一次 HPC 病毒感染与解决经历
周一的时候,有同事反馈说,HPC 的项目报告路径正在不断产生 *.exe 和 *.pif 文件,怀疑是不是被病毒感染!
收到信息,第一时间进去目录,的确发现该目录每个几秒钟就自动生成一个 *.exe 和 *.pif 二进制文件。
于是:
检查垃圾文件的属主,ps、htop、top 排查该属主的进程,均没有发现任何正在运行的相关程序。
用 crontab 检查是否有定时运行的任务,也没有任何发现。
为了防止 *.exe 和 *.pif 垃圾文件的持续生成,占满磁盘,我们在 /etc/passwd 中把有问题的用户进行了注释禁用,同时把正在对发生问题目录进行数据拷贝的所有移动硬盘进行终止,并移除,这样一来发现,*.exe 和 *.pif 二进制文件自动生成的情况消失了。
由于发生问题所在的目录是通过 Samba 服务与本地的几台 Windows 台式机进行了同步,用于客户数据上传下载的拷贝。我们排查了 HPC 发生问题的时间,以及相关时间段的服务记录,没发现什么异常,服务器 io 也正常,而且生成的 exe 二进制文件正常来说在 Linux 上也是无法执行的,一般只有 Windows 对 exe 可执行文件比较敏感。
于是,初步怀疑基于 Samba 服务的台式电脑存在异常,在不断自我复制产生 *.exe 和 *.pif 二进制文件。
接下来,我们一个个去查看当天用于上传下载目标目录的移动硬盘的文件,终于发现一个名字为 autorun.inf 的可疑文件,同时也发现了这个程序里面的 tpkv.exe 程序:
针对 autorun.inf,谷歌了一下,发现:
Autorun 病毒是一种专门针对 Windows 系列操作系统的病毒,它是依靠 Windows 的 Autorun/Autoplay 功能发作传播的。这个功能的目的是在电脑上插入闪存盘等可移动设备或是光盘之后,自动执行一系列的指令。在 Windows XP 之前, Autorun 和 Autoplay 指的是同一个功能,但是在 Windows XP 之后,这两个单词指不同的功能。在中文版的 XP 里,前者被翻译为“自动运行”,而后者叫“自动播放”。其中自动运行是指:
对光盘来说,放入光盘后,自动执行
autorun.inf
文件中规定的程序。对其它可移动设备来说(闪存盘、移动硬盘等),当双击盘符时,自动执行
autorun.inf
文件中规定的程序。来源:《Autorun 的介绍及彻底防治 U 盘病毒》
我们把这两个文件从移动硬盘里面去掉,更换到其他的台式机器上重新执行数据上传下载拷贝,发现再也没有出现不断自我复制产生 *.exe 和 *.pif 二进制文件的现象!
最后,简单总结一下。
HPC 服务是一个极其重要且敏感的集群服务,包括了诸多重要数据和程序信息资料,大部分都是基于内部网络环境进行相关数据处理和传输,对于第三方数据上传下载一定要做好安全防护,尽量不要直接与服务器连接进行传输。其次,做好每一个账号的权限、历史记录等相关设置,方便出现异常时进行问题排查。
HPC 管理与维护是一个系统化的工作,对于老旧的服务器更考验一个运维人员的业务水平和能力,以及细心程度,如果你有类似经验,非常欢迎随时和我分享。
猜您喜欢 往期精选▼
1. Linux 下的动态库、静态库与环境变量
2. 在 Linux 上给用户赋予指定目录的读写权限
3. CentOS Linux 7 安全基线设置
4. Linux下程序时间消耗监控与统计
5. 生信服务器入门级基本设置
6. Linux 服务器更换主板后,网卡识别失败的处理方法
7. 一次"幸运的"集群操作与修复经历
8. 如何安装旧版本的 R 包
本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
一次 HPC 病毒感染与解决经历相关推荐
- ES报错:Connection reset by peer 解决经历
http://nicethemes.cn/news/txtlist_i28391v.html 这次来分享一下ES报错:java.io.IOException: Connection reset by ...
- linux系统浏览器无声音,在Deepin 20系统中外接显示器切换后浏览器没有声音的解决经历...
如果你在Deepin 20系统遇到浏览器没有声音的问题,请看以下解决经历,或许能给你提供帮助.可先参考在Deepin系统中没有声音的解决办法. 浏览器没有声音的解决历程 在家里笔记本有时候需要外接HD ...
- 【踩坑经历】一次Asp.NET小网站部署踩坑和解决经历
2013年给1个大学的小客户部署过一个小型的Asp.NET网站,非常小,用的sqlite数据库,今年人家说要换台服务器,要重新部署一下,好吧,虽然早就过了服务时间,但无奈谁叫人家是客户了,二话不说,上 ...
- 关于打游戏ping值不稳定问题的解决经历(疑难篇)
首先,大概几天之前,笔者发现自己的电脑在打游戏(lol)的时候ping值忽高忽低,就是突然从20跳到10000+,没有丝毫夸张,就是这样吓人,然后慢慢降下来,又突然窜上去,结果就是根本打不了游戏,但是 ...
- 记一次Selenium框架的爬虫遇到下拉框页面的解决经历
背景 最近有一个项目需要使用爬虫从某网站抓取全国的医院名称,等级,地址等信息 爬取的url为https://some/website/that/i/can/tell/you/sorry 用浏览器打开这 ...
- ubuntu下无线网卡解决经历
本文将从比较基础的层面,逐步讲解"安装ubuntu以后无线网卡不能正常上网"问题的解决方法. 软硬件配置 硬件: DELL N4030 操作系统:Ubuntu 10.04 netw ...
- 一次Linux中的木马病毒解决经历
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这 ...
- python 报错 invalid value 2_【python】错误解决经历
[持续更新] python 1.[RuntimeWarning: invalid value encountered in multiply] {乘法中遇到无效值,比如 inf 或者 nan 等} { ...
- U盘被写保护解决经历
因为要重装系统,在网上下载的GHOSTwin7系统的iso文件放在U盘里,提示不能粘贴,将U盘格式化有FAT32格式化成了NTFS,复制GHOST文件在虚拟机安装,安装失败. 再使用U盘就提示U盘被写 ...
最新文章
- SGU 224.Little Queens
- 5G NR RLC:PDU Parameters
- h5 登录页面_一份写给新手的微信H5页面制作流程介绍
- LeetCode(59):螺旋矩阵 II
- python虚拟机 基于寄存器_基于栈虚拟机和基于寄存器虚拟机的比较
- 在暂存区域中显示文件中的git diff [复制]
- php中ASCⅡ码的妙用
- Noip前的大抱佛脚----文章索引
- efm32芯片电压_Silicon Labs超低功耗32位 MCU EFM32HG系列成功应用在大华股份无线烟感...
- dirent struct_struct dirent中d_name长度问题
- 文章刚刚开源就被培训机构“BP”了,过于不要脸
- Prometheus+k8s之告警通知
- 计算机投诉信英语作文,一封投诉信英语作文(精选5篇)
- html页面嵌入高德地图,高德地图WEB版基础控件展示
- JavaScript变量定义以及数据类型划分(笔记)
- android 手机壁纸制作教程,教程:让你的手机桌面瞬间高逼格!
- Python全栈开发-gitgithub快速入门
- rhce8的rh294练习环境
- Mysql SQL优化(二) 快速生成5位数不重复的编号
- 利穗IT网络工程师面试试题