Ubuntu
如何找出 Zimbra 程序(特別是“b”)在做什麼?
我的 Zimbra 郵件伺服器(8.0.2 社區版)最近開始產生一個名為“b”的有趣程序。
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57 Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie %Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers KiB Swap: 0 total, 0 used, 0 free, 557404 cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b 18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b 19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java 26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java 1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init 2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd 3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0 5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0 6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0 7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0 8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1 10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1 11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1 12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset 13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper 14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs 15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns 16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1 17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers 18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default 19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd 20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd 21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff
我似乎無法在任何地方找到 Zimbra 的程序列表,或對它們所做工作的解釋。在這種特定情況下,我應該擔心一個名為“b”的過程,“b”代表什麼?:D
我能殺了它嗎?
點擊“c”後,我得到 -“/var/tmp/b -B -o stratum+tcp://hecks.ddosdev.com:53 -u ilovebig > …..”這讓我覺得伺服器有一個惡意軟體。我將手動終止該程序,> 因為它似乎與比特幣挖礦有關。
正如您自己所說,這確實似乎是惡意軟體。
有趣的是,它是在 zimbra 使用者下植入的,可能是錯誤或密碼使用錯誤?
無論如何,您可能能夠終止該程序,但您不知道還有什麼其他惡意軟體在附近徘徊。
我的建議是盡快重新安裝伺服器,如果可能(取決於您的使用者數量)使用客戶端導出使用者數據,而不是完全複製 /opt/zimbra。