Hadoop yarn 加密采礦僵尸網(wǎng)路病毒還在繼續(xù)蔓延!
解決步驟
如果你同樣遇到了kdevtmpfsi異常進(jìn)程慕购,占用了非常高的CPU和出網(wǎng)帶寬聊疲,影響到了你的正常業(yè)務(wù),建議使用以下步驟解決
-
殺掉異常進(jìn)程
ps -ef|grep kdevtmpfsi(異常進(jìn)程) kill -9 pid
-
殺掉守護(hù)進(jìn)程
殺掉kdevtmpfsi進(jìn)程后沪悲,隨后進(jìn)程還會(huì)重啟获洲,還要?dú)⒌羰刈o(hù)進(jìn)程 kinsing
ps -ef|grep kinsing kill -9 pid -
刪除異常crontab任務(wù)
當(dāng)你殺掉守護(hù)進(jìn)程,以為相安無事時(shí)可训,~額昌妹,還有個(gè)異常crontab捶枢,需要清掉。
查看定時(shí)任務(wù)
crontab -l我的是這個(gè)
異常定時(shí)任務(wù)清掉定時(shí)任務(wù)
crontab -r重要的說三遍飞崖!重要的說三遍烂叔!重要的說三遍
如果你這是在root用戶上查找異常定時(shí)任務(wù)無果,你需要使用執(zhí)行異常進(jìn)程的用戶固歪,比如蒜鸡,我的是yarn(還有可能是 docker/redis/k8s),切到此用戶一定要排查掉!!! 牢裳。
有些賬戶不支持切換逢防,可用下面命令:
sudo -u yarn crontab -l sudo -u yarn crontab -r這部分是關(guān)鍵,不然會(huì)反復(fù)出現(xiàn)蒲讯,然后忘朝,向其他關(guān)聯(lián)宿主機(jī)蔓延。
-
刪除相關(guān)進(jìn)程的異常文件
一般會(huì)在這兩個(gè)目錄(
/var/tmp和/tmp)下留下相關(guān)的執(zhí)行腳本和相關(guān)文件判帮,刪除即可局嘁,最后再查找刪除。rm -rf /var/tmp/kinsing rm -rf /tmp/kdevtmpfsi還有可能是java晦墙、ppc悦昵、w.conf等文件一并刪除。
怎么有效預(yù)防
設(shè)置主機(jī)黑白名單晌畅,限制對(duì)8088等端口的訪問
如果沒必要但指,盡量不要不端口、接口開放到公網(wǎng)上抗楔。
升級(jí)到Hadoop 2.x 版本以上棋凳,并啟用Kerberos認(rèn)證,禁止匿名訪問
接入第三方安全產(chǎn)品
對(duì)于redis服務(wù)進(jìn)行安全加固谓谦,可參考
參考:
? https://help.aliyun.com/knowledge_detail/37447.html
? http://tolisec.com/yarn-botnet/
? https://www.zdnet.com/article/docker-servers-targeted-by-new-kinsing-malware-campaign/
? https://www.freebuf.com/vuls/173638.html
? https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cm_sg_intro_kerb.html
