zimbra服务器被黑，未知进程 /tmp/zmcat 在挖矿

在一个春暖花开的季节，突然收到zimbra邮件服务器CPU高的告警，WTF 什么情况？马上服务器上进行查看，发现一个名叫 /tmp/zmcat 的进程导致的cpu高。

仔细查看服务器我的/tmp目录下原本是没有这样的程序的，而现在/tmp 目录下有了3个未知的文件，分别是：s.sh, l.sh , zmcat  他们都是zimbra用户创建的。

检查操作系统，并没有发现有异常登录的行为，说明这可能是某个web漏洞造成的，这一点在Google后的一篇文章里得到证实。

文章地址：Zimbra CVE-2019-9670 being actively exploited: how to clean the “zmcat” infection

原因是黑客利用这个web漏洞在服务器上逐步下载了执行程序 zmcat 进行挖矿行为，也可能在服务器其他目录留下的感染文件，详细情况请看文章。

解决办法：

方式一：打补丁，那篇文章里有说明教程，然后删除已知的一些未知文件。

方式二：重新安装新的zimbra系统，然后将数据迁移过去。

推荐用方式二，因为方式一不能保证你是完整的将未知文件都清除了，我会在之后再写一篇我的迁移过程，但在迁移之前请先打好补丁，并做好监测，避免再次被黑。

2019.5.1日更新：我已经在发现此情况的第一时间打了补丁，今天晚上想了想由于我的zimbra是8.7, 官方最新版8.8.12已经修复了这个问题，所以我直接将zimbra升级到最新版本了。

查看文件内容可以发现，3个文件均来源于IP  93.113.108.146 请加入到黑名单，拒绝访问。