我的Zimbra邮件服务器(8.0.2社区版)最近开始产生一个称为“b”的有趣过程。
top - 11:04:44 up 19 days, 18:47, 1 user, load average: 6.25, 6.38, 5.57 Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie %Cpu(s): 17.8 us, 4.3 sy, 77.9 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem: 4049688 total, 3469008 used, 580680 free, 141496 buffers KiB Swap: 0 total, 0 used, 0 free, 557404 cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 18917 zimbra 20 0 311m 1724 948 S 78.1 0.0 23:03.87 b 18899 zimbra 20 0 311m 1616 856 S 77.1 0.0 23:15.35 b 19119 zimbra 20 0 25168 4656 756 R 43.6 0.1 13:22.86 java 26039 zimbra 20 0 2512m 1.1g 11m S 0.7 28.1 162:24.38 java 1 root 20 0 24204 1992 1148 S 0.0 0.0 0:04.30 init 2 root 20 0 0 0 0 S 0.0 0.0 0:00.26 kthreadd 3 root 20 0 0 0 0 S 0.0 0.0 3:51.87 ksoftirqd/0 5 root 20 0 0 0 0 S 0.0 0.0 0:00.08 kworker/u:0 6 root rt 0 0 0 0 S 0.0 0.0 1:10.28 migration/0 7 root rt 0 0 0 0 S 0.0 0.0 0:11.18 watchdog/0 8 root rt 0 0 0 0 S 0.0 0.0 1:10.13 migration/1 10 root 20 0 0 0 0 S 0.0 0.0 4:06.88 ksoftirqd/1 11 root rt 0 0 0 0 S 0.0 0.0 0:10.32 watchdog/1 12 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 cpuset 13 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 khelper 14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs 15 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 netns 16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kworker/u:1 17 root 20 0 0 0 0 S 0.0 0.0 0:03.61 sync_supers 18 root 20 0 0 0 0 S 0.0 0.0 0:00.10 bdi-default 19 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kintegrityd 20 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kblockd 21 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 ata_sff 我似乎无法在任何地方findZimbra的进程列表,或者解释他们所做的事情。 在这个特定的情况下,我应该担心一个叫“b”的过程,“b”代表什么? :d
我可以杀死它吗?
点击“c”后,我得到 – “/ var / tmp / b -B -o stratum + tcp://hecks.ddosdev.com:53 -u ilovebig> …..”这让我觉得服务器有一个恶意软件。 我手动将杀死进程,>因为它似乎连接到比特币挖掘。
正如你所说,这确实是恶意软件。
有趣的是,它看到它是在zimbra用户下面植入的,也许是一个错误或低谷密码使用?
无论如何,你可能会杀死这个进程,但是你不知道其他恶意软件在附近。
我的build议是尽快重新安装服务器,如果可能(取决于您的用户数量)使用客户端导出用户数据,而不是完全复制/ opt / zimbra。
尝试使用strace或ltrace来监视它
例如
strace -p $(pgrep b)