Das Linux-Benutzerkonto 'nagent' wurde gelöscht und im sicheren Protokoll erneut hinzugefügt

10

Die folgenden Zeilen werden in meiner CentOS- secureProtokolldatei angezeigt:

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

Ich habe dies nicht getan und bin meines Wissens der einzige, der Zugriff auf diesen Server hat.

Was bedeuten diese Protokolleinträge? Gibt es einen Prozess, der dies tun könnte, oder ist jemand anderes in mein System eingebrochen?

Bearbeiten 1 - Laufende Vorschläge:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

Ich bin nicht sicher, wie ich diese Ausgabe interpretieren soll ...? Ist das ein Teil von SendMail, glaube ich? Googeln SendMail "nagent"liefert diskutierende Ergebnisse SendMail Network Agent. Ich bin mir jedoch nicht sicher. Ich renne SendMail SMTP server.

Bearbeiten Sie 2 - Inhalt von /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - Port 80 ist auf diesem Server mit dem Eintrag iptables blockiert:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

Der Inhalt von /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Bearbeiten 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Bearbeiten 4

Der Ordner nagent in homewurde mit den secureProtokollereignissen erstellt. Ich weiß nicht, ob das wichtig ist:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

Auch das Anzeigen laufender Prozesse ps aux | lesshat diese verwandten Ergebnisse

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...
Roy Hinkley
quelle
@Begueradj - Das ist nicht mein Konto. Ich denke, dass es ein Prozesskonto ist, aber ich weiß es nicht. Ich bin in keiner Weise ein Linux-Administrator.
Roy Hinkley
1
Einige Daemons erstellen Konten, jedoch im Allgemeinen nur zur Installationszeit.
Neil Smithline
Ok, haben Sie Oct 27gegen 21:10 Uhr etwas installiert / neu installiert ?
@Begueradj Ich habe einige iptable-Regeln geändert und neu gestartet, aber seit einiger Zeit habe ich nichts mehr installiert oder deinstalliert.
Roy Hinkley
3
Die IP-Nummer 192.168.20.128 ist kein Teil des allgemeinen WAN, sondern eine private IP-Nummer
ojs

Antworten:

3

Sie können zunächst suchen, ob der Benutzer nagent Eigentümer von Dateien auf Ihrem System ist:

find / -user nagent -iname "*" -exec ls -l {} \;

Und Sie können überprüfen, ob ein Prozess von diesem Benutzer gestartet und nicht erneut gestoppt wurde:

ps -ef | grep nagent

In Ihren Protokollen können Sie die Aktivität Ihres Servers um den 27. Oktober um 21:10 Uhr anzeigen.

cat /var/log/<your file> | grep "Oct 27 21:1"

BEARBEITEN 1: Einige Dateien wurden zur gleichen Zeit von userdel und useradd geändert / erstellt:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

Kannst du lesen nagent.confund nagent_download.sh?


EDIT 2: Können Sie überprüfen, ob Sie einen Prozess haben, der den TCP-Port 80 überwacht:

 netstat -antp | grep 80

Haben Sie vielleicht am 27. Oktober 21h ein Update / Upgrade durchgeführt?


EDIT 3:

Von der netstat commandhaben Sie den Port 80 durch einen Prozess mit der PID von 2027: Java geöffnet. Darüber hinaus öffnet dieser Prozess den 8089 und den 443, die eine Verbindung mit einer Maschine haben:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Um weitere Informationen zu erhalten, können Sie ps -ef | grep 2027Details zu den Befehlen und dem übergeordneten Prozess ausführen und anzeigen.

In Ihrem ps-Befehl haben Sie einen Dienst namens nagent in /etc/init.d/nagent

Zusammenfassend haben Sie oder jemand den Agenten der N-Central-Software installiert (die Dateien und Prozesse stimmen mit dem Dokument überein, das @ojs in seiner Lösung erstellt hat). Jetzt müssen Sie suchen, wer und wie diese Software installiert wurde.

So wissen Sie, welches Paket installiert wurde: ls -ltr /var/lib/dpkg/info/*.list

Sie können die .bash_history im Home-Verzeichnis der Benutzer Ihres Servers anzeigen

Sorcha
quelle
Neugierig - find / -user naget -iname "*" -exec ls -l {} \;finden Sie: "Naget" ist nicht der Name eines bekannten Benutzers
Roy Hinkley
Entschuldigung, ein Fehler von meiner Seite, ich habe meine Antwort bearbeitet, Sie können lesen nagentund nicht naget:)
Ich habe Edit 1 in der Antwort hinzugefügt
Sorcha
Ich habe meinen Beitrag aktualisiert.
Roy Hinkley
Ich habe Edit 2 in der Antwort hinzugefügt
Sorcha
2

Dies scheint auf ein Produkt von Solarwinds N-able zu verweisen . Zumindest benutzten sie früher /home/nagentund ihre Pakete wurden benannt nagent-rhel. Ich fand einen Hinweis darauf in einem alten Dokument von ihnen.

ojs
quelle
1

Hast du Neptune installiert ?

nagentMöglicherweise ist er der Benutzer des Neptune-Agenten, der bei der Installation des Pakets automatisch hinzugefügt wird. Standardmäßig ist der Benutzer neptuneioagent, aber Ihre Distribution hat möglicherweise den Benutzernamen geändert.

DR_
quelle
Nein - ich weiß nicht was das ist.
Roy Hinkley