Linux kullanıcı hesabı 'nagent' silindi ve güvenli günlüğe yeniden eklendi

CentOS securegünlük dosyamda aşağıdaki satırlar görünüyor :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

Bunu yapmadım ve bilgime bu sunucuya erişimi olan tek kişi benim.

Bu günlük girişleri ne anlama geliyor? Bunu yapabilecek bir süreç var mı, yoksa sistemime başka biri girmiş mi?

Düzenle 1 - Çalıştırma önerileri:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

Bu çıktıyı nasıl yorumlayacağımdan emin değilim ...? Bu SendMail'in bir parçası mı, olabileceğine inanıyorum? Google SendMail "nagent", tartışılan sonuçları döndürür SendMail Network Agent. Bu konuda emin değilim. Ben koşuyorum SendMail SMTP server.

Edit 2 - /etc/nagent.conf içeriği

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - port 80 bu sunucuda iptables girişi ile engellenir:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

İçeriği /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Düzenle 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Düzenle 4

İçindeki nagent klasörü günlük olaylarıyla homeoluşturuldu secure. Bunun önemli olup olmadığını bilmiyorum:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

Ayrıca çalışan süreçleri görüntülemek aşağıdaki ps aux | lessilgili sonuçlara sahiptir

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

Kullanıcı nagent sisteminizdeki dosyaların sahibi ise aramaya başlayabilirsiniz:

find / -user nagent -iname "*" -exec ls -l {} \;

Ayrıca, bazı işlemlerin başlatılıp başlatılmadığına ve bu kullanıcı tarafından tekrar durdurulmadığına bakabilirsiniz:

ps -ef | grep nagent

Günlük dosyalarınızda, sunucunuzun 27 Ekim 21:10 civarındaki etkinliğine bakabilirsiniz:

cat /var/log/<your file> | grep "Oct 27 21:1"

DÜZENLEME 1: Bazı dosyalar userdel ve useradd ile aynı zamanda değiştirildi / oluşturuldu:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

Eğer okuyabilir nagent.confve nagent_download.sh?

DÜZENLEME 2: 80 numaralı TCP bağlantı noktasını dinleyen bir işleminiz olup olmadığını doğrulayabilir misiniz?

 netstat -antp | grep 80

Belki bir güncelleme / yükseltme yaptınız mı?

DÜZENLEME 3:

İtibaren, netstat commandbağlantı noktası 80 2027 PID ile bir işlem tarafından açıldı: java. Dahası, bu işlem bir makine ile bağlantısı olan 8089 ve 443'ü açar:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Daha fazla bilgi almak ps -ef | grep 2027için, komutlar ve üst işlemi hakkında ayrıntılı bilgi edinebilir ve görebilirsiniz.

Ps komutunuzdan, /etc/init.d/nagent içinde nagent adlı bir hizmetiniz var

Sonuç olarak, siz veya birileri N-merkezi yazılımın ajanını yüklediniz (dosyalar ve süreç çözümünde @ojs tarafından yapılan dokümanla eşleşir). Şimdi, bu yazılımın kimin ve nasıl kurulduğunu aramalısınız.

Hangi paketin kurulu olduğunu bilmek için: ls -ltr /var/lib/dpkg/info/*.list

Sunucunuzun kullanıcılarının ana dizininde .bash_history dosyasına bakabilirsiniz.

Bu Solarwinds N-mümkün ürün işaret ediyor gibi görünüyor . En azından /home/nagenteskiden kullanırlardı ve paketleri adlandırılırdı nagent-rhel. Onlardan eski bir belgede buna referans buldum .

Eğer yüklediniz mi Neptün ?

nagentpaketi yüklediğinizde otomatik olarak eklenen Neptune aracısının kullanıcısı olabilir. Varsayılan olarak kullanıcıdır neptuneioagent, ancak dağıtımınız kullanıcı adını değiştirmiş olabilir.