Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)
作者:互联网
大数据服务器,被病毒挖矿。
大数据人说服务器升级了也扩展slave了还是卡,叫我帮忙看一下。
有幸帮忙解决,记录一下这个东西。
top查看资源
发现异常程序,copy网上搜一下,发现是挖矿病毒。
寻找病毒:
1.查看文件位置systemctl status PID (或者ls -al /proc/PID)
2.查看定时任务,异常的都禁止
我这里没有发现异常的定时任务
3.查看接口
发现31458端口的挖矿病毒。
4.查看文件地址 ls -alt
通过文件属主可以看到病毒是通过yarn用户运行,此用户为Hadoop程序创建。
这次将病毒文件压缩到本地,看看里面有什么。
现在寻找完了,安装网上的教程,结束这挖矿的一生。
解决病毒
建议按照此顺序,且必须要快。。。
1.删除或注释定时任务。
2.通过netstat -nplt 查看病毒占用了端口,kill -9 PID 。
3.使用top命令,找到病毒PID再 kill -9 PID 。如果病毒寄生又或是不敢kill,那就systemctl status PID 。找到病毒文件前面的PID,再删除。
4.删除病毒所在文件夹,建议将所有yarn属主文件夹检查一遍。
5.最后通碟,安装lsof,使用lsof | grep 病毒名。将寄生在其他服务上的病毒找出杀掉。
招大数据运维招了大半年了也没人来,纯粹是给我找事,服务器端口全开,密码直接写明文。
我怕了,赶紧搞完拜拜。
标签:tmp,kinsing,查看,文件,PID,kill,挖矿,病毒 来源: https://blog.csdn.net/weixin_42236986/article/details/122059361