Zimbra プロセス (具体的には「b」) が何を実行しているかを知るにはどうすればよいですか?

tag-icon tag-icon ubuntu troubleshooting top zimbra
Zimbra プロセス (具体的には「b」) が何を実行しているかを知るにはどうすればよいですか?

私の Zimbra メール サーバー (8.0.2 Community Edition) は最近、「b」と呼ばれる興味深いプロセスを生成し始めました。

top - 11:04:44 up 19 days, 18:47,  1 user,  load average: 6.25, 6.38, 5.57
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
%Cpu(s): 17.8 us,  4.3 sy, 77.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   4049688 total,  3469008 used,   580680 free,   141496 buffers
KiB Swap:        0 total,        0 used,        0 free,   557404 cached

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
18917 zimbra    20   0  311m 1724  948 S  78.1  0.0  23:03.87 b
18899 zimbra    20   0  311m 1616  856 S  77.1  0.0  23:15.35 b
19119 zimbra    20   0 25168 4656  756 R  43.6  0.1  13:22.86 java
26039 zimbra    20   0 2512m 1.1g  11m S   0.7 28.1 162:24.38 java
    1 root      20   0 24204 1992 1148 S   0.0  0.0   0:04.30 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.26 kthreadd
    3 root      20   0     0    0    0 S   0.0  0.0   3:51.87 ksoftirqd/0
    5 root      20   0     0    0    0 S   0.0  0.0   0:00.08 kworker/u:0
    6 root      rt   0     0    0    0 S   0.0  0.0   1:10.28 migration/0
    7 root      rt   0     0    0    0 S   0.0  0.0   0:11.18 watchdog/0
    8 root      rt   0     0    0    0 S   0.0  0.0   1:10.13 migration/1
   10 root      20   0     0    0    0 S   0.0  0.0   4:06.88 ksoftirqd/1
   11 root      rt   0     0    0    0 S   0.0  0.0   0:10.32 watchdog/1
   12 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper
   14 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs
   15 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns
   16 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kworker/u:1
   17 root      20   0     0    0    0 S   0.0  0.0   0:03.61 sync_supers
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.10 bdi-default
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd
   20 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kblockd
   21 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 ata_sff

Zimbra のプロセスの一覧や、その機能の説明はどこにも見つからないようです。この特定のケースでは、「b」というプロセスについて心配する必要がありますか。また、「b」は何の略ですか。:D

殺してもいいですか?

答え1

「c」をクリックすると、「/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > .....」というメッセージが表示され、サーバーにマルウェアがあると思われます。ビットコインのマイニングに関連しているようなので、手動でプロセスを強制終了します。

あなた自身が言ったように、これは確かにマルウェアのようです。Zimbra
ユーザーの下に埋め込まれているのは興味深いですが、バグか、不適切なパスワードの使用によるものでしょうか?

とにかく、プロセスを強制終了できるかもしれませんが、他にどのようなマルウェアが潜んでいるかはわかりません。

私のアドバイスとしては、できるだけ早くサーバーを再インストールし、可能であれば (ユーザー数に応じて) /opt/zimbra を完全にコピーするのではなく、クライアントを使用してユーザー データをエクスポートすることです。

答え2

監視してみてくださいストレースまたはltrace

例えば

strace -p $(pgrep b)

関連情報