Linux 사용자 계정 'nagent'가 삭제되고 보안 로그에 다시 추가됨

10

CentOS secure로그 파일 에 다음 줄이 나타납니다 .

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

나는 이것을하지 않았 으며이 서버에 액세스 할 수있는 유일한 사람입니다.

이 로그 항목은 무엇을 의미합니까? 이 작업을 수행 할 수있는 프로세스가 있습니까, 아니면 다른 사람이 내 시스템에 침입 했습니까?

편집 1-제안 실행 :

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

이 출력을 해석하는 방법을 잘 모르겠습니다 ...? 이 부분은 SendMail의 일부입니까? 인터넷 검색 SendMail "nagent"은에 대해 토론 한 결과를 반환합니다 SendMail Network Agent. 그래도 확실하지 않습니다. 나는 달리고있다 SendMail SMTP server.

편집 2-/etc/nagent.conf의 내용

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

참고-포트 80은 iptables 항목으로이 서버에서 차단됩니다.

-A INPUT -p tcp -m tcp --dport 80 -j DROP

내용 /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

편집 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   -

편집 4

nagent 폴더가 로그 이벤트 home와 함께 작성되었습니다 secure. 그것이 중요한지 모르겠습니다.

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

실행중인 프로세스 ps aux | less를 표시 하면 이와 관련된 결과가 나타납니다.

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...
security  centos  logging 
로이 힝 클리
소스
@Begueradj-내 계정이 아닙니다. 프로세스 계정이라고 생각하지만 모르겠습니다. 나는 리눅스 관리자가 아닙니다.
Roy Hinkley
1
일부 데몬은 계정을 만들지 만 일반적으로 설치시에만 사용합니다.
Neil Smithline
좋아, Oct 2721:10 쯤에 무언가를 설치 / 재설치 했습니까?
@Begueradj 일부 iptable 규칙을 변경하고 다시 시작했지만 지금은 일정 시간 동안 아무것도 설치하거나 제거하지 않았습니다.
Roy Hinkley
3
IP 번호 192.168.20.128은 일반 WAN의 일부가 아니며 개인 IP 번호입니다.
ojs

답변:

3

사용자 nagent가 시스템의 파일 소유자 인 경우 검색으로 시작할 수 있습니다.

find / -user nagent -iname "*" -exec ls -l {} \;

그리고 일부 프로세스가 시작되었고이 사용자에 의해 다시 중지되지 않았는지 확인할 수 있습니다.

ps -ef | grep nagent

로그에서 다음과 같이 10 월 27 일 21:10에 서버 활동을 볼 수 있습니다.

cat /var/log/<your file> | grep "Oct 27 21:1"

편집 1 : userdel 및 useradd와 동시에 일부 파일이 수정 / 생성되었습니다.

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

당신은 읽을 수 nagent.confnagent_download.sh?

편집 2 : TCP 포트 80에서 수신 대기하는 프로세스가 있는지 확인할 수 있습니까?

 netstat -antp | grep 80

27 10 월 21 일 업데이트 / 업그레이드를 했습니까?

편집 3 :

에서 netstat commandPID가 2027 : java 인 프로세스에 의해 포트 80이 열립니다. 또한이 프로세스는 기계와 연결되는 8089 및 443을 엽니 다.

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

더 많은 정보를 얻으려면 ps -ef | grep 2027명령과 해당 명령의 상위 프로세스에 대한 세부 정보를 확인하십시오.

ps 명령에서 /etc/init.d/nagent에 nagent라는 서비스가 있습니다.

결론적으로, 귀하 또는 누군가 N-central 소프트웨어의 에이전트를 설치했습니다 (파일 및 프로세스는 솔루션에서 @ojs가 수행 한 문서와 일치합니다). 이제이 소프트웨어가 설치된 사람과 방법을 검색해야합니다.

설치된 패키지를 확인하려면 다음을 수행하십시오. ls -ltr /var/lib/dpkg/info/*.list

서버 사용자의 홈 디렉토리에서 .bash_history를 볼 수 있습니다

소르 차
소스
궁금한- find / -user naget -iname "*" -exec ls -l {} \;찾기 :`naget '은 알려진 사용자의 이름이 아닙니다
Roy Hinkley
죄송합니다, 내 부분의 오류, 내 대답을 편집했습니다. 읽을 수는 nagent없습니다 naget:)
답변에 편집 1을 추가했습니다
Sorcha
게시물을 업데이트했습니다.
Roy Hinkley
답변에 편집 2를 추가했습니다
Sorcha
2

이것은 Solarwinds N-able의 제품을 가리키는 것으로 보입니다 . 적어도 그것들은 사용 /home/nagent하고 패키지 이름은 nagent-rhel. 나는 그들로부터 오래된 문서 에서 이것을 언급 했다.

ojs
소스
1

Neptune 을 설치 했습니까 ?

nagent패키지를 설치할 때 자동으로 추가되는 Neptune 에이전트의 사용자 일 수 있습니다. 기본적으로 사용자는입니다 neptuneioagent. 그러나 배포판에서 사용자 이름이 변경되었을 수 있습니다.

dr_
소스
아니요-그게 뭔지 모르겠습니다.
Roy Hinkley
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.