跟着网上博客的教程安装 hadoop,然后我的服务器就被入侵了

2020-06-20 10:00:25 +08:00
 zhangpeter

最近在学习 hadoop 如何使用,谷歌搜索ubuntu hadoop,然后在网上找到了一篇博客:Ubuntu 16.04 上安装 Hadoop 并成功运行 | Chares's Blog

如果你是在已有的一个用户存在下, 想安装 Hadoop 那么需要创建一个 Hadoop 用户,毕竟创建一个新的用户,配置环境相对更加干净一些。
然后,接着上面的操作, 再对这个用户设置密码,可以简单设置为 hadoop(可以设置成你想设置的), 注意两次设置为相同的密码。
为了我们后续的操作方便。我们这里对之前添加的 Hadoop 用户添加管理员的权限。

当时没细想,真的创建一个用户名为 hadoop,密码也为 hadoop 的用户。然后今早凌晨收到了 digitalocean 发来的邮件:

当时我惊呆了,因为 root 用户的密码比较复杂,不敢相信有人破解成功了,然后想到了 hadoop 用户,果真在 Hadoop 目录下发现了木马文件:

惨痛的教训,不能相信网上的博客的内容,尤其是中文博客的内容。

7690 次点击
所在节点    信息安全
76 条回复
zhzy
2020-06-20 10:04:10 +08:00
?这跟人家博客有什么关系???
leeshuai
2020-06-20 10:05:23 +08:00
这跟博客有啥关系,自己设置的密码太简单
Deteriorator
2020-06-20 10:06:51 +08:00
和人家博客有啥关系?博客开始背锅了
zhangpeter
2020-06-20 10:07:22 +08:00
@zhzy 他的博客建议创建一个用户名为 hadoop,密码也为 hadoop 的用户。如果服务器在公网上,这个用户会被远程登录,服务器被入侵。我觉得博客中至少提一下如果服务器位于公网,密码设置复杂点,不要使用弱密码。
youxiachai
2020-06-20 10:07:25 +08:00
天啊。。这都能怪写博客的人。。lz 是脑子怎么想的。。
herozzm
2020-06-20 10:09:21 +08:00
如果你用了别人的一键安装脚本且没看脚本内容可以这样说,但是这个教程不是一键脚本啊,而且都是透明的命令行啊
youxiachai
2020-06-20 10:10:01 +08:00
@zhangpeter 这种属于运维的知识。。。方便自己开发这么搞有啥问题
而且这种简单的一般是放在内网里的,较真一下就是扯远了。。
我博客讲 1, 何必在教你 2 呢。。
whitehack
2020-06-20 10:10:01 +08:00
`最后我们用 Hadoop 用户登录我们的电脑了,所以我们注销当前用户,注销后,在登录的界面中使用刚刚创建的 Hadoop 用户登录。`

这操作很明显是有 ssh 权限的. 这教程还加了 sudo 权限.. 的确是有点误导.

不过归根结底还是基础不牢呀. 当个教训以后就小心了.
RJH
2020-06-20 10:11:57 +08:00
我买了一把菜刀,不小心割伤了手,都怪生产菜刀的工厂把菜刀弄得太锋利了。
Death
2020-06-20 10:12:58 +08:00
这是使用常用弱口令被爆了,和那博客的举例有啥关系
它也说了 “可以设置成你想设置的”

你的标题让人以为是博客的教程有后门
22too
2020-06-20 10:13:56 +08:00
这个太正常了。你根本不知道,互联网上有多少 ssh 扫描。你这样的密码,几乎和不设置密码一样,自己的安全意识要提高啊。
zhangpeter
2020-06-20 10:14:35 +08:00
@leeshuai
@Deteriorator
@youxiachai 我写一篇 ubuntu 开启 SSH 服务远程登录的博客,告诉来看博客的小白创建用户 root,密码也为 root,这不是误导是什么。
zhch602
2020-06-20 10:17:05 +08:00
天才
youxiachai
2020-06-20 10:18:36 +08:00
@zhangpeter 问题是课程教你用的是 Hadoop 啊。。。
认真来说跟服务器使用一点关系都没。。。你说的 ssh 登录就属于运维这块了啊。。。
而且这块的博文,我就没见过你说的这种。。
jzphx
2020-06-20 10:19:31 +08:00
@zhangpeter 这个怪不了博客主,人家是内网 Ubuntu,环境都不一样。
daozhihun
2020-06-20 10:19:43 +08:00
lz 真是个天才,要是有个教程说银行卡设置六位密码,比如 123456 (你自己定义),你是不是也会设置成 123456
youxiachai
2020-06-20 10:21:24 +08:00
@zhangpeter 我大概也明白 lz 的脑回路,觉得人家教就要从底层开始教全。。
问题是我一个客户端跑 Hadoop 的。。。为啥还要把一堆怎么运维的东西也教给你。。。
而且,你也没系统学过运维的知识,有点运维方面的常识也不至于在公网搞简单口令,这都能挂写博客的,有你这种读者真是悲哀
810244966
2020-06-20 10:22:24 +08:00
@zhangpeter 一般看教程学习的都是虚拟机折腾下啊,这种密码没毛病。既然你都部署到公网上去了,肯定会有一定的安全基础知识。
youxiachai
2020-06-20 10:23:32 +08:00
其实最搞笑的还是 lz 知道把 root 的命令搞得及其复杂。。然后其他用户就可放过了?
很好奇 lz 平时怎么学习的。。。
ChiangKaishek
2020-06-20 10:24:56 +08:00
涉及密码的这些东西,不设置弱密码本身就是常识.总之,看教程还是要带脑子的,无脑跟着教程敲不可取.博客不背锅.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/683249

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX