我的 Zimbra 郵件伺服器(8.0.2 社群版)最近開始產生一個名為「b」的有趣進程。
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57
Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
%Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers
KiB Swap: 0 total, 0 used, 0 free, 557404 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b
18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b
19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java
26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java
1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0
6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0
7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0
8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1
10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1
11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1
12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset
13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1
17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers
18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default
19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd
20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
我似乎無法在任何地方找到 Zimbra 的流程列表,或它們的作用的解釋。在這種特定情況下,我是否應該擔心名為「b」的進程,「b」代表什麼? :D
我可以殺掉它嗎?
答案1
點擊“c”後,我得到- “/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > .....” 這讓我認為伺服器有一個惡意軟體。我會手動終止該進程,>因為它似乎與比特幣挖掘有關。
正如您自己所說,這確實似乎是惡意軟體。
有趣的是,它被植入到 zimbra 使用者下,也許是一個錯誤或使用了錯誤的密碼?
無論如何,您可能能夠殺死該進程,但您不知道還有哪些其他惡意軟體正在徘徊。
我的建議是盡快重新安裝伺服器,如果可能的話(取決於您的用戶數量)使用客戶端導出用戶數據,而不是完全複製 /opt/zimbra。