码迷,mamicode.com
首页 > 其他好文 > 详细

记一次部署Hadoop后遭受kthreaddi挖矿病毒

时间:2021-05-24 01:55:01      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:直接   界面   size   重启   kth   密码   执行   常见   一个   

云服务器在部署Hadoop后便被黑了,查看进程发现了kthreaddi占满了CPU。

kill掉这个进程后还会自己重启,猜测是设置了定时启动任务。
技术图片

查看定时器,查看定时器中的文件,发现文件不存在。再次查看定时任务,发现定时任务中的文件变了。关闭定时任务后还会出现新的定时任务,每次都是不同的目录。
技术图片

解决方案:

1.执行以下命令,可以看见一个奇怪的进程在监听53421端口,

netstat -ltnp

技术图片

先把这个进程kill掉。没多久它又会复活,再次kill掉。

kill -9 14714	

2.用 du -b [定时任务中的一个文件] 获取到文件的大小。

crontab -l

du -b /usr/local/hadoop/bin/ougglpn

技术图片

3.查找并删除文件,<find ./ -size 2867172c -type f>用来查找文件, 2867172换成文件实际大小。

find ./ -size 2867172c -type f -exec rm {} \;

4.crontab -l 查看定时任务,如果还有定时任务 crontab -r删除定时任务。

crontab -l

crontab -r

5.kill掉kthreaddi进程。

ps -aux | grep kthreaddi

技术图片

kill -9 11138

6.如果kthreaddi继续重启,反复执行1,2,3,4即可。

在我删了两三次后,这个kthreaddi依然重启。我便尝试把Hadoop给关掉,再执行一次1,2,3,4步骤,这时用netstat -ltnp查看没有看到奇怪的进程了。我就再执行一次2,3,4步骤,直接重启机器。这时进程中就没有kthreaddi了。

中毒的可能的原因:

  1. 暴露了常见服务的默认端口,8088(hadoop)
  2. 带有访问界面的服务地址端口,没有配置密码,安全性极低

记一次部署Hadoop后遭受kthreaddi挖矿病毒

标签:直接   界面   size   重启   kth   密码   执行   常见   一个   

原文地址:https://www.cnblogs.com/xyz-8108923246/p/14745301.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!