hadoop漏洞病毒入侵过程
1、入侵过程
是通过yarn的作业入侵的 yarn提交上去的作业,是分布式允许的,然后就会各个节点间相互通讯 就会随机开端口,然后通过作业端口传进来一段base64加密的文本,在服务器反解密,成一个执行脚本 脚本定时运行,就出现了病毒。
2、清理病毒
- 使用top查看进程,kill掉异常进程
- 检查/tmp和/var/tmp目录,删除java、ppc、w.conf等异常文件
- 检查crontab任务列表,删除异常任务
- 排查YARN日志,确认异常的application,删除处理
3、安全加固
- 通过iptables或者安全组配置访问策略,限制对8088等端口的访问
- 如无必要,不要将接口开放在公网,改为本地或者内网调用
- 升级Hadoop到2.x版本以上,并启用Kerberos认证功能,禁止匿名访问