secure
我的 CentOS日志文件中出现以下几行:
Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash
我没有这样做,而且据我所知,我是唯一有权访问该服务器的人。
这些日志条目是什么意思?是否有进程可能执行此操作,或者是否有其他人闯入了我的系统?
编辑1-运行建议:
find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18 2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18 2010 plugins
total 0
total 0
我不确定如何解释此输出...?这是 SendMail 的一部分吗?我相信可能是?谷歌搜索SendMail "nagent"
返回的结果讨论了SendMail Network Agent
。但对此不确定。我正在运行SendMail SMTP server
。
编辑 2 - /etc/nagent.conf 的内容
[main]
logfilename=/var/log/n-central/nagent.log
loglevel=2
homedir=/home/nagent/
thread_limitation=50
poll_delay=1
datablock_size=20
[soap]
Server=127.0.0.1
Port=80
Protocol=http
ApplianceID=1
Server_ro=no
仅供参考-该服务器上的端口 80 已被 iptables 条目阻止:
-A INPUT -p tcp -m tcp --dport 80 -j DROP
内容/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh
:
#!/bin/bash
# Exit on failure --------------------------------------------------------------
function exitOnFailure {
echo "" >> $LOGGER
echo "Download failed" >> $LOGGER
echo "==================================== END DOWNLOAD ================================" >> $LOGGER
exit 1
}
# Show usage -------------------------------------------------------------------
function usage {
echo "" >> $LOGGER
echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER
exitOnFailure
}
# Verify given arguments -------------------------------------------------------
function verifyArguments {
if [ -z "$URL" ]
then
echo "No download url provided" >> $LOGGER
usage
fi
if [ -z "$INSTALLER" ]
then
echo "No installer name provided" >> $LOGGER
usage
fi
if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C
编辑3
netstat -antp | grep 80
tcp 0 0 0.0.0.0:57808 0.0.0.0:* LISTEN 2190/rpc.statd
tcp 0 0 ::ffff:127.0.0.1:8005 :::* LISTEN 2027/java
tcp 0 0 :::8009 :::* LISTEN 2027/java
tcp 0 0 :::80 :::* LISTEN 2027/java
tcp 0 0 ::ffff:127.0.0.1:58580 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:127.0.0.1:58380 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:192.168.1.18:443 ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java
tcp 0 0 ::ffff:127.0.0.1:58280 ::ffff:127.0.0.1:3306 TIME_WAIT -
tcp 0 0 ::ffff:127.0.0.1:58480 ::ffff:127.0.0.1:3306 TIME_WAIT -
编辑4
nagent 文件夹home
是使用secure
日志事件创建的。我不知道这是否重要:
drwx------. 6 nagent nagent 4096 Oct 27 21:11 nagent
显示正在运行的进程也ps aux | less
有这些相关结果
...
root 7393 0.0 0.0 108432 1176 ? S Oct27 0:00 /bin/sh /etc/init.d/nagent start
root 7396 0.0 0.0 108164 1404 ? S Oct27 0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root 7397 0.0 0.0 219960 7100 ? Sl Oct27 0:15 nagent -f /home/nagent/nagent.conf
...
答案1
您可以先搜索用户代理是否是您的系统上的文件的所有者:
find / -user nagent -iname "*" -exec ls -l {} \;
并且您可以查看某个进程是否已启动且未被该用户再次停止:
ps -ef | grep nagent
在您的日志中,您可以查看 10 月 27 日 21:10 左右服务器的活动,如下所示:
cat /var/log/<your file> | grep "Oct 27 21:1"
编辑1:在 userdel 和 useradd 的同时修改/创建了一些文件:
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf -rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf.Save -rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh -rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
你能读懂nagent.conf
吗nagent_download.sh
?
编辑2:您能否验证是否有一个在 TCP 端口 80 上监听的进程:
netstat -antp | grep 80
您是否已进行过更新/升级,可能是 10 月 27 日 21 点?
编辑3:
从中netstat command
,您可以看到 PID 为 2027:java 的进程打开了端口 80。此外,此进程还打开了 8089 和 443,它们与一台机器建立了连接:
::ffff:192.168.1.18:443 ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java
要获取更多信息,您可以执行ps -ef | grep 2027
并查看有关命令及其父进程的详细信息。
从 ps 命令中,您可以在 /etc/init.d/nagent 中找到一个名为 nagent 的服务
总之,您或其他人安装了 N-central 软件的代理(文件和过程与 @ojs 在其解决方案中完成的文档相匹配)。现在,您必须搜索谁安装了此软件以及如何安装。
要了解已安装的包:
ls -ltr /var/lib/dpkg/info/*.list
您可以在服务器用户的主目录中查看 .bash_history
答案2
这似乎指向产品Solarwinds N-able。至少他们曾经使用过,/home/nagent
并且他们的软件包有名称nagent-rhel
。我在一篇旧文件从他们。
答案3
你安装了吗海王星?
nagent
可能是 Neptune 代理的用户,安装包时会自动添加。默认情况下,用户是neptuneioagent
,但您的发行版可能已更改用户名。