%20macht%3F.png)
Mein Zimbra-Mailserver (8.0.2 Community Edition) hat vor Kurzem begonnen, einen interessanten Prozess namens „b“ zu erzeugen.
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57
Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
%Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers
KiB Swap: 0 total, 0 used, 0 free, 557404 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b
18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b
19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java
26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java
1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0
6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0
7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0
8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1
10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1
11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1
12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset
13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1
17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers
18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default
19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd
20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
Ich kann nirgends eine Liste der Prozesse für Zimbra oder eine Erklärung ihrer Funktion finden. Sollte ich mir in diesem speziellen Fall Sorgen um einen Prozess namens „b“ machen und wofür steht das „b“? :D
Kann ich es töten?
Antwort1
Nach dem Klicken auf „c“ erhalte ich „/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > .....“, was mich glauben lässt, dass der Server Malware enthält. Ich werde den Prozess manuell beenden, > da er anscheinend mit Bitcoin-Mining in Verbindung steht.
Wie Sie selbst gesagt haben, scheint es sich tatsächlich um Malware zu handeln.
Interessant zu sehen, dass sie sich unter dem Zimbra-Benutzer eingenistet hat, vielleicht ein Fehler oder durch die Verwendung eines falschen Passworts?
Wie dem auch sei, Sie können den Prozess möglicherweise beenden, wissen aber nicht, welche andere Malware herumschwirrt.
Mein Rat wäre, den Server so schnell wie möglich neu zu installieren und wenn möglich (abhängig von der Anzahl Ihrer Benutzer) die Benutzerdaten mithilfe des Clients zu exportieren, anstatt /opt/zimbra vollständig zu kopieren.