Die folgenden Zeilen werden in meiner CentOS- secure
Protokolldatei angezeigt:
Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash
Ich habe dies nicht getan und bin meines Wissens der einzige, der Zugriff auf diesen Server hat.
Was bedeuten diese Protokolleinträge? Gibt es einen Prozess, der dies tun könnte, oder ist jemand anderes in mein System eingebrochen?
Bearbeiten 1 - Laufende Vorschläge:
find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18 2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18 2010 plugins
total 0
total 0
Ich bin nicht sicher, wie ich diese Ausgabe interpretieren soll ...? Ist das ein Teil von SendMail, glaube ich? Googeln SendMail "nagent"
liefert diskutierende Ergebnisse SendMail Network Agent
. Ich bin mir jedoch nicht sicher. Ich renne SendMail SMTP server
.
Bearbeiten Sie 2 - Inhalt von /etc/nagent.conf
[main]
logfilename=/var/log/n-central/nagent.log
loglevel=2
homedir=/home/nagent/
thread_limitation=50
poll_delay=1
datablock_size=20
[soap]
Server=127.0.0.1
Port=80
Protocol=http
ApplianceID=1
Server_ro=no
FYI - Port 80 ist auf diesem Server mit dem Eintrag iptables blockiert:
-A INPUT -p tcp -m tcp --dport 80 -j DROP
Der Inhalt von /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh
:
#!/bin/bash
# Exit on failure --------------------------------------------------------------
function exitOnFailure {
echo "" >> $LOGGER
echo "Download failed" >> $LOGGER
echo "==================================== END DOWNLOAD ================================" >> $LOGGER
exit 1
}
# Show usage -------------------------------------------------------------------
function usage {
echo "" >> $LOGGER
echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER
exitOnFailure
}
# Verify given arguments -------------------------------------------------------
function verifyArguments {
if [ -z "$URL" ]
then
echo "No download url provided" >> $LOGGER
usage
fi
if [ -z "$INSTALLER" ]
then
echo "No installer name provided" >> $LOGGER
usage
fi
if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C
Bearbeiten 3
netstat -antp | grep 80
tcp 0 0 0.0.0.0:57808 0.0.0.0:* LISTEN 2190/rpc.statd
tcp 0 0 ::ffff:127.0.0.1:8005 :::* LISTEN 2027/java
tcp 0 0 :::8009 :::* LISTEN 2027/java
tcp 0 0 :::80 :::* LISTEN 2027/java
tcp 0 0 ::ffff:127.0.0.1:58580 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:127.0.0.1:58380 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:192.168.1.18:443 ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java
tcp 0 0 ::ffff:127.0.0.1:58280 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:127.0.0.1:58480 ::ffff:127.0.0.1:3306 TIME_WAIT -
Bearbeiten 4
Der Ordner nagent in home
wurde mit den secure
Protokollereignissen erstellt. Ich weiß nicht, ob das wichtig ist:
drwx------. 6 nagent nagent 4096 Oct 27 21:11 nagent
Auch das Anzeigen laufender Prozesse ps aux | less
hat diese verwandten Ergebnisse
...
root 7393 0.0 0.0 108432 1176 ? S Oct27 0:00 /bin/sh /etc/init.d/nagent start
root 7396 0.0 0.0 108164 1404 ? S Oct27 0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root 7397 0.0 0.0 219960 7100 ? Sl Oct27 0:15 nagent -f /home/nagent/nagent.conf
...
Oct 27
gegen 21:10 Uhr etwas installiert / neu installiert ?Antworten:
Sie können zunächst suchen, ob der Benutzer nagent Eigentümer von Dateien auf Ihrem System ist:
Und Sie können überprüfen, ob ein Prozess von diesem Benutzer gestartet und nicht erneut gestoppt wurde:
In Ihren Protokollen können Sie die Aktivität Ihres Servers um den 27. Oktober um 21:10 Uhr anzeigen.
BEARBEITEN 1: Einige Dateien wurden zur gleichen Zeit von userdel und useradd geändert / erstellt:
Kannst du lesen
nagent.conf
undnagent_download.sh
?EDIT 2: Können Sie überprüfen, ob Sie einen Prozess haben, der den TCP-Port 80 überwacht:
Haben Sie vielleicht am 27. Oktober 21h ein Update / Upgrade durchgeführt?
EDIT 3:
Von der
netstat command
haben Sie den Port 80 durch einen Prozess mit der PID von 2027: Java geöffnet. Darüber hinaus öffnet dieser Prozess den 8089 und den 443, die eine Verbindung mit einer Maschine haben:Um weitere Informationen zu erhalten, können Sie
ps -ef | grep 2027
Details zu den Befehlen und dem übergeordneten Prozess ausführen und anzeigen.In Ihrem ps-Befehl haben Sie einen Dienst namens nagent in /etc/init.d/nagent
Zusammenfassend haben Sie oder jemand den Agenten der N-Central-Software installiert (die Dateien und Prozesse stimmen mit dem Dokument überein, das @ojs in seiner Lösung erstellt hat). Jetzt müssen Sie suchen, wer und wie diese Software installiert wurde.
So wissen Sie, welches Paket installiert wurde:
ls -ltr /var/lib/dpkg/info/*.list
Sie können die .bash_history im Home-Verzeichnis der Benutzer Ihres Servers anzeigen
quelle
find / -user naget -iname "*" -exec ls -l {} \;
finden Sie: "Naget" ist nicht der Name eines bekannten Benutzersnagent
und nichtnaget
:)Dies scheint auf ein Produkt von Solarwinds N-able zu verweisen . Zumindest benutzten sie früher
/home/nagent
und ihre Pakete wurden benanntnagent-rhel
. Ich fand einen Hinweis darauf in einem alten Dokument von ihnen.quelle
Hast du Neptune installiert ?
nagent
Möglicherweise ist er der Benutzer des Neptune-Agenten, der bei der Installation des Pakets automatisch hinzugefügt wird. Standardmäßig ist der Benutzerneptuneioagent
, aber Ihre Distribution hat möglicherweise den Benutzernamen geändert.quelle