लिनक्स उपयोगकर्ता खाता 'नागेंट' हटा दिया गया और सुरक्षित लॉग में फिर से जोड़ा गया

निम्नलिखित लाइनें मेरी CentOS secureलॉग फ़ाइल में दिखाई देती हैं :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

मैंने ऐसा नहीं किया, और मैं अपने ज्ञान का एकमात्र ऐसा व्यक्ति हूँ जिसकी इस सर्वर तक पहुँच है।

इन लॉग प्रविष्टियों का क्या मतलब है? क्या कोई प्रक्रिया है जो ऐसा कर सकती है, या किसी और ने मेरे सिस्टम में तोड़ दिया है?

संपादित 1 - चल रहे सुझाव:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

मुझे यकीन नहीं है कि इस आउटपुट की व्याख्या कैसे करें ...? क्या यह SendMail का हिस्सा है, मेरा मानना ​​है कि यह हो सकता है? Googling के SendMail "nagent"परिणाम चर्चा में आते हैं SendMail Network Agent। हालांकि इस पर निश्चित नहीं है। मैं दौड़ रहा हूं SendMail SMTP server।

2 संपादित करें - /etc/nagent.conf की सामग्री

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI करें - पोर्ट 80 इस सर्वर पर iptables प्रविष्टि के साथ अवरुद्ध है:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

की सामग्री /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

संपादित करें 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

संपादित करें ४

लॉग इन इवेंट homeके साथ नेगेंट फ़ोल्डर बनाया गया था secure। मुझे नहीं पता कि यह महत्वपूर्ण है:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

साथ ही चल रही प्रक्रियाओं ps aux | lessको प्रदर्शित करने के इन संबंधित परिणाम हैं

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

यदि उपयोगकर्ता nagent आपके सिस्टम पर फ़ाइलों का स्वामी है, तो आप खोज द्वारा शुरू कर सकते हैं:

find / -user nagent -iname "*" -exec ls -l {} \;

और आप देख सकते हैं कि क्या कुछ प्रक्रिया शुरू की गई है और इस उपयोगकर्ता द्वारा फिर से बंद नहीं की गई है:

ps -ef | grep nagent

आपके लॉग में, आप 27 अक्टूबर 21:10 के आसपास अपने सर्वर की गतिविधि को देख सकते हैं, कुछ इस तरह से:

cat /var/log/<your file> | grep "Oct 27 21:1"

EDIT 1: कुछ फ़ाइलों को यूजरडेल और यूजरड के एक ही समय में संशोधित / बनाया गया है:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

क्या आप पढ़ सकते हैं nagent.confऔर nagent_download.sh?

संपादित करें 2: क्या आप सत्यापित कर सकते हैं कि आपके पास एक प्रक्रिया है जो टीसीपी पोर्ट 80 पर सुनती है:

 netstat -antp | grep 80

क्या आपने अपडेट किया है / अपग्रेड हो सकता है कि 27 अक्टूबर 21 ह

संपादित करें 3:

से netstat commandजावा:, आप पोर्ट 80 2027 की पीआईडी के साथ एक प्रक्रिया द्वारा खोला है। इसके अलावा, यह प्रक्रिया 8089 और 443 को खोलती है जिसका एक मशीन के साथ संबंध है:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

अधिक ps -ef | grep 2027जानकारी के लिए, आप कर सकते हैं और आदेशों और उस की मूल प्रक्रिया पर विवरण देख सकते हैं ।

अपने ps कमांड से, आपके पास /etc/init.d/nagent में nagent नाम की एक सेवा है

अंत में, आपने या किसी ने एन-सेंट्रल सॉफ्टवेयर के एजेंट को स्थापित किया है (फाइलें और प्रक्रिया उसके समाधान में @oj द्वारा किए गए डॉक्टर के साथ मेल खाती हैं)। अब, आपको यह खोजना होगा कि यह सॉफ़्टवेयर किसने और कैसे इंस्टॉल किया है।

यह जानने के लिए कि कौन सा पैकेज स्थापित किया गया है: ls -ltr /var/lib/dpkg/info/*.list

आप अपने सर्वर के उपयोगकर्ताओं की होम निर्देशिका में .bash_history देख सकते हैं

यह Solarwinds N- सक्षम द्वारा उत्पाद की ओर इशारा करता है । कम से कम वे उपयोग करते /home/nagentथे और उनके पैकेज का नाम दिया गया था nagent-rhel। मुझे उनसे एक पुराने दस्तावेज़ में इसका संदर्भ मिला ।

क्या आपने नेप्च्यून स्थापित किया ?

nagentजब आप पैकेज को स्थापित करते हैं, तो नेप्च्यून एजेंट के लिए उपयोगकर्ता हो सकता है। डिफ़ॉल्ट रूप से उपयोगकर्ता है neptuneioagent, लेकिन आपके डिस्ट्रो ने उपयोगकर्ता नाम बदल दिया है।