约两年前MongoDB和Hadoop遭受勒索攻击数据被加密或擦除。今年起针对Hadoop集群的恶意软件激增受影响的主要是未启用安全防护且直接联网的集群受攻击服务器从每天数台增至70多台。网络安全公司Radware跟踪发现名为DemonBot的新型恶意软件可主动扫描易受攻击的Hadoop集群每日发起超百万次扫描。其利用YARN模块中未认证的远程代码执行漏洞REST API默认开放在8088/8090端口攻击者可借此提交恶意作业。该软件被确认为Mirai变种但含陌生函数故命名为DemonBot攻击向量为UDP和TCP Floods。此外XBash等恶意软件也用于比特币挖掘和DDoS攻击。防护建议勿将集群暴露于公网直接联网使攻击者轻易扫描并入侵。启用Kerberos强身份验证未启用时任何用户可伪装成他人执行任意操作类似root密码公开。正确配置Kerberos后每次交互均需凭据验证身份与权限可防止未授权作业提交。勾选安全服务以Cloudera Altus为例创建集群时需启用“Secure Clusters”并限制仅允许可信IP的SSH访问。安全集群会默认开启Kerberos并配置受控安全组有效规避现有恶意软件。总结企业搭建Hadoop集群时应遵循三点不直连公网、始终启用Kerberos、选用平台时务必启用安全服务。这些基础措施可有效防范DemonBot等勒索与挖矿攻击。