跟着网上博客的教程安装 hadoop，然后我的服务器就被入侵了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 1399 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近在学习 hadoop 如何使用，谷歌搜索ubuntu hadoop，然后在网上找到了一篇博客：Ubuntu 16.04 上安装 Hadoop 并成功运行 | Chares's Blog

如果你是在已有的一个用户存在下，想安装 Hadoop 那么需要创建一个 Hadoop 用户，毕竟创建一个新的用户，配置环境相对更加干净一些。
然后，接着上面的操作，再对这个用户设置密码，可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。
为了我们后续的操作方便。我们这里对之前添加的 Hadoop 用户添加管理员的权限。

当时没细想，真的创建一个用户名为 hadoop，密码也为 hadoop 的用户。然后今早凌晨收到了 digitalocean 发来的邮件：

当时我惊呆了，因为 root 用户的密码比较复杂，不敢相信有人破解成功了，然后想到了 hadoop 用户，果真在 Hadoop 目录下发现了木马文件：

惨痛的教训，不能相信网上的博客的内容，尤其是中文博客的内容。

第 1 条附言 · 2020-06-20 10:36:48 +08:00

好吧，看到那么多人说这么简单的问题 lz 也没注意到，太垃圾了。我承认我水平不行，这么简单的事情都发了一贴，浪费了大家时间。

hadoop

用户

密码

Ubuntu

76 条回复 • 2020-07-03 09:48:26 +08:00

zhzy

2020-06-20 10:04:10 +08:00 via iPhone

？这跟人家博客有什么关系？？？

leeshuai

2020-06-20 10:05:23 +08:00

这跟博客有啥关系，自己设置的密码太简单

Deteriorator

2020-06-20 10:06:51 +08:00

和人家博客有啥关系？博客开始背锅了

zhangpeter

2020-06-20 10:07:22 +08:00

@zhzy 他的博客建议创建一个用户名为 hadoop，密码也为 hadoop 的用户。如果服务器在公网上，这个用户会被远程登录，服务器被入侵。我觉得博客中至少提一下如果服务器位于公网，密码设置复杂点，不要使用弱密码。

youxiachai

2020-06-20 10:07:25 +08:00

天啊。。这都能怪写博客的人。。lz 是脑子怎么想的。。

herozzm

2020-06-20 10:09:21 +08:00 via Android

如果你用了别人的一键安装脚本且没看脚本内容可以这样说，但是这个教程不是一键脚本啊，而且都是透明的命令行啊

youxiachai

2020-06-20 10:10:01 +08:00

@zhangpeter 这种属于运维的知识。。。方便自己开发这么搞有啥问题
而且这种简单的一般是放在内网里的，较真一下就是扯远了。。
我博客讲 1，何必在教你 2 呢。。

whitehack

2020-06-20 10:10:01 +08:00

`最后我们用 Hadoop 用户登录我们的电脑了，所以我们注销当前用户，注销后，在登录的界面中使用刚刚创建的 Hadoop 用户登录。`

这操作很明显是有 ssh 权限的. 这教程还加了 sudo 权限.. 的确是有点误导.

不过归根结底还是基础不牢呀. 当个教训以后就小心了.

RJH

2020-06-20 10:11:57 +08:00

我买了一把菜刀，不小心割伤了手，都怪生产菜刀的工厂把菜刀弄得太锋利了。

Death

2020-06-20 10:12:58 +08:00

这是使用常用弱口令被爆了，和那博客的举例有啥关系
它也说了 “可以设置成你想设置的”

