国庆期间也没学习,早上想着打开集群看看,弄弄东西。
10月2号早上7点,一个叫dr.who的用户,通过一个yarn应用想要get-shell??
失败了还好,成功了我这个集群岂不是落到了他的手中?
这个web界面默认是8088端口,这个web是可以访问到集群的(不然怎么获得数据)
通过web界面登录的用户是一个普通用户,但是可以获得集群的信息,这是hadoop的一个默认用户,而通过这个用户想要我集群的shell,这说明
有刁民想要害朕!
这个β通过我的ip地址访问8088端口,然后想要获取我的本地shell,我猜应该是这样的。
如果获取成功了,就干点事情,比如安装个脚本,挖个矿啥的,毕竟不是每个人的服务器都像我这样瘦的皮包骨似的,和我本人一样。
但是我查不到哪个ip干的这个操作(我也不会,会我也没办法顺着网线去干他)
查了一些网上的资料,有老哥也说这是集群被入侵了,还有被入侵成功让人挖矿的,显然,我这个集群是被人入侵失败了
(毕竟我没动过dr.who的用户权限,但不代表我这里是安全的)
2020年2月14日 12:10:04
更新:我果然还是被中招了,wdnmd
中的是和上面这个老哥一样的病毒,挖矿的,按照这位老哥的操作,服务器已经恢复正常。
---2020年2月20日
疫情比较严重,短时间我还出不去,那么就从今天开始从头再搭建一次集群,一边做自己的毕设一边弄集群,写点零散的技术文章。
---2020年6月2日
配置服务器安全组,集群内节点ip开放,集群外节点ip关闭即可,如果默认端口不修改,可开放50070端口,8088端口开放会中该挖矿病毒。
over