Akun pengguna Linux 'nagent' dihapus dan ditambahkan kembali dalam log yang aman

Baris berikut ini muncul di securefile log CentOS saya :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

Saya tidak melakukan ini, dan saya satu-satunya yang sepengetahuan saya yang memiliki akses ke server ini.

Apa artinya entri log ini? Apakah ada proses yang mungkin melakukan ini, atau ada orang lain masuk ke sistem saya?

Sunting 1 - Saran berjalan:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

Saya tidak yakin bagaimana menafsirkan output ini ...? Apakah ini bagian dari SendMail, saya percaya itu mungkin? Googling SendMail "nagent"mengembalikan hasil diskusi SendMail Network Agent. Tidak yakin tentang ini. Saya sedang berlari SendMail SMTP server.

Edit 2 - isi /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - port 80 diblokir di server ini dengan entri iptables:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

Isi dari /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Edit 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Edit 4

Folder nagent di homedibuat dengan secureperistiwa log. Saya tidak tahu apakah itu penting:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

Juga menampilkan proses yang sedang berjalan ps aux | lessmemiliki hasil terkait ini

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

Anda bisa mulai dengan mencari jika pengguna nagent adalah pemilik file di sistem Anda:

find / -user nagent -iname "*" -exec ls -l {} \;

Dan Anda dapat melihat apakah beberapa proses telah diluncurkan dan tidak lagi dihentikan oleh pengguna ini:

ps -ef | grep nagent

Di log Anda, Anda dapat melihat aktivitas server Anda sekitar 27 Oktober 21:10, kira-kira seperti ini:

cat /var/log/<your file> | grep "Oct 27 21:1"

EDIT 1: Beberapa file telah dimodifikasi / dibuat pada saat yang sama dari userdel dan useradd:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

Bisakah kamu membaca nagent.confdan nagent_download.sh?

EDIT 2: Dapatkah Anda memverifikasi jika Anda memiliki proses yang mendengarkan pada port TCP 80:

 netstat -antp | grep 80

Sudahkah Anda melakukan pembaruan / peningkatan, mungkin tanggal 27 Oktober 21h?

EDIT 3:

Dari netstat command, Anda memiliki port 80 yang dibuka oleh proses dengan PID 2027: java. Selain itu, proses ini membuka 8089 dan 443 yang memiliki koneksi dengan mesin:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Untuk memiliki lebih banyak info, Anda dapat melakukan ps -ef | grep 2027dan melihat detail pada perintah dan proses induknya.

Dari perintah ps Anda, Anda memiliki layanan bernama nagent di /etc/init.d/nagent

Kesimpulannya, Anda atau seseorang telah menginstal agen perangkat lunak N-central (file dan prosesnya sesuai dengan dokumen yang dilakukan oleh @ojs dalam solusinya). Sekarang, Anda harus mencari siapa dan bagaimana perangkat lunak ini diinstal.

Untuk mengetahui paket mana yang telah diinstal: ls -ltr /var/lib/dpkg/info/*.list

Anda dapat melihat .bash_history di direktori home pengguna server Anda

Ini sepertinya menunjuk ke produk oleh Solarwinds N-mampu . Setidaknya mereka biasa menggunakan /home/nagentdan paket mereka diberi nama nagent-rhel. Saya menemukan referensi untuk ini di dokumen lama dari mereka.

Apakah Anda menginstal Neptunus ?

nagentmungkin pengguna untuk agen Neptunus, ditambahkan secara otomatis ketika Anda menginstal paket. Secara default pengguna adalah neptuneioagent, tetapi distro Anda mungkin telah mengubah nama pengguna.