yarn程序被劫持运行矿机程序

记一次问题排查过程,希望对他人有借鉴作用,不喜请喷。

  • 一、基本现象
  1. Nodemanager进程挂掉

yarn程序被劫持运行矿机程序_第1张图片

2、yarn日志

进入系统查看yarn日志

#cd /var/log/hadoop-yarn/yarn

#less yarn-yarn-nodemanager-so81.novalocal.log

yarn程序被劫持运行矿机程序_第2张图片

发现没有异常错误信息

3、系统负载

通过top 命令结合c  M 查看使用cpu最高的进程

发现当前系统负载已经满了,占用资源最多的是

/var/tmp/java -c /var/tmp/w.conf

yarn程序被劫持运行矿机程序_第3张图片

  • 二、问题排查

1、进程排查

网上查找进程信息

yarn程序被劫持运行矿机程序_第4张图片

yarn程序被劫持运行矿机程序_第5张图片

病毒程序脚本

yarn程序被劫持运行矿机程序_第6张图片

发现该进程是一个矿机病毒。

2、检查程序

发现可疑程序包

  • 三、问题处理

1、删除进程、程序包

查看进程ip

yarn程序被劫持运行矿机程序_第7张图片

#kill -9 pid

删除程序包

2、重新检查程序

发现病毒程序又重新运行

yarn程序被劫持运行矿机程序_第8张图片

可见单单删除程序、删除进程是不起作用的,要解决程序的来源

查看相关的服务

#ps –ef | grep /var/tmp

发现有一个wget 下载病毒的进程。

3、定时任务排查

当发现程序删除会重新下载时就联想到病毒脚本会写定时任务去下载病毒程序

查看root的定时任务

通过排查这两个定时任务是正常的任务

我们发现进程的拥有者是yarn

yarn程序被劫持运行矿机程序_第9张图片

切换yarn用户查看

确定在yarn用户存在定时下载病毒程序的定时任务

4、整体判定

至此整个劫持事情的来龙去脉已基本清晰

病毒程序在互联网上通过端口漏洞扫描,扫描出有漏洞主机

yarn程序被劫持运行矿机程序_第10张图片

5、再处理

1)关闭不需要端口

关闭云服务器中下行规则中不需要开放的端口

上行规则做为内部访问原则可以宽松这里设置为全开放

yarn程序被劫持运行矿机程序_第11张图片

2)删除进程、程序包

查看进程ip

yarn程序被劫持运行矿机程序_第12张图片

#kill -9 pid

删除程序包

#cd /var/tmp

#rm  -rf java

3)删除下载来源

在yarn用户下把crontab 内容注释

#cd /var/spool/cron

删除定时下载任务

#rm  -rf yarn

6、安全防范

1)升级openssl openssh

#yum install openssl openssh -y

yarn程序被劫持运行矿机程序_第13张图片

2)关闭不需要的服务

#systcm stop  postfix

  • 四、问题总结
  1. 不使用的端口就不需要开放在外网上。
  2. 关闭非必要程序
  3. 加强网络安全意义

 

相关连接

http://www.cnblogs.com/qcloud1001/p/9173253.html

你可能感兴趣的:(hadoop)