其他分享
首页 > 其他分享> > Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)

Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)

作者:互联网

大数据服务器,被病毒挖矿。

大数据人说服务器升级了也扩展slave了还是卡,叫我帮忙看一下。

有幸帮忙解决,记录一下这个东西。

top查看资源

 发现异常程序,copy网上搜一下,发现是挖矿病毒。

寻找病毒:

1.查看文件位置systemctl status PID (或者ls -al /proc/PID)

 2.查看定时任务,异常的都禁止

我这里没有发现异常的定时任务

3.查看接口

 发现31458端口的挖矿病毒。

4.查看文件地址 ls -alt

 

 通过文件属主可以看到病毒是通过yarn用户运行,此用户为Hadoop程序创建。

这次将病毒文件压缩到本地,看看里面有什么。

现在寻找完了,安装网上的教程,结束这挖矿的一生。

解决病毒

建议按照此顺序,且必须要快。。。

1.删除或注释定时任务。

2.通过netstat -nplt 查看病毒占用了端口,kill -9 PID 。

3.使用top命令,找到病毒PID再 kill -9 PID 。如果病毒寄生又或是不敢kill,那就systemctl status PID 。找到病毒文件前面的PID,再删除。

4.删除病毒所在文件夹,建议将所有yarn属主文件夹检查一遍。

5.最后通碟,安装lsof,使用lsof  | grep 病毒名。将寄生在其他服务上的病毒找出杀掉。

招大数据运维招了大半年了也没人来,纯粹是给我找事,服务器端口全开,密码直接写明文。

我怕了,赶紧搞完拜拜。

标签:tmp,kinsing,查看,文件,PID,kill,挖矿,病毒
来源: https://blog.csdn.net/weixin_42236986/article/details/122059361