Hadoop黑客贖金事件解讀及防範

2021-09-23 17:58:13 字數 1307 閱讀 5952

年關將至,mongodb資料丟失的事情還在眼前,數以千計的mongodb資料庫已經被刪除或者被黑客勒索,參考:mongodb黑客贖金事件解讀及防範。就在最近一段時間,黑客也在攻擊hadoop,有不少hadoop集群的資料全部丟失,這些資料甚至有上tb的資料量,對企業造成了巨大的損失。 本文講述這個問題及後續的預防方案。

一般使用者為了方便或者不注意,在電信idc機房或者雲上直接開放了hdfs的50070 web埠。那麼黑客可以通過簡單的幾個命令,比如:

操作:

黑客可以把tmp(可以其它目錄)下的資料刪除;也可以看到很多日誌資訊獲取敏感資料;或者不斷寫,把hdfs寫滿;更加有一些黑客把資料備份走,再把hdfs刪除,直接傳送勒索郵件。

最後介面如圖,一般黑客還提醒如下:

其實這個不是hdfs的漏洞,是hdfs提供的webhdfs功能,不過很多同學沒有意識到資料可以通過此途徑刪除。

目前在 上查詢50070埠,如下圖

在中國有 8,500+ hadoop集群的50070埠是對公網開放的,這些集群理論都存在風險。這個只是此**公布的,真實的資料遠比這個多得多,安全形勢不容樂觀。

基本的:

yarn(jobtracker)

hue 預設埠 8080

等等如果不清楚,則按照最小化原則,開放最小化埠,如果實在需要訪問這些埠:

1、如果是雲環境,可以在雲上購買一台帶介面的環境(win、linux等,這個機器就是跳板機),再最小化打通此機器跟hadoop環境的通道。

2、即使要開通公網的埠,可以到ecs的安全組中,開通到你本地環境的公網ip的埠,不要全網開通。

ps:一些客戶說我這個是測試環境,不是生產環境,丟失了沒有關係。但是需要注意的是,如果客戶攻擊了你此台機器,此台機器淪為黑客的肉機不說,如果別的機器跟這些機器在乙個安全組,則很有可能會攻擊其他機器的。

高階的 社群

技術交流釘釘大群 阿里雲 hbase+spark社群 【強烈推薦!】 群內每週進行群直播技術分享及問答

勒索軟體猖狂 黑客向銀行索要贖金

犯罪分子威脅要揭露 偷稅漏稅 數天前,有黑客入侵列支敦斯登銀行,威脅客戶稱 若不支付贖金,將 賬戶資料。攻擊者獲取到了中國人開設的富帝銀行 列支敦斯登 賬戶資料,從中抽取了大量客戶的資訊,包括德國和其他地方的政治人物 演員及富裕人士。總監安德里亞斯 因薩姆稱,銀行已通告相關機構調查正在進行中。網上公...

hadoop原始碼解讀一

開啟已經編譯的hadoop資料夾,bin 看來像hadoop下的各種服務和元件,有cotainer,hdfs,mapred,yarn sbin hadoop各項服務的啟動指令碼,配置指令碼 反正裡面全是指令碼 設定各方面的都有 etc 各項的配置檔案,只要可以配置的都在裡面,包括dfs配置,排程器配...

Oracle 等待事件解讀

oracle olap和oltp解讀 oracle index索引解讀 oracle 分割槽表解讀 oracle 鎖解讀 oracle 等待事件解讀 oracle procedure cursor解讀 等待事件主要可以分為兩類,即空閒 idle 等待事件和非空閒 non idle 等待事件。1 空閒...