超算上有一批文件无故被删除,目前找不到原因,各位是否有排查的建议。
背景信息:
1.没有共享用户,密钥登录,有 web 端的文件管理但我从来不用。
2.超算管理员排查后发现被删除文件的当天没有登录记录,我自己的电脑 screen time 显示那天相关软件没有使用
3.只被删除了部分文件,而且我找不到共性,记录显示是我这个用户 cur_uid 下的 rm
imp_parastor.log_1:L6[25-04-19;13:02:52.192742][xxxx]__lcli_get_unlinkret():2141 [xxxx][CLI]Unlink: comm[rm] cur_uid(xxx) Fsid[18] name[xxxx] rc[x] ino[xxxx] i_nlink[0]
4.超算是有基础的扫描病毒的维护
5.目前暂时没有发现其他用户有类似现象
6.我退出时没有后台执行代码,运行过一个 jupyter notebook 忘记退出,但没有暴露到公网。都是使用 ssh 端口转发的
7.排查 zsh 和 bash 的命令历史没有相关记录
关于备份
因为超算上数据量很大,我有 git 服务备份的代码,但是数据应该是无法找回,这些数据算是次重要的数据,目前接受丢失,可以重新下载
疑惑
是否有建议排查的方向
 |
1
dode 14 天前
你是超算普通用户,就你自己的文件异常删除丢失了是吧,检查用户密钥文件 authorized_keys ,更换新的密钥,检查.bashrc,.profile ,你自己运行的应用、后台服务等
|
 |
2
hansam47 OP 是,普通用户,密钥文件在这几天刚好过期已经重置了,我已经手动又重置了
bashrc 和 history 和 zsh 的 history 找不到相关的内容,已经提到了 我自己除了 jupyter 没有运行后台服务,所以现在很奇怪,jupyter 也需要 ssh 转发才能连上 |
 |
3
xinyu391 14 天前
超算是什么系统? linux ?
|
 |
5
laminux29 14 天前
1.Python 写个每秒轮询,定位文件是否存在。如果不存在,立即记录 netstat -nlap
2.用审计功能 auditd ,对文件的删除进行记录审计。 3.用 inotify-tools 记录删除文件的进程名称。 4.以上全部使用 Python 通过 Webhook 接入到微信或钉钉群机器人。一旦发生,立即通知。 |
 |
6
fanjinzhongju952 14 天前
@laminux29 学习了,谢谢大佬分享
|
 |
9
zizon 14 天前
审计信息显示是你的用户名删除的,并且没有登陆记录,那就是其他什么程序 su 成你的用户的方式做的呗.
没有现场只能看审计日志明细到什么程度了. |
|
11
hansam47 OP 补充,删除文件的当天,还有这些文件的修改记录,很奇怪。路径到 bak 里是因为重装了 zsh ,毕竟要用
find -newermt "2025-04-19 00:00:00" ! -newermt "2025-04-20 00:00:00" ``` ./.oh-my-zsh_bak/plugins ./.oh-my-zsh_bak/plugins/rake-fast ./.oh-my-zsh_bak/.oh-my-zsh/.cpan/.cache/pid ``` |
Select Language