我的 Zimbra 邮件服务器(8.0.2 社区版)最近开始产生一个有趣的进程,称为“b”。
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57
Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie
%Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers
KiB Swap: 0 total, 0 used, 0 free, 557404 cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b
18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b
19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java
26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java
1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0
5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0
6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0
7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0
8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1
10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1
11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1
12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset
13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1
17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers
18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default
19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd
20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd
21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
我似乎无法在任何地方找到 Zimbra 的进程列表,或它们的作用的解释。在这个特定情况下,我应该担心名为“b”的进程吗?“b”代表什么?:D
我可以殺掉它嗎?
答案1
单击“c”后,我得到“/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > .....”这让我认为服务器有恶意软件。我会手动终止该进程,因为它似乎与比特币挖矿有关。
正如您自己所说,这确实似乎是恶意软件。
有趣的是,它被植入了 zimbra 用户,也许是因为错误或使用了错误的密码?
无论如何,您可能能够终止该进程,但您不知道还有哪些其他恶意软件在徘徊。
我的建议是尽快重新安装服务器,并且如果可能的话(取决于您的用户数量)使用客户端导出用户数据,而不是完全复制 /opt/zimbra。