尊敬的騰訊雲客戶:
您好!近日,外部媒體報道全球Hadoop服務器因配置不安全導致海量數據泄露,涉及使用Hadoop分布式文件系統(HDFS)的近4500台服務器,數據量高達5120 TB (5.12 PB),經分析,這批數據泄露的近4500台HDFS服務器中以美國和中國為主,為避免您的主機受影響,請您盡快進行安全自查,如受影響,請按照如下修復建議開展修復工作,避免數據泄露,涉及的詳細信息如下:
您的騰訊雲帳號:1092689028
涉及的主機IP:122.152.196.158
【漏洞概述】
互聯網上暴露的Hadoop服務器如果沒有配置訪問認證均可能受影響,攻擊者針對HDFS的攻擊刪除了大多數目錄,並會添加一個名為“NODATA4U_SECUREYOURSHIT”的新目錄和“PLEASE_README”的目錄,攻擊者可能備份業務數據后在服務器上刪除這部分數據,然后直接發送勒索郵件並索要勒索贖金。
【風險等級】
高風險
【漏洞風險】
數據信息泄露
【漏洞原因】
該問題系由於管理員在配置失誤所致,由於直接在雲上開放了Hadoop機器HDFS的50070web端口及部分默認服務端口,黑客可以通過命令行操作多個目錄下的數據,如進行刪除操作。
curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true“
curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS“
【檢測方法】
檢查Hadoop端口是否開放到了公網,檢測工具可訪問:http://tool.chinaz.com/port/
【修復建議】
備注:騰訊雲目前提供的Hadoop類產品(EMR-彈性MapReduce、TDF-數據工坊、TBDS-大數據處理套件)均已進行加固且自身已集成安全認證功能,故均不受該漏洞影響。
如您為騰訊雲自建Hadoop服務器用戶,你可以參照如下方案進行修復:
1) 如無必要,關閉Hadoop Web管理頁面;
2) 開啟服務級別身份驗證,如Kerberos認證;
3) 部署Knox、Nginx之類的反向代理系統,防止未經授權用戶訪問;
4) 設置“安全組”訪問控制策略,將Hadoop默認開放的多個端口對公網全部禁止或限制可信任的IP地址才能訪問包括50070以及WebUI等相關端口,詳細端口列表如下:
a)HDFS
NameNode 默認端口 50070
DataNode 默認端口 50075
httpfs 默認端口14000
journalnode 默認端口 8480
b)YARN(JobTracker)
ResourceManager 默認端口8088
JobTracker 默認端口 50030
TaskTracker 默認端口 50060
c)Hue 默認端口 8080
d)YARN(JobTracker)
master 默認端口 60010
regionserver 默認端口60030
e)hive-server2 默認端口 10000
f)spark-jdbcserver 默認端口 10003
建議按照安全最小化原則,禁止公網對這部分端口訪問,如果因業務需要必須對外開放,請配置安全組策略限制指定源IP才能訪問這些端口。
【修復參考】
1)配置Hadoop服務器在安全模式運行:http://hadoop.apache.org/docs/r2.8.0/hadoop-project-dist/hadoop-common/SecureMode.html
2017-6-8