yarn程序被劫持运行矿机程序

最新推荐文章于 2023-06-27 09:51:07 发布
最新推荐文章于 2023-06-27 09:51:07 发布
阅读量836 收藏 1
点赞数
分类专栏: hadoop 文章标签: yarn 矿机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013242370/article/details/85128961
版权

记一次问题排查过程,希望对他人有借鉴作用,不喜请喷。

  • 一、基本现象
  1. Nodemanager进程挂掉

2、yarn日志

进入系统查看yarn日志

#cd /var/log/hadoop-yarn/yarn

#less yarn-yarn-nodemanager-so81.novalocal.log

发现没有异常错误信息

3、系统负载

通过top 命令结合c  M 查看使用cpu最高的进程

发现当前系统负载已经满了,占用资源最多的是

/var/tmp/java -c /var/tmp/w.conf

  • 二、问题排查

1、进程排查

网上查找进程信息

病毒程序脚本

发现该进程是一个矿机病毒。

2、检查程序

发现可疑程序包

  • 三、问题处理

1、删除进程、程序包

查看进程ip

#kill -9 pid

删除程序包

2、重新检查程序

发现病毒程序又重新运行

可见单单删除程序、删除进程是不起作用的,要解决程序的来源

查看相关的服务

#ps –ef | grep /var/tmp

发现有一个wget 下载病毒的进程。

3、定时任务排查

当发现程序删除会重新下载时就联想到病毒脚本会写定时任务去下载病毒程序

查看root的定时任务

通过排查这两个定时任务是正常的任务

我们发现进程的拥有者是yarn

切换yarn用户查看

确定在yarn用户存在定时下载病毒程序的定时任务

4、整体判定

至此整个劫持事情的来龙去脉已基本清晰

病毒程序在互联网上通过端口漏洞扫描,扫描出有漏洞主机

5、再处理

1)关闭不需要端口

关闭云服务器中下行规则中不需要开放的端口

上行规则做为内部访问原则可以宽松这里设置为全开放

2)删除进程、程序包

查看进程ip

#kill -9 pid

删除程序包

#cd /var/tmp

#rm  -rf java

3)删除下载来源

在yarn用户下把crontab 内容注释

#cd /var/spool/cron

删除定时下载任务

#rm  -rf yarn

6、安全防范

1)升级openssl openssh

#yum install openssl openssh -y

2)关闭不需要的服务

#systcm stop  postfix

  • 四、问题总结
  1. 不使用的端口就不需要开放在外网上。
  2. 关闭非必要程序
  3. 加强网络安全意义

 

