Question

Hi!

I'm using HDP 2.6.1. Every ok, but recently, I has problem with Yarn application. I has found type of virus. It work flow:
1. Some service submit yarn application with user name "dr.who"

2. When submit yarn application, on worker will run script container. Script have malware to download Trojan CrytalMiner.

3. Trojan will run via command: /tmp/java -c /tmp/w.conf.

I has kill job, but it will re-run after about 15 minute. I don't know where submit yarn application with user "dr.who"!, Anybody has same problem?. Please check and show how to remove this!

Many thank!

Answer 1

@Huy Duong

We've recently sent out a security notification regarding the same.

1. Stop further attacks:

a. Use Firewall / IP table settings to allow access only to whitelisted IP addresses for Resource Manager port (default 8088). Do this on both Resource Managers in your HA setup. This only addresses the current attack. To permanently secure your clusters, all HDP end-points ( e.g WebHDFS) must be blocked from open access outside of firewalls.

b. Make your cluster secure (kerberized).

2. Clean up existing attacks:

a. If you already see the above problem in your clusters, please filter all applications named “MYYARN” and kill them after verifying that these applications are not legitimately submitted by your own users.

b. You will also need to manually login into the cluster machines and check for any process with “z_2.sh” or “/tmp/java” or “/tmp/w.conf” and kill them.

Hortonworks strongly recommends affected customers to involve their internal security team to find out the extent of damage and lateral movement inside network. The affected customers will need to do a clean secure installation after backup and ensure that data is not contaminated.

Answer 2

Thanks Sandeep!

I have use firewall block port for yarn resource (8088)!. And all yarn application from user dr.who has gone!

번호	제목	글쓴이	날짜	조회 수
599	cloudera서비스 중지및 기동순서	총관리자	2020.02.14	178
598	impala테이블 쿼리시 max_row_size 관련 오류가 발생할때 조치사항	총관리자	2020.02.12	216
597	hue.axes_accessattempt테이블 데이터 샘플	총관리자	2020.02.10	108
596	hue.desktop_document2의 type의 종류	총관리자	2020.02.10	631
595	hue db에서 사용자가 가지는 정보 확인	총관리자	2020.02.10	1644
594	Cloudera의 CMS각 컴포넌트의 역할	총관리자	2020.02.10	71
593	Namenode Metadata백업하는 방법	총관리자	2020.02.10	368
592	cloudera의 hue에서 사용자가 사용한 쿼리 목록	총관리자	2020.02.07	154
591	hive metadata(hive, impala, kudu 정보가 있음) 테이블에서 db, table, owner, location를 조회하는 쿼리	총관리자	2020.02.07	379
590	쿠버네티스(k8s) 설치 및 클러스터 구성하기	총관리자	2019.10.19	336
589	[kubernetes]우분투 Kubernetes 설치 방법	총관리자	2019.07.24	1205
588	LAGOM 1.4 AND KUBERNETES ORCHESTRATION	총관리자	2019.07.19	78
587	oozie WF에서 참고할만한 내용	총관리자	2019.07.18	168
586	[shellscript] 함수에 배열을 인자로 주어서 처리하는 방법	총관리자	2019.07.16	191
585	[shellscript]엑셀파일에서 여러줄에 존재하는 단어를 한줄의 문자열로 합치는 방법(comma로 구분)	총관리자	2019.07.15	811
584	원격에 있는 git를 받은후 기존repository삭제후 새로운 리포지토리에 연결하여 소스 등록	총관리자	2019.07.13	96
583	기준일자 이전의 hdfs 데이타를 지우는 shellscript 샘플	총관리자	2019.06.14	359
582	embedded-cassandra의 data 저장위치	총관리자	2019.06.09	336
581	elasticsearch에서 모든 인덱스(색인)을 삭제하는 방법	총관리자	2019.06.09	97
580	scala-eclipse 다운로드	총관리자	2019.06.09	174

Bigdata, Semantic IoT, Hadoop, NoSQL

Bigdata, Hadoop ecosystem, Semantic IoT등의 프로젝트를 진행중에 습득한 내용을 정리하는 곳입니다.
필요한 분을 위해서 공개하고 있습니다. 문의사항은 gooper@gooper.com로 메일을 보내주세요.

Cloudera CDH/CDP dr.who로 공격들어오는 경우 조치방법

HDP 2.6.1 Virus CrytalMiner (dr.who)

2 Replies

댓글 0

A personal place to organize information learned during the development of such Hadoop, Hive, Hbase, Semantic IoT, etc.
We are open to the required minutes. Please send inquiries to gooper@gooper.com.