Question

Hi!

I'm using HDP 2.6.1. Every ok, but recently, I has problem with Yarn application. I has found type of virus. It work flow:
1. Some service submit yarn application with user name "dr.who"

2. When submit yarn application, on worker will run script container. Script have malware to download Trojan CrytalMiner.

3. Trojan will run via command: /tmp/java -c /tmp/w.conf.

I has kill job, but it will re-run after about 15 minute. I don't know where submit yarn application with user "dr.who"!, Anybody has same problem?. Please check and show how to remove this!

Many thank!

Answer 1

@Huy Duong

We've recently sent out a security notification regarding the same.

1. Stop further attacks:

a. Use Firewall / IP table settings to allow access only to whitelisted IP addresses for Resource Manager port (default 8088). Do this on both Resource Managers in your HA setup. This only addresses the current attack. To permanently secure your clusters, all HDP end-points ( e.g WebHDFS) must be blocked from open access outside of firewalls.

b. Make your cluster secure (kerberized).

2. Clean up existing attacks:

a. If you already see the above problem in your clusters, please filter all applications named “MYYARN” and kill them after verifying that these applications are not legitimately submitted by your own users.

b. You will also need to manually login into the cluster machines and check for any process with “z_2.sh” or “/tmp/java” or “/tmp/w.conf” and kill them.

Hortonworks strongly recommends affected customers to involve their internal security team to find out the extent of damage and lateral movement inside network. The affected customers will need to do a clean secure installation after backup and ensure that data is not contaminated.

Answer 2

Thanks Sandeep!

I have use firewall block port for yarn resource (8088)!. And all yarn application from user dr.who has gone!

번호	제목	글쓴이	날짜	조회 수
661	kerberos연동된 CDH 6.3.4에서 default realm값이 잘못된 상태에서 서비스 기동시 오류	gooper	2022.10.14	36
660	spark에서 hive table을 읽어 출력하는 예제 소스	총관리자	2017.03.09	37
659	[KUDU] kudu tablet server여러가지 원인에 의해서 corrupted상태가 된 경우 복구방법	gooper	2023.03.28	37
658	bash는 PS1 변수를 통해 프롬프트의 모양을 바꿀 수 있다.	총관리자	2016.03.30	38
657	eclipse 3.1 단축키 정리파일	총관리자	2017.01.02	38
656	[u-Auctions]목록이 1개만 나오는 문제	총관리자	2017.05.29	38
655	[Hue]Hue의 메타정보를 담고 있는 desktop_document테이블과 desktop_document2의 관계	총관리자	2022.05.09	38
654	[TLS/SSL]Cloudera 6.3.4기준 Oozie Web UI TLS설정 항목및 설정값	총관리자	2022.05.13	38
653	github에 있는 프로젝트와 로컬에서 작업한 프로젝트 합치기	총관리자	2016.11.22	40
652	DeviceType이 o:motion-sensor_33 이거나 o:motion-sensor_32 경우의 sparql문장은 다음과 같다.	총관리자	2017.08.16	40
651	커리 변경 이벤트를 처리하기 위한 구현클래스	총관리자	2016.07.21	41
650	magento2 설치후 초기화면이 깨지는 문제	총관리자	2017.01.31	42
649	windows 혹은 mac에서 docker설치하기 위한 파일	총관리자	2017.10.13	42
648	RDF4J의 rdf4j-server.war가 제공하는 RESTFul API를 이용한 CRUD테스트(트랜잭션처리)	총관리자	2017.08.30	43
647	[oracle]10자리 timestamp값을 날짜로 변환하는 방법	총관리자	2022.04.14	43
646	python실행시 ValueError: zero length field name in format오류 해결방법	총관리자	2016.05.27	44
645	Spark Streaming 코드레벨단에서의 성능개선	총관리자	2016.10.31	44
644	원격의 origin/master를 기준으로 dev branch를 만들어 작업후 원격의 origin/dev에 push하는 방법	총관리자	2016.11.22	44
643	new Gson().toJson(new ObjectId())을 사용하면 값이 다르게 나오는 경우가 있음	총관리자	2016.12.23	44
642	특정 단계의 commit상태로 만들기(이렇게 하면 중간에 반영된 모든 commit를 history가 삭제된다)	총관리자	2016.11.17	45

Bigdata, Semantic IoT, Hadoop, NoSQL

Bigdata, Hadoop ecosystem, Semantic IoT등의 프로젝트를 진행중에 습득한 내용을 정리하는 곳입니다.
필요한 분을 위해서 공개하고 있습니다. 문의사항은 gooper@gooper.com로 메일을 보내주세요.

Cloudera CDH/CDP dr.who로 공격들어오는 경우 조치방법

HDP 2.6.1 Virus CrytalMiner (dr.who)

2 Replies

댓글 0

A personal place to organize information learned during the development of such Hadoop, Hive, Hbase, Semantic IoT, etc.
We are open to the required minutes. Please send inquiries to gooper@gooper.com.