跟着网上博客的教程安装 hadoop,然后我的服务器就被入侵了

2020-06-20 10:00:25 +08:00
 zhangpeter

最近在学习 hadoop 如何使用,谷歌搜索ubuntu hadoop,然后在网上找到了一篇博客:Ubuntu 16.04 上安装 Hadoop 并成功运行 | Chares's Blog

如果你是在已有的一个用户存在下, 想安装 Hadoop 那么需要创建一个 Hadoop 用户,毕竟创建一个新的用户,配置环境相对更加干净一些。
然后,接着上面的操作, 再对这个用户设置密码,可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。
为了我们后续的操作方便。我们这里对之前添加的 Hadoop 用户添加管理员的权限。

当时没细想,真的创建一个用户名为 hadoop,密码也为 hadoop 的用户。然后今早凌晨收到了 digitalocean 发来的邮件:

当时我惊呆了,因为 root 用户的密码比较复杂,不敢相信有人破解成功了,然后想到了 hadoop 用户,果真在 Hadoop 目录下发现了木马文件:

惨痛的教训,不能相信网上的博客的内容,尤其是中文博客的内容。

7459 次点击
所在节点    信息安全
76 条回复
ctro15547
2020-06-20 10:28:40 +08:00
以后密码记得改成自己的哦。 很多 mysql 教程也有用户名密码都是 mysql 的例子呢亲亲
vk42
2020-06-20 10:29:12 +08:00
虽然想笑,不过大家也放过 lz 吧,这种事情没有被毒打过一次可能都没啥记性,不过 lz 这个代价基本忽略不计了,很划算了其实……
coolair
2020-06-20 10:29:23 +08:00
额,打个比方,有人告诉你裸睡舒服,但是,你在公司午休的时候不能裸睡啊。环境不一样啊,博主教学用的是测试环境而已。
youxiachai
2020-06-20 10:30:36 +08:00
看了一下 lz 的主页,按道理 lz 的编程能力不弱啊。。。。
只能说,真的没系统学习过运维相关的知识,对相关方面不敏感
然后看了一下之前的帖子,也难怪。。lz 会怪写博客的人。。
XanderChen
2020-06-20 10:31:39 +08:00
好好地 hadoop 文档不看。

看啥博客,百度上不知道有多少六七年前的玩意儿。

当个教训吧。
YFeei
2020-06-20 10:34:27 +08:00
看到你最后一段,觉得写博客的人好冤
yanqiyu
2020-06-20 10:34:52 +08:00
不不不,典型常见账户名+密码同账户名+不限制 ssh 登录
这就是要被 hack 的标志
cnzjl
2020-06-20 10:38:14 +08:00
不能怪博主啊,当个教训就好了
saucerman8
2020-06-20 10:41:31 +08:00
这事很显然是你自己的原因,你在服务器上装,新建用户和密码的时候这点风险都想不到吗?
imdong
2020-06-20 10:43:29 +08:00
楼主可能是比较菜,但没必要喷楼主,正好可以把教训教给论坛其他人。

不要照抄网上的教程,大多不靠谱。要结合实际。
创建用户,要么不要开启远程登录,要么密码复杂一点(或者禁用密码改用密钥登录)

那个帖子有问题,但主要怪自己学艺不精。
opengps
2020-06-20 10:44:48 +08:00
习惯就好,公网环境安全问题本来就很恶劣,各种扫描器爆破工具实时运行,若密码等问题的弊端立刻会暴露,虽然运维角度讲只有几个地方进行调这个就能回避 90%的问题,我常年帮人上云,基本只讲这些就够大部分人用,但是这几个地方很多人都刚入门不会用好,大致如下:

默认端口(安全组,防火墙,第三方主机安全工具,具体服务要协调到位)
防火墙如规则
强密码
ip 白名单
防火墙出规则(这个很少有人用到位)
baobao1270
2020-06-20 10:58:21 +08:00
我觉的楼主可能是觉得 root 用户复杂密码+SSH 就足以保障安全了
单纯的弱密码并非足以导致此事故
而是新用户的弱密码、SSHd 的错误配置和 sudo 权限的混乱三者共同导致的
任何一起事故都不是单一原因导致的
Cielsky
2020-06-20 11:07:21 +08:00
@zhangpeter 这样提不就太过繁琐了,既然是教怎么安装,那就怎么简单怎么来,不相关的事少说
liwl
2020-06-20 11:11:51 +08:00
可以简单设置为 hadoop(可以设置成你想设置的)



这个还提示的不到位?
msg7086
2020-06-20 11:14:55 +08:00
> 设置密码
> 然后,接着上面的操作, 再对这个用户设置密码,可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。

非常疑惑,一个系统账号为什么要设密码……adduser --system 他不香吗?
huiyue
2020-06-20 11:15:22 +08:00
@zhangpeter 难道你不知道添加用户可以设置不允许远程登录?还有公网上,开 root 远程,怎么想的?
Miscedence
2020-06-20 11:15:53 +08:00
清奇的脑回路
zhangpeter
2020-06-20 11:27:39 +08:00
@huiyue 好吧,本人真菜鸡,之前以为新增的用户默认是本地的,不知道需要设置禁止远程登录。公网 root 是因为 digitalocean 的 ubuntu 系统默认提供的用户就是 root 。
xianxiaobo
2020-06-20 11:39:53 +08:00
说到这个我就想到了安装 redis 不设置密码中挖矿病毒的事
jinliming2
2020-06-20 11:54:07 +08:00
这篇博客确实有问题,sudo 用户组没有限制,你把用户直接加到 sudo 组里,那么根本不需要 root 密码就能获得 root 权限了,因为 sudo 使用的是当前用户的密码。
这种安全常识问题写到博客里,可以说为了方便代码示例这么写,但最起码也要标一个警告,这会带来安全风险!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/683249

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX