Как узнать, что делает процесс Zimbra (в частности, «b»)?

Как узнать, что делает процесс Zimbra (в частности, «b»)?

Мой почтовый сервер Zimbra (8.0.2 Community Edition) недавно начал порождать интересный процесс под названием «b».

top - 11:04:44 up 19 days, 18:47,  1 user,  load average: 6.25, 6.38, 5.57
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
%Cpu(s): 17.8 us,  4.3 sy, 77.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   4049688 total,  3469008 used,   580680 free,   141496 buffers
KiB Swap:        0 total,        0 used,        0 free,   557404 cached

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
18917 zimbra    20   0  311m 1724  948 S  78.1  0.0  23:03.87 b
18899 zimbra    20   0  311m 1616  856 S  77.1  0.0  23:15.35 b
19119 zimbra    20   0 25168 4656  756 R  43.6  0.1  13:22.86 java
26039 zimbra    20   0 2512m 1.1g  11m S   0.7 28.1 162:24.38 java
    1 root      20   0 24204 1992 1148 S   0.0  0.0   0:04.30 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.26 kthreadd
    3 root      20   0     0    0    0 S   0.0  0.0   3:51.87 ksoftirqd/0
    5 root      20   0     0    0    0 S   0.0  0.0   0:00.08 kworker/u:0
    6 root      rt   0     0    0    0 S   0.0  0.0   1:10.28 migration/0
    7 root      rt   0     0    0    0 S   0.0  0.0   0:11.18 watchdog/0
    8 root      rt   0     0    0    0 S   0.0  0.0   1:10.13 migration/1
   10 root      20   0     0    0    0 S   0.0  0.0   4:06.88 ksoftirqd/1
   11 root      rt   0     0    0    0 S   0.0  0.0   0:10.32 watchdog/1
   12 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper
   14 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs
   15 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns
   16 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kworker/u:1
   17 root      20   0     0    0    0 S   0.0  0.0   0:03.61 sync_supers
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.10 bdi-default
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd
   20 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kblockd
   21 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 ata_sff

Кажется, я нигде не могу найти список процессов для Zimbra или объяснение того, что они делают. В этом конкретном случае, должен ли я беспокоиться о процессе под названием "b", и что означает "b"? :D

Могу ли я его убить?

решение1

После нажатия "c" я получаю - "/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > ..... " что заставляет меня думать, что на сервере есть вредоносное ПО. Я вручную убью процесс, > потому что он, похоже, связан с майнингом биткоинов.

Как вы сами сказали, это действительно похоже на вредоносное ПО.
Интересно, что оно внедряется под пользователем zimbra, возможно, это баг или из-за использования плохого пароля?

В любом случае, вы, возможно, сможете завершить процесс, но вы не узнаете, какие еще вредоносные программы находятся поблизости.

Я бы посоветовал переустановить сервер как можно скорее и, если возможно (в зависимости от количества пользователей), экспортировать пользовательские данные с помощью клиента вместо полного копирования /opt/zimbra.

решение2

Попробуйте проконтролировать его с помощьюследилиltrace

Например

strace -p $(pgrep b)

Связанный контент