Account utente Linux 'nagent' cancellato e aggiunto nuovamente nel registro sicuro

Le seguenti righe appaiono nel mio securefile di registro CentOS :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

Non l'ho fatto e sono l'unico a mia conoscenza che ha accesso a questo server.

Cosa significano queste voci di registro? C'è un processo che potrebbe farlo o che qualcun altro ha violato il mio sistema?

Modifica 1 - Suggerimenti in esecuzione:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

Non sono sicuro di come interpretare questo output ...? Questa parte di SendMail, credo che potrebbe essere? Google SendMail "nagent"restituisce risultati discutendo SendMail Network Agent. Non sono sicuro su questo però. Sto correndo SendMail SMTP server.

Modifica 2 - contenuto di /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

Cordiali saluti - la porta 80 è bloccata su questo server con la voce iptables:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

I contenuti di /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Modifica 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Modifica 4

La cartella nagent in è homestata creata con gli secureeventi di registro. Non so se sia significativo:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

Anche la visualizzazione dei processi in esecuzione ps aux | lessha questi risultati correlati

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

Puoi iniziare cercando se l'utente nagent è proprietario dei file sul tuo sistema:

find / -user nagent -iname "*" -exec ls -l {} \;

E puoi vedere se qualche processo è stato avviato e non fermato di nuovo da questo utente:

ps -ef | grep nagent

Nei tuoi registri, puoi guardare l'attività del tuo server intorno al 27 ottobre alle 21:10, qualcosa del genere:

cat /var/log/<your file> | grep "Oct 27 21:1"

EDIT 1: Alcuni file sono stati modificati / creati contemporaneamente al userdel e useradd:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

Sai leggere nagent.confe nagent_download.sh?

EDIT 2: Puoi verificare se hai un processo in ascolto sulla porta TCP 80:

 netstat -antp | grep 80

Hai fatto un aggiornamento / upgrade forse il 27 ott 21h?

MODIFICA 3:

Da netstat command, hai la porta 80 aperta da un processo con PID del 2027: java. Inoltre, questo processo apre l'8089 e il 443 che ha una connessione con una macchina:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Per avere più informazioni, puoi fare ps -ef | grep 2027e vedere i dettagli sui comandi e sul relativo processo padre.

Dal tuo comando ps, hai un servizio chiamato nagent in /etc/init.d/nagent

In conclusione, tu o qualcuno avete installato l'agente del software N-central (i file e il processo corrispondono al documento creato da @ojs nella sua soluzione). Ora, devi cercare chi e come è stato installato questo software.

Per sapere quale pacchetto è stato installato: ls -ltr /var/lib/dpkg/info/*.list

Puoi guardare .bash_history nella home directory degli utenti del tuo server

Questo sembra indicare il prodotto di Solarwinds N-able . Almeno usavano /home/nagente i loro pacchetti venivano nominati nagent-rhel. Ho trovato riferimento a questo in un vecchio documento da loro.

Hai installato Nettuno ?

nagentpotrebbe essere l'utente dell'agente Neptune, aggiunto automaticamente quando si installa il pacchetto. Per impostazione predefinita, l'utente è neptuneioagent, ma la tua distribuzione potrebbe aver cambiato il nome utente.