Hadoop黑客赎金事件解读及防范

本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
简介: 年关将至,Mongodb数据丢失的事情还在眼前,数以千计的Mongodb数据库已经被删除或者被黑客勒索,就在最近一段时间,黑客也在攻击Hadoop,有不少Hadoop集群的数据全部丢失,这些数据甚至有上TB的数据量,对企业造成了巨大的损失。本文讲述这个问题及后续的预防方案。

前言

年关将至,Mongodb数据丢失的事情还在眼前,数以千计的Mongodb数据库已经被删除或者被黑客勒索,参考:MongoDB黑客赎金事件解读及防范。就在最近一段时间,黑客也在攻击Hadoop,有不少Hadoop集群的数据全部丢失,这些数据甚至有上TB的数据量,对企业造成了巨大的损失。 本文讲述这个问题及后续的预防方案。

希望看到文章的同学及时修复问题,避免数据丢失。也欢迎转发,让更多的同学知晓。

攻击手段

一般使用者为了方便或者不注意,在电信IDC机房或者云上直接开放了HDFS的50070 web端口。那么黑客可以通过简单的几个命令,比如:

操作:
curl -i -X DELETE "http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true"
curl -i -X PUT "http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS" 

黑客可以把tmp(可以其它目录)下的数据删除;也可以看到很多日志信息获取敏感数据;或者不断写,把HDFS写满;更加有一些黑客把数据备份走,再把HDFS删除,直接发送勒索邮件。

最后界面如图,一般黑客还提醒如下:
screenshot
其实这个不是HDFS的漏洞,是HDFS提供的webhdfs功能,不过很多同学没有意识到数据可以通过此途径删除。

目前在 https://www.shodan.io 上查询50070端口,如下图
screenshot
在中国有 8,500+ hadoop集群的50070端口是对公网开放的,这些集群理论都存在风险。这个只是此网站公布的,真实的数据远比这个多得多,安全形势不容乐观。

防护手段

基本的:

最好的处理方式是,把所有直接开放的端口,包括50070端口在内的所有端口对公网全部禁止。这些端口包括:
Hadoop默认情况开放了很多端口提供WebUI, 下面列举了相关端口信息:

  • HDFS

    • NameNode 默认端口 50070
    • SecondNameNode 默认端口 50090
    • DataNode 默认端口 50075
    • Backup/Checkpoint node 默认端口 50105-
  • YARN(JobTracker)

    • ResourceManager 默认端口8088
    • JobTracker 默认端口 50030
    • TaskTracker 默认端口 50060
  • Hue 默认端口 8080

等等

如果不清楚,则按照最小化原则,开放最小化端口,如果实在需要访问这些端口:
1、如果是云环境,可以在云上购买一台带界面的环境(win、linux等,这个机器就是跳板机),再最小化打通此机器跟Hadoop环境的通道。
2、即使要开通公网的端口,可以到ecs的安全组中,开通到你本地环境的公网ip的端口,不要全网开通。

PS:一些客户说我这个是测试环境,不是生产环境,丢失了没有关系。但是需要注意的是,如果客户攻击了你此台机器,此台机器沦为黑客的肉机不说,如果别的机器跟这些机器在一个安全组,则很有可能会攻击其他机器的。

高级的

  • 关闭webhdfs的功能,dfs.webhdfs.enabled设置为false
  • 开启类似kerberos功能(比较复杂,不过多表述)
  • 及时备份重要数据,比如云上备份到OSS中

社群

技术交流钉钉大群 阿里云 HBase+Spark社区 【强烈推荐!】 群内每周进行群直播技术分享及问答

目录
相关文章
|
存储 监控 安全
360勒索病毒的最新威胁:如何恢复您的数据?
在数字化时代,勒索病毒已成为数码世界的威胁魔头,而其中的360勒索病毒更是狡猾至极,给用户带来巨大困扰。然而,面对这个顽敌,我们不能束手待毙。本文91数据恢复将全面解析360勒索病毒的特点和传播途径,探索数据恢复的多种方法,并提供一揽子预防措施,助您在保护数据的战斗中胜出!
360勒索病毒的最新威胁:如何恢复您的数据?
|
供应链 安全 网络安全
.360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
​ .360勒索病毒是一种恶意软件,它对用户的计算机文件进行加密,并要求支付赎金才能解密恢复数据。这种勒索病毒以其广泛传播和严重破坏性而闻名,给个人用户和企业带来了巨大的困扰和损失。
132 0
.360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
|
存储 安全 算法
.360勒索病毒和.halo勒索病毒数据怎么处理|数据解密恢复
.360勒索病毒和.halo勒索病毒都属于BeijingCrypt勒索病毒家族旗下的病毒,两者加密特征一致,加密勒索信内容一致,仅仅为加密后缀名称不相同。 勒索病毒如今成为网络安全的头号威胁!您的宝贵数据是否正面临被绑架的风险?不要慌张!91数据恢复将在本文深入解析.360勒索病毒和.halo勒索病毒的工作原理。让我们一起揭开这场数据解密之谜,有效保护你的数据免遭黑客绑架!
|
存储 安全 数据库
如何应对企业服务器数据库文件遭遇勒索病毒后数据无法访问的情况?
    当企业的服务器遭遇勒索病毒入侵攻击时,往往最为重要的莫过于数据库文件,所以数据库文件也往往是勒索病毒的目标文件,数据库文件被.malox勒索病毒加密了。这时候,企业需要尽快找到解决方案,尽快恢复数据。本文将介绍被.malox后缀勒索病毒加密的数据库文件如何恢复,以及预防勒索病毒攻击的方法。
|
分布式计算 安全 大数据
你的大数据安全么?“Hadoop集群遭遇勒索软件攻击 ”
近期,各大安全组织检测到勒索软件正在攻击Hadoop集群,再次表明黑客正在尝试从“大数据”中获利,你的数据资产有没有被黑客get了? ◇◆◇◆◇ 勒索软件攻击Hadoop事件综述 最近,部分黑客组织针对几款特定产品展开了勒索攻击。
8804 0
|
NoSQL 安全 容灾
MongoDB黑客赎金事件解读及防范
近期关于MongoDB黑客『赎金事件』闹得沸沸扬扬,不少裸奔的公网MongoDB纷纷中招。在本次云栖社区举行的在线直播中,阿里云数据库组技术专家郑涔详细解读了黑客赎金事件来龙去脉,以及用户使用MongoDB时需要采取的安全防范措施;同时也向大家介绍了阿里云数据库MongoDB服务在安全方面工作和相关功能。
13874 0
|
安全 Apache Java
apache最新漏洞可导致网站被入侵该如何解决
apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意的代码对DIH进行...
1132 0
|
云安全 安全 网络安全
蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复
4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。
16940 0
|
云安全 安全 网络安全
威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号。
2789 0

相关实验场景

更多