Linuxユーザーアカウント「nagent」が削除され、セキュアログに再追加されました

10

CentOS secureログファイルに次の行が表示されます。

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

私はこれをしませんでしたが、このサーバーにアクセスできるのは私だけです。

これらのログエントリの意味は何ですか?これを行う可能性のあるプロセスはありますか、または他の誰かが私のシステムに侵入していますか?

編集1-実行中の提案:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

この出力の解釈方法がわかりません...?これはSendMailの一部ですか?グーグルSendMail "nagent"はについて議論する結果を返しますSendMail Network Agent。これについては確かではありません。私は走っていSendMail SMTP serverます。

編集2-/etc/nagent.confの内容

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

参考-iptablesエントリでこのサーバーのポート80がブロックされています:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

の内容/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

編集3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   -

編集4

nagentフォルダーはhomesecureログイベントで作成されました。それが重要かどうかはわかりません。

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

また、実行中のプロセスps aux | lessを表示すると、これらの関連する結果が得られます

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...
security  centos  logging 
ロイ・ヒンクリー
ソース
@Begueradj-それは私のアカウントではありません。プロセスアカウントだと思いますが、わかりません。私は決してLinux管理者ではありません。
ロイヒンクリー
1
一部のデーモンはアカウントを作成しますが、通常はインストール時にのみです。
ニール・スミスライン
OK、Oct 2721:10頃に何かをインストール/再インストールしましたか?
@Begueradjいくつかのiptableルールを変更して再起動しましたが、しばらくは何もインストールもアンインストールもしていません。
ロイヒンクリー
3
IP番号192.168.20.128は一般的なWANの一部ではなく、プライベートIP番号です
-ojs

回答:

3

ユーザーnagentがシステム上のファイルの所有者である場合、検索から開始できます。

find / -user nagent -iname "*" -exec ls -l {} \;

また、このユーザーによってプロセスが起動され、再び停止されていないかどうかを確認できます。

ps -ef | grep nagent

ログでは、10月27日10時27分頃のサーバーのアクティビティを次のように確認できます。

cat /var/log/<your file> | grep "Oct 27 21:1"

編集1:userdelとuseraddの同じ時間中にいくつかのファイルが変更/作成されました:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

あなたが読むことができるnagent.confnagent_download.sh

編集2:TCPポート80でリッスンするプロセスがあるかどうかを確認できます:

 netstat -antp | grep 80

多分27 oct 21hに更新/アップグレードをしましたか?

編集3:

から、netstat commandPID 2027:javaのプロセスによってポート80が開かれます。さらに、このプロセスは8089とマシンとの接続を持つ443を開きます:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

さらに情報を得るにはps -ef | grep 2027、コマンドとその親プロセスの詳細を確認します。

psコマンドから、/ etc / init.d / nagentにnagentという名前のサービスがあります。

結論として、あなたまたは誰かがN-centralソフトウェアのエージェントをインストールしました(ファイルとプロセスは、彼のソリューションで@ojsによって行われたドキュメントと一致します)。次に、このソフトウェアが誰とどのようにインストールされたかを検索する必要があります。

インストールされているパッケージを確認するには: ls -ltr /var/lib/dpkg/info/*.list

サーバーのユーザーのホームディレクトリで.bash_historyを確認できます。

ソルチャ
ソース
好奇心がfind / -user naget -iname "*" -exec ls -l {} \;強い- 検索:「naget」は既知のユーザーの名前ではない
ロイヒンクレー
申し訳ありませんが、私の部分のエラー、私は私の答えを編集しました、あなたは読むことができますがnagent、できませんnaget:)
回答に編集1を追加しました
ソルチャ
投稿を更新しました。
ロイヒンクリー
私は答えに編集2を追加しました
ソルチャ
2

これはSolarwinds N-ableの製品を指しているようです。少なくとも彼らは以前使用して/home/nagentおり、それらのパッケージの名前はnagent-rhel。私は彼らからの古い文書でこれへの参照を見つけました。

ojs
ソース
1

Neptuneをインストールしましたか?

nagentパッケージのインストール時に自動的に追加されるNeptuneエージェントのユーザーである可能性があります。デフォルトではユーザーはneptuneioagentですが、ディストリビューションがユーザー名を変更している可能性があります。

dr01
ソース
いいえ-それが何なのかわかりません。
ロイヒンクリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.