今天发现我们服务器上的图形引擎服务无故停止了。启动后不久又停止了。用top命令查看,其中一个java进程占用高达400%的cpu。详细查看这个进程发现,是以yarn运行的一个/var/tmp/java程序。这种情况一般就是被攻击了。
查看了yarn用户下的定时任务,发现果然有病毒程序。最后在网上发现一篇博客。跟我的情况如出一辙。于是,删掉定时任务,删掉程序。把8088端口隐藏起来。最终把问题解决了。
具体情形请参考如下博文:
Hadoop Yarn REST API 未授权漏洞利用挖矿分析