一次 HPC 病毒感染与解决经历

周一的时候，同事反映hpc的项目报告路径持续生成.exe和.pif文件，怀疑可能是病毒入侵！

收到反馈后，我立刻进入目录，确认每隔几秒钟就会自动生成一个.exe和.pif的二进制文件。

于是我采取了以下措施：

首先，检查这些垃圾文件的所有者，并使用ps、htop、top命令来查找该所有者运行的进程，但没有发现任何相关的程序在运行。接着，我通过crontab检查是否有定时任务，也没有任何发现。为了防止.exe和.pif垃圾文件持续生成并占满磁盘，我们在/etc/passwd中注释并禁用了有问题的用户，同时终止并移除了正在对问题目录进行数据拷贝的所有移动硬盘。采取这些措施后，.exe和.pif二进制文件的自动生成情况消失了。

由于问题目录是通过Samba服务与本地几台Windows台式机同步，用于客户数据的上传和下载，我们检查了HPC问题发生的时间和相关时间段的服务记录，没有发现任何异常，服务器的I/O也正常。值得注意的是，生成的exe二进制文件在Linux上通常无法执行，Windows对exe文件更为敏感。

因此，我们初步怀疑问题出在通过Samba服务连接的台式电脑上，这些电脑可能在不断自我复制生成.exe和.pif二进制文件。

接着，我们逐一检查了当天用于上传和下载目标目录的移动硬盘的文件，最终发现了一个名为autorun.inf的可疑文件，并在其中发现了tpkv.exe程序：

通过谷歌了解到autorun.inf的作用：

灵感PPT

AI灵感PPT - 免费一键PPT生成工具

32

查看详情

对于光盘来说，插入光盘后会自动执行autorun.inf文件中指定的程序。对于其他可移动设备（如闪存盘、移动硬盘等），双击盘符时会自动执行autorun.inf文件中指定的程序。来源：《Autorun 的介绍及彻底防治 U 盘病毒》

我们从移动硬盘中删除了这两个文件，并在另一台电脑上重新执行数据上传和下载操作，发现不再出现持续自我复制生成.exe和.pif二进制文件的情况！

最后，总结一下经验。

HPC服务是一个极其重要且敏感的集群服务，涉及大量重要数据和程序信息资料，大部分数据处理和传输都在内部网络环境中进行。对于第三方数据的上传和下载，必须做好安全防护，尽量避免直接与服务器连接进行传输。此外，需要设置好每个账号的权限和历史记录，以便在出现异常时进行问题排查。

HPC的管理和维护是一项系统化的工作，对于老旧服务器的维护更是对运维人员的业务水平、能力和细心程度的考验。如果你有类似的经验，非常欢迎随时与我分享。

以上就是一次 HPC 病毒感染与解决经历的详细内容，更多请关注php中文网其它相关文章！