%3F.png)
Mi servidor de correo Zimbra (8.0.2 Community Edition) recientemente comenzó a generar un proceso interesante llamado "b".
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57
Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
%Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers
KiB Swap: 0 total, 0 used, 0 free, 557404 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b
18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b
19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java
26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java
1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0
6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0
7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0
8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1
10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1
11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1
12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset
13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1
17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers
18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default
19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd
20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
Parece que no puedo encontrar en ninguna parte una lista de procesos para Zimbra o una explicación de lo que hacen. En este caso específico, ¿debería preocuparme por un proceso llamado "b" y qué significa "b"? :D
¿Puedo matarlo?
Respuesta1
Después de hacer clic en "c", aparece - "/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > ..... " lo que me hace pensar que el servidor tiene una malware. Mataré manualmente el proceso, porque parece estar conectado a la minería de bitcoins.
Como usted mismo ha dicho, esto parece ser malware.
Es interesante ver que se ha colocado bajo el usuario de zimbra, ¿quizás por un error o por un mal uso de la contraseña?
De todos modos, es posible que puedas finalizar el proceso pero no sabes qué otro malware hay por ahí.
Mi consejo sería reinstalar el servidor lo antes posible y, si es posible (dependiendo de la cantidad de usuarios), exportar los datos del usuario usando el cliente en lugar de copiar /opt/zimbra por completo.