![Как узнать, что делает процесс Zimbra (в частности, «b»)?](https://rvso.com/image/623625/%D0%9A%D0%B0%D0%BA%20%D1%83%D0%B7%D0%BD%D0%B0%D1%82%D1%8C%2C%20%D1%87%D1%82%D0%BE%20%D0%B4%D0%B5%D0%BB%D0%B0%D0%B5%D1%82%20%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%20Zimbra%20(%D0%B2%20%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%BE%D1%81%D1%82%D0%B8%2C%20%C2%ABb%C2%BB)%3F.png)
Мой почтовый сервер Zimbra (8.0.2 Community Edition) недавно начал порождать интересный процесс под названием «b».
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57
Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
%Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers
KiB Swap: 0 total, 0 used, 0 free, 557404 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b
18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b
19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java
26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java
1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0
6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0
7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0
8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1
10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1
11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1
12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset
13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1
17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers
18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default
19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd
20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
Кажется, я нигде не могу найти список процессов для Zimbra или объяснение того, что они делают. В этом конкретном случае, должен ли я беспокоиться о процессе под названием "b", и что означает "b"? :D
Могу ли я его убить?
решение1
После нажатия "c" я получаю - "/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > ..... " что заставляет меня думать, что на сервере есть вредоносное ПО. Я вручную убью процесс, > потому что он, похоже, связан с майнингом биткоинов.
Как вы сами сказали, это действительно похоже на вредоносное ПО.
Интересно, что оно внедряется под пользователем zimbra, возможно, это баг или из-за использования плохого пароля?
В любом случае, вы, возможно, сможете завершить процесс, но вы не узнаете, какие еще вредоносные программы находятся поблизости.
Я бы посоветовал переустановить сервер как можно скорее и, если возможно (в зависимости от количества пользователей), экспортировать пользовательские данные с помощью клиента вместо полного копирования /opt/zimbra.