你的标题让人以为是博客的教程有后门

22too

2020-06-20 10:13:56 +08:00

这个太正常了。你根本不知道，互联网上有多少 ssh 扫描。你这样的密码，几乎和不设置密码一样，自己的安全意识要提高啊。

zhangpeter

2020-06-20 10:14:35 +08:00

@leeshuai
@Deteriorator
@youxiachai 我写一篇 ubuntu 开启 SSH 服务远程登录的博客，告诉来看博客的小白创建用户 root，密码也为 root，这不是误导是什么。

zhch602

2020-06-20 10:17:05 +08:00 via Android

天才

youxiachai

2020-06-20 10:18:36 +08:00

@zhangpeter 问题是课程教你用的是 Hadoop 啊。。。
认真来说跟服务器使用一点关系都没。。。你说的 ssh 登录就属于运维这块了啊。。。
而且这块的博文，我就没见过你说的这种。。

jzphx

2020-06-20 10:19:31 +08:00

@zhangpeter 这个怪不了博客主，人家是内网 Ubuntu，环境都不一样。

daozhihun

2020-06-20 10:19:43 +08:00

lz 真是个天才，要是有个教程说银行卡设置六位密码，比如 123456 （你自己定义），你是不是也会设置成 123456

youxiachai

2020-06-20 10:21:24 +08:00

@zhangpeter 我大概也明白 lz 的脑回路，觉得人家教就要从底层开始教全。。
问题是我一个客户端跑 Hadoop 的。。。为啥还要把一堆怎么运维的东西也教给你。。。
而且，你也没系统学过运维的知识，有点运维方面的常识也不至于在公网搞简单口令，这都能挂写博客的，有你这种读者真是悲哀

810244966

2020-06-20 10:22:24 +08:00 via Android

@zhangpeter 一般看教程学习的都是虚拟机折腾下啊，这种密码没毛病。既然你都部署到公网上去了，肯定会有一定的安全基础知识。

youxiachai

2020-06-20 10:23:32 +08:00

其实最搞笑的还是 lz 知道把 root 的命令搞得及其复杂。。然后其他用户就可放过了？
很好奇 lz 平时怎么学习的。。。

ChiangKaishek

2020-06-20 10:24:56 +08:00

涉及密码的这些东西,不设置弱密码本身就是常识.总之,看教程还是要带脑子的,无脑跟着教程敲不可取.博客不背锅.

ctro15547

2020-06-20 10:28:40 +08:00

以后密码记得改成自己的哦。很多 mysql 教程也有用户名密码都是 mysql 的例子呢亲亲

vk42

2020-06-20 10:29:12 +08:00

虽然想笑，不过大家也放过 lz 吧，这种事情没有被毒打过一次可能都没啥记性，不过 lz 这个代价基本忽略不计了，很划算了其实……

coolair

2020-06-20 10:29:23 +08:00

额，打个比方，有人告诉你裸睡舒服，但是，你在公司午休的时候不能裸睡啊。环境不一样啊，博主教学用的是测试环境而已。

youxiachai

2020-06-20 10:30:36 +08:00

看了一下 lz 的主页，按道理 lz 的编程能力不弱啊。。。。
只能说，真的没系统学习过运维相关的知识，对相关方面不敏感
然后看了一下之前的帖子，也难怪。。lz 会怪写博客的人。。

XanderChen

2020-06-20 10:31:39 +08:00

好好地 hadoop 文档不看。

看啥博客，百度上不知道有多少六七年前的玩意儿。

当个教训吧。

YFeei

2020-06-20 10:34:27 +08:00 via Android

看到你最后一段，觉得写博客的人好冤

yanqiyu

2020-06-20 10:34:52 +08:00 via Android

不不不，典型常见账户名+密码同账户名+不限制 ssh 登录
这就是要被 hack 的标志

cnzjl

2020-06-20 10:38:14 +08:00

不能怪博主啊,当个教训就好了

saucerman8

2020-06-20 10:41:31 +08:00 via Android

这事很显然是你自己的原因，你在服务器上装，新建用户和密码的时候这点风险都想不到吗？

imdong

2020-06-20 10:43:29 +08:00 via iPhone

楼主可能是比较菜，但没必要喷楼主，正好可以把教训教给论坛其他人。

不要照抄网上的教程，大多不靠谱。要结合实际。
创建用户，要么不要开启远程登录，要么密码复杂一点(或者禁用密码改用密钥登录)

