我如何才能找出 Zimbra 进程(特别是“b”)正在做什么?

我如何才能找出 Zimbra 进程(特别是“b”)正在做什么?

我的 Zimbra 邮件服务器(8.0.2 社区版)最近开始产生一个有趣的进程,称为“b”。

top - 11:04:44 up 19 days, 18:47,  1 user,  load average: 6.25, 6.38, 5.57
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
%Cpu(s): 17.8 us,  4.3 sy, 77.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   4049688 total,  3469008 used,   580680 free,   141496 buffers
KiB Swap:        0 total,        0 used,        0 free,   557404 cached

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
18917 zimbra    20   0  311m 1724  948 S  78.1  0.0  23:03.87 b
18899 zimbra    20   0  311m 1616  856 S  77.1  0.0  23:15.35 b
19119 zimbra    20   0 25168 4656  756 R  43.6  0.1  13:22.86 java
26039 zimbra    20   0 2512m 1.1g  11m S   0.7 28.1 162:24.38 java
    1 root      20   0 24204 1992 1148 S   0.0  0.0   0:04.30 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.26 kthreadd
    3 root      20   0     0    0    0 S   0.0  0.0   3:51.87 ksoftirqd/0
    5 root      20   0     0    0    0 S   0.0  0.0   0:00.08 kworker/u:0
    6 root      rt   0     0    0    0 S   0.0  0.0   1:10.28 migration/0
    7 root      rt   0     0    0    0 S   0.0  0.0   0:11.18 watchdog/0
    8 root      rt   0     0    0    0 S   0.0  0.0   1:10.13 migration/1
   10 root      20   0     0    0    0 S   0.0  0.0   4:06.88 ksoftirqd/1
   11 root      rt   0     0    0    0 S   0.0  0.0   0:10.32 watchdog/1
   12 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper
   14 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs
   15 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns
   16 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kworker/u:1
   17 root      20   0     0    0    0 S   0.0  0.0   0:03.61 sync_supers
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.10 bdi-default
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd
   20 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kblockd
   21 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 ata_sff

我似乎无法在任何地方找到 Zimbra 的进程列表,或它们的作用的解释。在这个特定情况下,我应该担心名为“b”的进程吗?“b”代表什么?:D

我可以殺掉它嗎?

答案1

单击“c”后,我得到“/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > .....”这让我认为服务器有恶意软件。我会手动终止该进程,因为它似乎与比特币挖矿有关。

正如您自己所说,这确实似乎是恶意软件。
有趣的是,它被植入了 zimbra 用户,也许是因为错误或使用了错误的密码?

无论如何,您可能能够终止该进程,但您不知道还有哪些其他恶意软件在徘徊。

我的建议是尽快重新安装服务器,并且如果可能的话(取决于您的用户数量)使用客户端导出用户数据,而不是完全复制 /opt/zimbra。

答案2

尝试使用以下方式监控斯特拉斯或者跟踪

例如

strace -p $(pgrep b)

相关内容