Ubuntu

如何找出 Zimbra 程序(特別是“b”)在做什麼?

  • December 29, 2013

我的 Zimbra 郵件伺服器(8.0.2 社區版)最近開始產生一個名為“b”的有趣程序。

top - 11:04:44 up 19 days, 18:47,  1 user,  load average: 6.25, 6.38, 5.57
Tasks: 131 total,   2 running, 129 sleeping,   0 stopped,   0 zombie
%Cpu(s): 17.8 us,  4.3 sy, 77.9 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   4049688 total,  3469008 used,   580680 free,   141496 buffers
KiB Swap:        0 total,        0 used,        0 free,   557404 cached

 PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
18917 zimbra    20   0  311m 1724  948 S  78.1  0.0  23:03.87 b
18899 zimbra    20   0  311m 1616  856 S  77.1  0.0  23:15.35 b
19119 zimbra    20   0 25168 4656  756 R  43.6  0.1  13:22.86 java
26039 zimbra    20   0 2512m 1.1g  11m S   0.7 28.1 162:24.38 java
   1 root      20   0 24204 1992 1148 S   0.0  0.0   0:04.30 init
   2 root      20   0     0    0    0 S   0.0  0.0   0:00.26 kthreadd
   3 root      20   0     0    0    0 S   0.0  0.0   3:51.87 ksoftirqd/0
   5 root      20   0     0    0    0 S   0.0  0.0   0:00.08 kworker/u:0
   6 root      rt   0     0    0    0 S   0.0  0.0   1:10.28 migration/0
   7 root      rt   0     0    0    0 S   0.0  0.0   0:11.18 watchdog/0
   8 root      rt   0     0    0    0 S   0.0  0.0   1:10.13 migration/1
  10 root      20   0     0    0    0 S   0.0  0.0   4:06.88 ksoftirqd/1
  11 root      rt   0     0    0    0 S   0.0  0.0   0:10.32 watchdog/1
  12 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset
  13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper
  14 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs
  15 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns
  16 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kworker/u:1
  17 root      20   0     0    0    0 S   0.0  0.0   0:03.61 sync_supers
  18 root      20   0     0    0    0 S   0.0  0.0   0:00.10 bdi-default
  19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd
  20 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kblockd
  21 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 ata_sff

我似乎無法在任何地方找到 Zimbra 的程序列表,或對它們所做工作的解釋。在這種特定情況下,我應該擔心一個名為“b”的過程,“b”代表什麼?:D

我能殺了它嗎?

點擊“c”後,我得到 -“/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > …..”這讓我覺得伺服器有一個惡意軟體。我將手動終止該程序,> 因為它似乎與比特幣挖礦有關。

正如您自己所說,這確實似乎是惡意軟體。

有趣的是,它是在 zimbra 使用者下植入的,可能是錯誤或密碼使用錯誤?

無論如何,您可能能夠終止該程序,但您不知道還有什麼其他惡意軟體在附近徘徊。

我的建議是盡快重新安裝伺服器,如果可能(取決於您的使用者數量)使用客戶端導出使用者數據,而不是完全複製 /opt/zimbra。

引用自:https://serverfault.com/questions/563905