那个帖子有问题，但主要怪自己学艺不精。

opengps

2020-06-20 10:44:48 +08:00

习惯就好，公网环境安全问题本来就很恶劣，各种扫描器爆破工具实时运行，若密码等问题的弊端立刻会暴露，虽然运维角度讲只有几个地方进行调这个就能回避 90%的问题，我常年帮人上云，基本只讲这些就够大部分人用，但是这几个地方很多人都刚入门不会用好，大致如下：

默认端口（安全组，防火墙，第三方主机安全工具，具体服务要协调到位）
防火墙如规则
强密码
ip 白名单
防火墙出规则（这个很少有人用到位）

baobao1270

2020-06-20 10:58:21 +08:00

我觉的楼主可能是觉得 root 用户复杂密码+SSH 就足以保障安全了
单纯的弱密码并非足以导致此事故
而是新用户的弱密码、SSHd 的错误配置和 sudo 权限的混乱三者共同导致的
任何一起事故都不是单一原因导致的

Cielsky

2020-06-20 11:07:21 +08:00 via Android

@zhangpeter 这样提不就太过繁琐了，既然是教怎么安装，那就怎么简单怎么来，不相关的事少说

liwl

2020-06-20 11:11:51 +08:00

可以简单设置为 hadoop(可以设置成你想设置的)

这个还提示的不到位？

msg7086

2020-06-20 11:14:55 +08:00

> 设置密码
> 然后，接着上面的操作，再对这个用户设置密码，可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。

非常疑惑，一个系统账号为什么要设密码……adduser --system 他不香吗？

huiyue

2020-06-20 11:15:22 +08:00

@zhangpeter 难道你不知道添加用户可以设置不允许远程登录？还有公网上，开 root 远程，怎么想的？

Miscedence

2020-06-20 11:15:53 +08:00 via Android

清奇的脑回路

zhangpeter

2020-06-20 11:27:39 +08:00

@huiyue 好吧，本人真菜鸡，之前以为新增的用户默认是本地的，不知道需要设置禁止远程登录。公网 root 是因为 digitalocean 的 ubuntu 系统默认提供的用户就是 root 。

xianxiaobo

2020-06-20 11:39:53 +08:00

说到这个我就想到了安装 redis 不设置密码中挖矿病毒的事

jinliming2

2020-06-20 11:54:07 +08:00

这篇博客确实有问题，sudo 用户组没有限制，你把用户直接加到 sudo 组里，那么根本不需要 root 密码就能获得 root 权限了，因为 sudo 使用的是当前用户的密码。
这种安全常识问题写到博客里，可以说为了方便代码示例这么写，但最起码也要标一个警告，这会带来安全风险！

Esec

2020-06-20 11:55:22 +08:00 via Android

看来上面这么多层禁用密码的提示楼主还是没看到，不过三两句介绍完事倒是很可能把自己锁外面，然后记得密码本一旦流出这台设备就不再保密了……

lpts007

2020-06-20 12:00:11 +08:00

@zhangpeter 不用太过懊恼，吃一堑长一智。

raaaaaar

2020-06-20 12:12:55 +08:00 via Android

这是意识问题，不是技术问题

yukiloh

2020-06-20 12:19:57 +08:00

https://blog.csdn.net/qq_28959531/article/details/78989635
中文博客大部分不可信
特别是连 markdown 都不会用的

tingyunsay

2020-06-20 12:41:04 +08:00

博客要是值贴一段啥都不告诉你的代码，那就可以骂了，csdn 上以前总能看到 rm -rf ...

imn1

2020-06-20 12:41:40 +08:00

想起日本各种家用电器的说明书，事无巨细都写了，面向家庭主妇编写的

huiyue

2020-06-20 12:43:42 +08:00

@zhangpeter 给你个建议。把你现在所有的用户梳理一遍，别被留后门了。只留一个用户可以远程（非 root ），再查看一下所有开放的端口，可疑的端口追踪一下进程，删掉。定时任务里面也看看。

