UCloud-201701-003:Hadoop集群存在被勒索攻击的风险

尊敬的UCloud用户:

目前全球有大批开放在公网的Hadoop集群正在遭受黑客组织的攻击，被攻破的集群内容会被删除，对企业造成巨大损失。请您及时检查使用的Hadoop集群是否受到影响。

检查Hadoop端口是否开放到了公网

1、禁止Hadoop端口公网可访问；

2、Uhadoop默认会禁止所有大数据组件的所有端口，如果您开放了端口到公网请通过以下方式加固：

1）绑定外网防火墙

创建防火墙规则，在源地址中打开允许访问的网段

2）配置vpn, 通过VPN来访问集群的各个段端口

注：UHadoop默认WebUI端口信息如下：

a) HDFS

NameNode 默认端口 50070

SecondNameNode 默认端口 50090

DataNode 默认端口 50075

httpfs 默认端口14000

b) YARN（JobTracker）

ResourceManager 默认端口23188

JobTracker 默认端口 50030

TaskTracker 默认端口 50060

b) Hue 默认端口 8888

c) Hue 默认端口 8888

d) hbase 默认端口 60010

e) hive-server2 默认端口 10000

公网开放了50070web端口的HDFS，黑客可以通过命令行操作多个目录下的数据，包括删除。其他端口也存在这种风险。

curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true“

curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS“

Uhadoop端口信息:https://docs.ucloud.cn/analysis/uhadoop/port