首页 » 邮件服务器 » Zimbra » 正文

zimbra服务器被黑,未知进程 /tmp/zmcat 在挖矿

在一个春暖花开的季节,突然收到zimbra邮件服务器CPU高的告警,WTF 什么情况?马上服务器上进行查看,发现一个名叫 /tmp/zmcat 的进程导致的cpu高。

仔细查看服务器我的/tmp目录下原本是没有这样的程序的,而现在/tmp 目录下有了3个未知的文件,分别是:s.sh, l.sh , zmcat  他们都是zimbra用户创建的。

 

检查操作系统,并没有发现有异常登录的行为,说明这可能是某个web漏洞造成的,这一点在Google后的一篇文章里得到证实。

文章地址:Zimbra CVE-2019-9670 being actively exploited: how to clean the “zmcat” infection

 

原因是黑客利用这个web漏洞在服务器上逐步下载了执行程序 zmcat 进行挖矿行为,也可能在服务器其他目录留下的感染文件,详细情况请看文章。

解决办法:

方式一:打补丁,那篇文章里有说明教程,然后删除已知的一些未知文件。

方式二:重新安装新的zimbra系统,然后将数据迁移过去。

推荐用方式二,因为方式一不能保证你是完整的将未知文件都清除了,我会在之后再写一篇我的迁移过程,但在迁移之前请先打好补丁,并做好监测,避免再次被黑。

2019.5.1日更新:我已经在发现此情况的第一时间打了补丁,今天晚上想了想由于我的zimbra是8.7, 官方最新版8.8.12已经修复了这个问题,所以我直接将zimbra升级到最新版本了。

 

查看文件内容可以发现,3个文件均来源于IP  93.113.108.146 请加入到黑名单,拒绝访问。

 

 

 

 

本文共 1 个回复

  • 匿名 2019/05/17 18:45

    test

发表评论