BrettD

2020-06-20 12:45:33 +08:00 via iPhone

菜刀说明书上面都要写清楚不能对着人吗？这种基本安全常识也要博客博主写出来？

wdlth

2020-06-20 12:53:06 +08:00

你不是装了 hadoop，你是装了个蜜罐啊……

Mirage09

2020-06-20 13:26:04 +08:00 via iPad

邮件截图里的 ip 是你的 droplet 的地址吗？

luckyrayyy

2020-06-20 13:29:38 +08:00

建议报警，对博主采取强制措施

darer

2020-06-20 13:34:39 +08:00

看了下楼主最近发的几个帖子

> 跟着网上博客的教程安装 hadoop，然后我的服务器就被入侵了
> 在 V2EX 上展示自己的博客地址是高危行为，我的博客 2 天收到了 6 万恶意访问请求
> 我用腾讯云的服务器挂梯子，腾讯云把我服务器封了，大家有好用的服务器推荐吗？

嗯…

npm

2020-06-20 13:41:44 +08:00

做教程真的是不容易啊！

我有时候也会遇到有人评论说：“这么简单的知识你也要说。。。？”
嫌弃我讲的太详细。

而楼主这个遇到了讲的不够详细，又指责博主讲得不详细。

唉~真的不好伺候啊！

讲的详细，你嫌弃啰嗦。
讲得不详细，你又嫌弃讲得不够明确。

baoshuai33

2020-06-20 13:54:55 +08:00 via iPhone

银行卡密码你设置的什么？ 111111 ？

hfutzj

2020-06-20 14:45:46 +08:00

得出中文教程不可信。。。十分无语，建议自己摸索不要看教程

zhangpeter

2020-06-20 15:00:37 +08:00

@msg7086 感谢这位老哥的回复，--system 很好用，学到了。

rr41ns

2020-06-20 15:46:30 +08:00

国家级甩锅表演艺术家

zhangpeter

2020-06-20 15:49:04 +08:00

@npm 没有吧，我看到讲得很详细的博客底下的回复基本都是这篇博客讲得很详细

[url=https://sm.ms/image/T7cXEZPxoe5UBNV][img]https://i.loli.net/2020/06/20/T7cXEZPxoe5UBNV.png[/img][/url]

zhangpeter

2020-06-20 15:56:33 +08:00

@Mirage09 已经重装系统换 ip 了

efaun

2020-06-20 16:01:22 +08:00

果然，人穷是可以怪社会的

winglight2016

2020-06-20 16:35:50 +08:00

这不能怪人家不提醒你呀。因为默认情况下，云服务器本来就应该禁掉常用端口以外的端口，这样即使你用了弱密码也不影响，反之如果是暴露端口就不能使用弱密码——这种常识不是这篇文章的主题。

楼上有说，小白的话会怎样怎样，知道自己小白就不要急着用云服务器呀，先在本地研究清楚安全问题怎么解决不是更合理吗？

Tyuans

2020-06-20 16:54:27 +08:00

root 都设置复杂密码了。。。怎么这个小事儿还能翻车。。。人博客里也提了改成自己的密码啊啊啊。。。

cs419

2020-06-20 18:44:24 +08:00

安全点都是只支持密钥登录
偷懒点端口改成 2w 以后呀

irainsoft

2020-06-20 19:00:35 +08:00

这我傻了，这也能甩锅... 很多软件安装时都是有个默认密码让用户自己改的，况且密码这个东西不都是每个人自己设置吗？难道银行介绍说交易密码不要设 123456 你就去设置个 123457 吗？我在自己博客上写教程时涉及密码时都不会给很复杂的密码因为可能会暴露我设置密码的习惯，一般给 demo 时都是使用软件默认密码或者 123456，但读者要是甚至连设置自己的密码这种行为都不愿意去做，那实在是没办法了。博客主写文章不是在为软件写官方文档，自然要挑着重点写，不可能从为软件单独创建帐号来详细些的（我写 Microsoft office 教程为什么要教你安装 Windows 呢）