『安全』Hadoop/HBase/Spark 入侵事件通告

Posted 2021-04-19 青云QingCloud

继前一段时间曝出黑客利用 MongoDB 和 ElasticSearch 配置漏洞进行入侵的事件之后，下一个遭遇黑客锁定的目标将包括 Hadoop、HBase 在内的一系列服务。

该入侵会给用户的 Hadoop/HBase/Spark 等以 HDFS 为存储的数据造成安全风险，请可能被此安全隐患影响的用户仔细阅读本文，并做相应的处理。

容易遭受入侵的环境：

用户自建的未配置安全验证的 Hadoop/HBase/Spark 服务，并在公网上开放了三个产品都用到的 HDFS 端口如 50070 和 HBase 的 Rest 服务端口如 8000。

通过端口转发，将青云QingCloud 提供的 Hadoop/HBase/Spark 服务的端口通过路由器、VPC 转发，曝露到公网。

入侵现象：

• Hadoop/HBase/Spark 数据被清空。

• 留信息勒索比特币。

修复办法：

禁止公网开放 Hadoop/HBase/Spark 端口，例如可以在青云QingCloud 防火墙上禁用 Hadoop/HBase/Spark 的端口，例如 50070 和 8000。

如果对 Hadoop/HBase/Spark  的端口在路由器、VPC 上进行了端口转发，请删除该转发规则。

温馨提示：

青云QingCloud 提供的 Hadoop/HBase/Spark 服务是运行在私有网络中的，如果用户没有主动设置端口转发将 Hadoop/HBase/Spark  端口在公网曝露，不会受到该安全隐患的影响，请用户放心使用。

另外，对于从大数据 Client 客户端主机直接访问 Hadoop/HBase/Spark 集群的用户，也强烈建议将 Client 主机的访问方式由密码改为 SSH Key 访问以杜绝其它安全漏洞。

有任何其他问题可以工单与我们联系。

- FIN -