相关连接

http://www.cnblogs.com/qcloud1001/p/9173253.html

capetwon
关注
专栏目录
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔记068
添柴程序猿的专栏
12-11 598
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
Hadoop基础之《(8)—yarn dr.who用户漏洞被挖矿》
csj50的专栏
01-31 872
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录,删除异常文件。2、检查crontab -l,删除可疑脚本。2、构建json文件。
Yarn遭到挖矿病毒攻击
weixin_30485291的博客
01-16 875
测试环境在阿里云上暴露出了公网端口,前一段时间CDH集群原本是开启了Kerberos认证,但是因为大家反映使用麻烦,所以就又关闭了Kerberos。 最近几天大家普遍反映测试环境上hive和hdfs job执行很慢,yarn进程的cpu使用率持续在200%以上,经过排除CPU使用率已经连续两天100%且没有降下来,查看job如下 有39个job明细多余开发提交的任务数量,且User来自dr...
服务器被矿机程序攻击
weixin_33894640的博客
07-31 173
事件经过 今天早上7:00,收到腾讯云监控发来基础监控告警:某台服务器的CPU利用率为100%。SSH登录到服务器正常,说明root密码还没有被更改,我最初怀疑有可能是DDos攻击。 执行top命令: image.png 发现有个名为qW3xT.2的程序CPU占用高达397.3%,服务器为4核8G...
加密采矿僵尸网路病毒还在蔓延! kinsing kdevtmpfsi redis yarn docker
SpringBoots的博客
04-14 650
解决步骤 如果你同样遇到了kdevtmpfsi异常进程,占用了非常高的CPU和出网带宽,影响到了你的正常业务,建议使用以下步骤解决 杀掉异常进程 ps -ef|grep kdevtmpfsi(异常进程) kill -9 pid 杀掉守护进程 杀掉kdevtmpfsi进程后,随后进程还会重启,还要杀掉守护进程 kinsing ps -ef|grep kinsing kill -9 pi...
YARN Resourcemanager引入挖矿病毒的经历
lm709409753的专栏
06-01 3347
原因 由于同事为了测试方便,把YARN RM的8088对外网开放了,导致攻击者可以通过RM 的rest api直接可以提交应用。 解决参考博客 https://labitacoranet.wordpress.com/2018/05/16/forensic-analysis-of-a-cryptocurrency-mining-attack-in-a-big-data-cluster/ 我解...
linux sshd 病毒清理
最新发布
希夷的博客
06-27 755
开启flink web submit 引起sshd 病毒的清理
Yarn全局安装模块后,提示 ‘react-native-rename’ 不是内部或外部命令,也不是可运行程序
01-03
一、前言  其实问题很简单,网上一搜索,一分钟不出便能解决;博主记录写文的目的也只有一个,收归吾有,加深解决问题的映像,留作日后再遇到此问题时,一套”回首掏... (4) yarn global dir && yarn global bin  
YARN框架原理及运行机制
01-27
YARN是Hadoop2.0中的资源管理系统,它的设计思想是将MRv1中...当提交一个应用程序时,需要提供一个用以跟踪和管理这个程序的AM,它负责向RM申请资源,并要求NM启动占用一定资源的任务,不同的AM被分布在不同的节点上。
大数据课程-Hadoop集群程序设计与开发-5.Yarn资源调度器_lk_edit.pptx
01-01
Yarn资源调度器】是Hadoop大数据处理框架的核心组件之一,主要负责集群资源的管理和分配,确保高效、公平地运行各种计算任务。本课程详细介绍了Yarn的基本架构、工作机制、调度器及调度算法,以及如何进行实际操作...
董西成:Hadoop YARN程序设计与应用案例
01-30
总结来说,董西成在“Hadoop英雄会——暨Hadoop 10周年生日大趴”中详细介绍了Hadoop YARN的架构、API、通信协议以及如何在YARN上设计和运行应用程序。通过其演讲内容,我们可以看到YARN在构建现代大数据处理和分析...
linux服务器中病毒
jinying_51eqhappy的博客
06-07 290
6. 设置/var/tmp一个无用的用户,并配置000等权限,让其不可执行;3.在/etc/ssh/sshd_config中配置指定用户可以创建ssh。top查看,现象时sshd线程cpu800%2.删除用户hadoop,创建新的用户;5. 定位到病毒在/var/tmp文件中。1.指定用户hadoop出现;
进程和计划任务管理
weixin_64413763的博客
08-08 332
手动启动:前台启动:用户输入命令,直接执行程序(会占用图形界面,无法做其他操作)(1)按照预先设置的时间周期(分钟、小时、天、月、周)重复执行用户指定的命令操作。用户定义的设置,位于文件/var/spool/cron/用户名。TTY:启动该进程的终端名,不是从终端启动的进程显示为?killall + 进程名:终止指定名称的所有相关进程。fg命令:将后台进程恢复到前台运行,可指定任务序号。系统默认的设置,位于目录/etc/cron.*/a:显示终端上的所有进程,包括其他用户的进程。...
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3576
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
centos下/var/empty/sshd的目录权限导致ssh远程失败
fhqsse220的专栏
07-12 6885
系统:centos6.6 同事误操作,在开发环境执行了如下操作,导致ssh无法远程登录。 操作命令:chmod -R 777 /var ssh远程连接不上,报错如下: ssh_exchange_identification: Connection closed by remote host 解决思路:因为最后操作是/var目录权限不对导致的无法登陆,所以应该查看sshd服
ssh安装及配置详解
热门推荐
xinqidian_xiao的博客
08-13 2万+
ssh(secure shell) --加密远程登录管理服务器,加密的数据传输 一、SSH为SecureShell的缩写,由IETF的网络工作小组(NetworkWorkingGroup)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程...
linux下定时执行任务的方法 crontab 用法说明
JoShua 的 水库
11-08 1371
linux下定时执行任务的方法 【非原创,个人网上收集整理了一下】在LINUX中,周期执行的任务一般由cron这个守护进程来处理[ps -ef|grep cron]。cron读取一个或多个配置文件,这些配置文件中包含了命令行及其调用时间。cron的配置文件称为“crontab”,是“cron table”的简写。一、cron在3个地方查找配置文件:1、/var/spool/cron/ 这个目录下存...
Spark基础学习笔记06:搭建Spark On YARN集群
howard2005的专栏
03-01 1640
1. 学会搭建Spark On YARN模式的集群 2. 能够将Spark应用程序提交到集群运行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值