Tài khoản người dùng Linux 'nagent' đã bị xóa và thêm lại trong nhật ký bảo mật

Các dòng sau xuất hiện trong securetệp nhật ký CentOS của tôi :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

Tôi đã không làm điều này và tôi là người duy nhất biết kiến ​​thức của mình có quyền truy cập vào máy chủ này.

Những mục nhật ký này có ý nghĩa gì? Có một quy trình có thể làm điều này, hoặc có người khác xâm nhập vào hệ thống của tôi không?

Chỉnh sửa 1 - Chạy đề xuất:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

Tôi không chắc làm thế nào để giải thích đầu ra này ...? Đây có phải là một phần của SendMail không, tôi tin rằng nó có thể là? Googling SendMail "nagent"trả về kết quả thảo luận SendMail Network Agent. Không chắc chắn về điều này mặc dù. Tôi đang chạy SendMail SMTP server.

Chỉnh sửa 2 - nội dung của /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - cổng 80 bị chặn trên máy chủ này với mục nhập iptables:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

Nội dung của /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Chỉnh sửa 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Chỉnh sửa 4

Thư mục cagent trong homeđã được tạo với các securesự kiện nhật ký. Tôi không biết nếu điều đó có ý nghĩa:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

Cũng hiển thị các quy trình đang chạy ps aux | lesscó các kết quả liên quan

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

Bạn có thể bắt đầu bằng cách tìm kiếm nếu người dùng cagent là chủ sở hữu của các tệp trên hệ thống của bạn:

find / -user nagent -iname "*" -exec ls -l {} \;

Và bạn có thể xem xét nếu một số quy trình đã được khởi chạy và người dùng này không dừng lại nữa:

ps -ef | grep nagent

Trong nhật ký của bạn, bạn có thể xem hoạt động của máy chủ của mình vào khoảng ngày 27 tháng 10 lúc 21 tháng 10, đại loại như thế này:

cat /var/log/<your file> | grep "Oct 27 21:1"

EDIT 1: Một số tệp đã được sửa đổi / tạo trong cùng thời gian của userdel và useradd:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

Bạn có thể đọc nagent.confvà nagent_download.sh?

EDIT 2: Bạn có thể xác minh nếu bạn có một quy trình lắng nghe trên cổng TCP 80:

 netstat -antp | grep 80

Bạn đã thực hiện cập nhật / nâng cấp có thể là 27 oct 21h chưa?

EDIT 3:

Từ netstat command, bạn có cổng 80 được mở bằng một quy trình với PID 2027: java. Hơn nữa, quá trình này mở 8089 và 443 có kết nối với máy:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Để có thêm infos, bạn có thể làm ps -ef | grep 2027và xem chi tiết về các lệnh và quy trình cha của nó.

Từ lệnh ps của bạn, bạn có một dịch vụ có tên nagent trong /etc/init.d/nagent

Tóm lại, bạn hoặc ai đó đã cài đặt tác nhân của phần mềm N-centre (các tệp và quy trình khớp với tài liệu được thực hiện bởi @ojs trong giải pháp của anh ấy). Bây giờ, bạn phải tìm kiếm ai và làm thế nào phần mềm này đã được cài đặt.

Để biết gói nào đã được cài đặt: ls -ltr /var/lib/dpkg/info/*.list

Bạn có thể xem .bash_history trong thư mục chính của người dùng máy chủ của bạn

Điều này dường như chỉ ra sản phẩm của Solarwinds N -able . Ít nhất họ đã từng sử dụng /home/nagentvà các gói của họ được đặt tên nagent-rhel. Tôi tìm thấy tài liệu tham khảo về điều này trong một tài liệu cũ từ họ.

Bạn đã cài đặt sao Hải Vương ?

nagentcó thể là người dùng cho tác nhân Hải Vương, được thêm tự động khi bạn cài đặt gói. Theo mặc định, người dùng là neptuneioagent, nhưng bản phân phối của bạn có thể đã thay đổi tên người dùng.