Google Cloud Dataproc Virus CrytalMiner(dr.who)

Question

创建数据集群集后,用户dr.who会自动将许多作业提交给ResourceManager.这使群集的资源匮乏,最终使群集不堪重负.

日志中几乎没有信息.

是否有其他人在dataproc中遇到此问题？

Answer 1

不知道更多,这是我怀疑正在发生的事情.

• 这听起来像你的集群已被破坏
• 您的防火墙(网络)规则可能已打开,允许任何流量进入群集
• 有人发现您的群集对公共互联网开放并正在利用它

我建议您立即执行以下操作:

1. 保护您正在使用的防火墙规则以防止外部访问; 不要打开公共互联网的端口
2. 如果您未使用Cloud Dataproc群集,请将其删除
3. 如果您在该群集上有任何作业或数据,您应该认为该数据可能已被泄露(因为任何人都可以访问群集)

如果需要访问群集上的WebUI,则应使用SOCKS代理和SSH.