Zimbra 프로세스(구체적으로 "b")가 무엇을 하고 있는지 어떻게 알 수 있나요?

tag-icon tag-icon ubuntu troubleshooting top zimbra
Zimbra 프로세스(구체적으로 "b")가 무엇을 하고 있는지 어떻게 알 수 있나요?

내 Zimbra 메일 서버(8.0.2 Community Edition)는 최근 "b"라는 흥미로운 프로세스를 생성하기 시작했습니다.

top - 11:04:44 up 19 days, 18:47,  1 user,  load average: 6.25, 6.38, 5.57
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
%Cpu(s): 17.8 us,  4.3 sy, 77.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   4049688 total,  3469008 used,   580680 free,   141496 buffers
KiB Swap:        0 total,        0 used,        0 free,   557404 cached

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
18917 zimbra    20   0  311m 1724  948 S  78.1  0.0  23:03.87 b
18899 zimbra    20   0  311m 1616  856 S  77.1  0.0  23:15.35 b
19119 zimbra    20   0 25168 4656  756 R  43.6  0.1  13:22.86 java
26039 zimbra    20   0 2512m 1.1g  11m S   0.7 28.1 162:24.38 java
    1 root      20   0 24204 1992 1148 S   0.0  0.0   0:04.30 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.26 kthreadd
    3 root      20   0     0    0    0 S   0.0  0.0   3:51.87 ksoftirqd/0
    5 root      20   0     0    0    0 S   0.0  0.0   0:00.08 kworker/u:0
    6 root      rt   0     0    0    0 S   0.0  0.0   1:10.28 migration/0
    7 root      rt   0     0    0    0 S   0.0  0.0   0:11.18 watchdog/0
    8 root      rt   0     0    0    0 S   0.0  0.0   1:10.13 migration/1
   10 root      20   0     0    0    0 S   0.0  0.0   4:06.88 ksoftirqd/1
   11 root      rt   0     0    0    0 S   0.0  0.0   0:10.32 watchdog/1
   12 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper
   14 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs
   15 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns
   16 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kworker/u:1
   17 root      20   0     0    0    0 S   0.0  0.0   0:03.61 sync_supers
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.10 bdi-default
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd
   20 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kblockd
   21 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 ata_sff

Zimbra 프로세스 목록이나 해당 프로세스가 수행하는 작업에 대한 설명을 어디서도 찾을 수 없는 것 같습니다. 이 특정한 경우에 "b"라는 프로세스에 대해 걱정해야 합니까? "b"는 무엇을 의미합니까? :디

죽여도 될까요?

답변1

"c"를 클릭하면 - "/var/tmp/b -B -ostratum+tcp://hecks.ddosdev.com:53 -u ilovebig > ..... "가 표시되어 서버에 악성 코드. > 비트코인 ​​채굴과 연결된 것 같아서 수동으로 프로세스를 종료하겠습니다.

당신이 스스로 말했듯이 이것은 실제로 악성 코드인 것 같습니다.
버그나 잘못된 비밀번호 사용으로 인해 zimbra 사용자 아래에 이 문제가 심어졌다는 점이 흥미롭습니다.

어쨌든 프로세스를 종료할 수는 있지만 다른 악성 코드가 무엇인지는 알 수 없습니다.

내 조언은 서버를 최대한 빨리 다시 설치하고 가능하다면 (사용자 수에 따라) /opt/zimbra를 완전히 복사하는 대신 클라이언트를 사용하여 사용자 데이터를 내보내는 것입니다.

답변2

다음을 사용하여 모니터링해 보세요.스트레이스또는ltrace

예:

strace -p $(pgrep b)

관련 정보