>:deny

例如:

sshd:10.17.27.79:deny

例如下面是一个/etc/hosts.deny文件的完整内容

#

# hosts.deny    This file contains access rules which are used to

#       deny connections to network services that either use

#       the tcp_wrappers library or that have been

#       started through a tcp_wrappers-enabled xinetd.

#

#       The rules in this file can also be set up in

#       /etc/hosts.allow with a 'deny' option instead.

#

#       See 'man 5 hosts_options' and 'man 5 hosts_access'

#       for information on rule syntax.

#       See 'man tcpd' for information on tcp_wrappers

#

sshd:10.0.53.87:deny

sshd:10.17.35.188:deny

sshd:10.0.100.3:deny

sshd:10.17.46.217:deny

sshd:10.0.37.96:deny

sshd:10.17.35.89:deny

sshd:10.0.27.21:deny

sshd:10.0.20.156:deny

sshd:10.0.50.190:deny

sshd:10.0.50.164:deny

sshd:172.17.167.35:deny

sshd:10.0.53.213:deny

sshd:10.0.51.223:deny

sshd:10.0.50.46:deny

sshd:10.31.133.198:deny

sshd:10.0.50.211:deny

sshd:10.32.134.118:deny

sshd:10.0.37.251:deny

sshd:10.11.8.57:deny

sshd:10.17.26.192:deny

sshd:10.0.51.145:deny

通过上述设置,上面列出的IP将无法通过SSH连接登录系统。

三、传播病毒机器的发现方法

此类传播病毒的机器可以看作是一个挖矿网络中的服务端或控制端,其特点是不断对各个IP段进行轮询,并不断使用各个密码或用户名尝试进行登录,此时在机器尚未中毒的时候,我们可以看到系统中的告警信息,例如SSH登录到服务器的时候,通常会告知我们上一次失败的登录的时间和IP地址以及尝试登录次数,例如下图所示:

例如上图中有108次在上一次登录成功后的失败登录尝试次数,这么多次的失败登录显然是一种异常现象,表明可能有传播病毒机器尝试登录这台机器。

查看/var/log/secure日志文件,可以看到有大量的失败登录记录,例如下图所示:

通过查看日志,可以看到一些IP有大量失败登录的异常行为,此时可以将该IP添加到/etc/hosts.deny文件中,以阻止该IP继续尝试登录。已添加到/etc/hosts.deny文件中的IP若继续尝试连接,则会在/var/log/secure日志文件中有“refused connect from <IP>”的日志记录,例如下图所示:

四、病毒变种记录

1. “java”病毒

系统异常现场:top中一个进程占用系统总体的50%左右CPU资源,进程名称为java,按C查看命令行后变为“[kworker/2:8H]”,例如下图所示:

进入/proc目录查看该进程:

可执行程序为/tmp/min/java,进入/tmp/min目录,ls如下:

使用netstat命令可以看到该进程正在与一台中毒机器建立连接:

病毒处理方法:将病毒进程kill掉,并删除/tmp/min目录中所有文件,如下图所示:

