约两年前,MongoDB和Hadoop遭受勒索攻击,数据被加密或擦除。今年起,针对Hadoop集群的恶意软件激增,受影响的主要是未启用安全防护且直接联网的集群,受攻击服务器从每天数台增至70多台。
网络安全公司Radware跟踪发现,名为DemonBot的新型恶意软件可主动扫描易受攻击的Hadoop集群,每日发起超百万次扫描。其利用YARN模块中未认证的远程代码执行漏洞(REST API默认开放在8088/8090端口),攻击者可借此提交恶意作业。该软件被确认为Mirai变种,但含陌生函数,故命名为DemonBot,攻击向量为UDP和TCP Floods。此外,XBash等恶意软件也用于比特币挖掘和DDoS攻击。
防护建议:
勿将集群暴露于公网:直接联网使攻击者轻易扫描并入侵。
启用Kerberos强身份验证:未启用时,任何用户可伪装成他人执行任意操作,类似root密码公开。正确配置Kerberos后,每次交互均需凭据验证身份与权限,可防止未授权作业提交。
勾选安全服务:以Cloudera Altus为例,创建集群时需启用“Secure Clusters”,并限制仅允许可信IP的SSH访问。安全集群会默认开启Kerberos并配置受控安全组,有效规避现有恶意软件。
总结:企业搭建Hadoop集群时应遵循三点:不直连公网、始终启用Kerberos、选用平台时务必启用安全服务。这些基础措施可有效防范DemonBot等勒索与挖矿攻击。