再次使用top命令查看进程,确认没有病毒进程运行。

技术瘾君子1573
关注
  • 57
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux并行计算HPC集群批量部署配置管理工具
06-15
clusconf 集群部署管理工具是为简化高性能(HPC集群部署,方便集群的维护和管理而开发的脚本工具,支持集群一键配置、集群服务配置、并行命令、文件同步、用户管理、集群备份等功能。 clusconf 可用于部署标准或非标准的HPC 集群,并可以对部署好的集群进行进一步的配置和日常的管理,方便并简化管理员和集群用户的操作。 clusconf 采用命令行操作,兼容shell 环境及各种系统命令,提供静默执行模式,方便脚本调用,支持执行日志以及集群自动配置等各项功能。 clusconf-2.0.1支持RHEL/CentOS-7.x、 RHEL/CentOS-6.x,Gridview-3.2提供的集群部署,管理等部分功能由clusconf 提供底层支持。
comsol-v6.1如何在Linux&HPC并行计算集群安装并使用
qq_27815483的博客
06-29 758
声明:本文只用于研究学习comsol软件安装与使用,禁止用于商业用途,如您有使用软件的需求,请前往正规渠道购买正版软件授权
Microsoft HPC Pack 2016部署Comsol Multiphysics多物理场耦合并行计算以及超大规模仿真计算集群硬件配置推荐
Su_wenfeng的博客
05-18 3479
并行计算(Parallel Computing)是指同时使用多个计算资源解决计算问题。并行 计算的主要目的是快速解决大型复杂的计算问题,或者节约成本——使用多台“廉价” 计算机取代昂贵的大型机,以下测试启动两个节点(win10),每个节点使用8个内核参与计算。管理节点即头节点系统为windows server 2019,COMSOL Multiphysics 安装版本为5.4 1 部署Windows并行环境 1.1准备工作 首先,集群的每台机器应该能够相互通过网络相互访问,而在 Windows
并行计算集群系统
hpc4you的博客
08-30 1082
其实,这个标题好搞笑…… 一个能正常工作的基于Linux系统的并行计算集群,应该具备以下的特征。 有一个调度器,比如Slurm,OpenPBS等。商用的就不提了。 运行同一个版本的Linux系统,也就是系统版本唯一。 用户信息唯一和数据唯一。意味着用户在任何一个节点上,看到的数据程序都是一样的。 除了登录环节在,用户通过调度器访问任何资源,鉴权过程均是无感知的。 用户仅可访问调度器分派的资源。依靠用户自觉遵守规则,不盗用资源是不现实的。 添加和删除用户,只需在管理节点完成类似useradd/u
让所有的MATLAB用户都能用集群并行计算
sizheng0320的专栏
01-17 2573
学院的计算平台(一期)运行已经一年了,麻雀虽小五脏俱全。本来以为大家有GPU需求的差不多都会自己买上一两台GPU服务器(我自己还有一台K40×2的古董呢),所以一期建设只有刀片和FPGA,但是现在大家都玩深度学习了,对GPU的需求很旺,赶紧二期来一台V100×4,下学期应该就能跑起来啦。 言归正传,虽然目前没有GPU,但是CPU上跑MATLAB的需求还是有的,但是目前的用户们,仅停留在写串行的MA...
并行计算 & HPC & MPI
@_囚徒-2018_的家园
07-28 6393
1.并行编程模型 并行编程模型有三类: (1)数据并行模型 相同的操作同时作用于不同的数据。 (2)共享变量模型 用共享变量实现并行进程间的通信。 (3)消息传递模型 在消息传递模型,驻留在不同节点上的进程可以通过网络传递消息相互通信,实现进程之间的信息交换、协调步伐、控制执行等。 2.HPC HPC,highperformance computing,高性能计
并行计算、分布式计算、集群计算和网格计算的介绍,以及主要有哪些区别?
多智时代的博客
03-05 2954
并行计算(Parallel Computing)      并行计算或称平行计算是相对于串行计算来说的。并行计算(Parallel Computing)是指同时使用多种计算资源解决计算问题的过程。为执行并行计算,计算资源应包括一台配有多处理机(并行处理)的计算机、一个与网络相连的计算机专有编号,或者两者结合使用。并行计算的主要目的是快速解决大型且复杂的计算问题。      并行计算可以划分成时间并...
计算机集群 -- Linux 集群技术概述
XY0918ZWQ的博客
02-18 1618
Linux 集群技术概述一、什么是集群 ?二、常见集群架构三、为什么要使用集群 ?四、集群分类1、负载均衡集群2、高可用集群3、高性能计算集群4、网格计算五、常用集群软、硬件 一、什么是集群集群是一种并行或分布式系统,该系统包括一个互连的整体计算机集合作为一种单一、统一的计算资源使用。通过集群技术,我们可以在付出较低成本的情况下获得在性能、可靠性、灵活性方面更高的收益。 计算机集群简称集群,是一组计算机系统,它通过一组松散集成的计算机软件和硬件连接起来,高度紧密地协作完成计算相关工作。 集群,是一组
并行计算集群技术
weixin_51491725的博客
12-26 2891
第5章 并行计算集群技术 并行计算(Parallel Computing) 也叫高性能计算(High Performance Computing) 、高端计算(High-end Parallel Computing) 或超级计算(Super Computing) .它的快速发展为其他技术、的发展提供了重要的支撑。云计算关注的两个要点是计算力和存储力,而计算力依赖的技术就 是并行计算,因此学习云计算需要了解并行计算的概念和分类。集群技术是并行计算的基础,也是云计算的基础,所以需要了解集群技术。本章就将介绍并
Linux并行计算HPC集群批量部署配置工具-clusconf-3.0.0
06-15
clusconf可用于部署标准或非标准的 Linux并行计算HPC 集 群,并可以对部署好的集群进行进一步的配置和日常的管理,方便并简化管理员和集群用户的操作。 clusconf采用命令行操作,兼容 shell 环境及各种系统命令,...
Linux并行计算集群批量部署配置管理工具-clusconf-3.0.0-el8
06-15
可用于部署标准或非标准的 Linux并行计算HPC 集群,并可以对部署好的集群进行进一步的配置和日常的管理,方便并简化管理员和集群用户的操作。 clusconf采用命令行操作,兼容 shell 环境及各种系统命令,方便脚本调用...
Linux并行计算集群性能测试工具-Clusbench-2.0.git845e7c8.x86-64.run
06-15
Clusbench 是Linux并行计算集群性能测试工具,目前Clusbench支持主流X86平台(如Intel,AMD,Hygon)linpack基准测试、内存stream测试、dgemm测试、hpcg测试、IB带宽和聚合通信(alltoall)测试,且支持批量单机测试...
HPC.rar_HPC_并行机_并行程序设计_并行计算_计算机 性能
09-14
综上所述,“HPC.rar”文件包提供了对HPC基础的深入了解,包括并行机的分类、并行程序设计的方法并行计算的应用,以及衡量高性能计算机性能的关键指标。通过深入学习这些内容,IT专业人士可以更好地理解和应用HPC...
HPC集群调度系统和计算系统
qq_35789269的博客
07-26 917
所谓的计算云指的是为计算业务优化的类云基础架构,它强调用云的方式解决计算问题,而不是将“计算”搬到现有的公有云或者容器云上。目前公有云或者容器云(例如k8s)上的HPC解决方案本质上都是将现有的HPC方案虚拟化或容器化,以虚拟机或容器替代物理机。这些做法是为了将公有云资源卖给计算用户,并没有改进计算业务本身。(公有云只是将资源标准化和虚拟化,对比直接调度物理机只是多个了标准化,但实际上传统hpc 使用cgroup本质上是一样的)
Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 702
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
linux/shell】linux如何去除字符串空格
qq_35902025的博客
07-06 298
linux如何去除字符串空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
nginx安装(win和linux
f552126506的博客
07-07 479
nginx安装(win和linux
Linux存储管理I
m0_54563444的博客
07-03 902
主要知识点: 基本分区、逻辑卷LVM、EXT3/4/XFS文件系统、RAID。
高性能计算实验报告CPU/GPU SIMD
07-05
SIMD,即Single Instruction, Multiple Data,是一种并行计算方法,它在同一时间对多个数据进行同样的操作。在现代CPU,SIMD是一项重要功能,可以提高数据并行处理的效率。在CPU,SIMD是通过向量寄存器来实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术瘾君子1573

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值