บัญชีผู้ใช้ Linux ถูกลบและเพิ่มใหม่ในบันทึกที่ปลอดภัย

10

บรรทัดต่อไปนี้ปรากฏในsecureไฟล์บันทึกCentOS ของฉัน:

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

ฉันไม่ได้ทำสิ่งนี้และฉันเป็นคนเดียวที่รู้ว่าสามารถเข้าถึงเซิร์ฟเวอร์นี้ได้

รายการบันทึกหมายถึงอะไร มีกระบวนการที่อาจทำสิ่งนี้หรือมีคนอื่นบุกรุกระบบของฉันหรือไม่?

แก้ไข 1 - คำแนะนำในการใช้งาน:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

ฉันไม่แน่ใจว่าจะตีความผลลัพธ์นี้ได้อย่างไร ... เป็นส่วนหนึ่งของ SendMail นี้หรือไม่ฉันเชื่อว่าอาจเป็นได้ Googling ผลตอบแทนการอภิปรายSendMail "nagent" SendMail Network Agentไม่แน่ใจในเรื่องนี้ SendMail SMTP serverฉันกำลังทำงาน

แก้ไข 2 - เนื้อหาของ /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - พอร์ต 80 ถูกบล็อกบนเซิร์ฟเวอร์นี้ด้วยรายการ iptables:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

เนื้อหาของ/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

แก้ไข 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   -

แก้ไข 4

โฟลเดอร์ nagent homeถูกสร้างขึ้นด้วยsecureบันทึกเหตุการณ์ ฉันไม่รู้ว่านั่นสำคัญหรือไม่:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

การแสดงกระบวนการที่กำลังรันอยู่ps aux | lessก็มีผลลัพธ์ที่เกี่ยวข้องเช่นกัน

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...
security  centos  logging 
Roy Hinkley
แหล่งที่มา
@Begueradj - นั่นไม่ใช่บัญชีของฉัน ฉันคิดว่ามันเป็นบัญชีกระบวนการ แต่ฉันไม่รู้ ฉันไม่ได้เป็นผู้ดูแลระบบ Linux แต่อย่างใด
Roy Hinkley
1
daemons บางตัวจะสร้างบัญชี แต่โดยทั่วไปจะใช้เวลาติดตั้งเท่านั้น
Neil Smithline
ตกลงคุณติดตั้ง / ติดตั้งบางสิ่งบางอย่างในOct 27ประมาณ 21:10 หรือไม่?
@Begueradj ฉันเปลี่ยนกฎ iptable และเริ่มใหม่ แต่ฉันยังไม่ได้ติดตั้งหรือถอนการติดตั้งอะไรบางอย่างในขณะนี้
Roy Hinkley
3
หมายเลข IP 192.168.20.128 ไม่ได้เป็นส่วนหนึ่งของ WAN ทั่วไปมันเป็นหมายเลข IP ส่วนตัว
ojs

คำตอบ:

3

คุณสามารถเริ่มต้นด้วยการค้นหาว่าผู้ใช้ nagent เป็นเจ้าของไฟล์ในระบบของคุณหรือไม่:

find / -user nagent -iname "*" -exec ls -l {} \;

และคุณสามารถดูได้ว่ามีการเปิดตัวกระบวนการบางอย่างและไม่หยุดอีกครั้งโดยผู้ใช้รายนี้:

ps -ef | grep nagent

ในบันทึกของคุณคุณสามารถดูกิจกรรมของเซิร์ฟเวอร์ของคุณในวันที่ 27 ตุลาคมเวลา 21:10 น. ดังนี้:

cat /var/log/<your file> | grep "Oct 27 21:1"

แก้ไข 1: ไฟล์บางไฟล์ถูกแก้ไข / สร้างในช่วงเวลาเดียวกันของ userdel และ useradd:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

คุณสามารถอ่านnagent.confและnagent_download.sh?

แก้ไข 2: คุณสามารถตรวจสอบว่าคุณมีกระบวนการที่ฟังบนพอร์ต TCP 80:

 netstat -antp | grep 80

คุณทำการอัปเดต / อัปเกรดอาจเป็นวันที่ 27 ตุลาคม 21h หรือไม่?

แก้ไข 3:

จากnetstat command, คุณเปิดพอร์ต 80 โดยกระบวนการที่มี PID 2027: java นอกจากนี้กระบวนการนี้เปิด 8089 และ 443 ซึ่งมีการเชื่อมต่อกับเครื่อง:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

เพื่อให้มีข่าวสารเพิ่มเติมคุณสามารถทำps -ef | grep 2027และดูรายละเอียดเกี่ยวกับคำสั่งและกระบวนการหลักของมัน

จากคำสั่ง ps คุณมีเซอร์วิสชื่อ nagent ใน /etc/init.d/nagent

โดยสรุปคุณหรือใครบางคนได้ติดตั้งเอเจนต์ของซอฟต์แวร์ N-central (ไฟล์และกระบวนการตรงกับ doc ที่ทำโดย @ojs ในโซลูชันของเขา) ตอนนี้คุณต้องค้นหาว่าใครติดตั้งซอฟต์แวร์นี้อย่างไรและอย่างไร

หากต้องการทราบว่าติดตั้งแพคเกจใด: ls -ltr /var/lib/dpkg/info/*.list

คุณสามารถดู. bash_history ในโฮมไดเร็กทอรีของผู้ใช้เซิร์ฟเวอร์ของคุณ

Sorcha
แหล่งที่มา
อยากรู้ - find / -user naget -iname "*" -exec ls -l {} \;ค้นหา: `naget 'ไม่ใช่ชื่อของผู้ใช้ที่รู้จัก
Roy Hinkley
ขออภัยข้อผิดพลาดของการเป็นส่วนหนึ่งของฉันฉันแก้ไขคำตอบของฉันคุณสามารถอ่านnagentและไม่ได้naget:)
ฉันเพิ่ม Edit 1 ในคำตอบ
Sorcha
ฉันอัพเดทโพสต์แล้ว
Roy Hinkley
ฉันเพิ่ม Edit 2 ในคำตอบ
Sorcha
2

เรื่องนี้ดูเหมือนจะชี้ไปที่ผลิตภัณฑ์โดยSolarwinds N-สามารถ อย่างน้อยพวกเขาเคยใช้และแพคเกจของพวกเขาถูกตั้งชื่อ/home/nagent nagent-rhelฉันพบการอ้างอิงถึงสิ่งนี้ในเอกสารเก่าจากพวกเขา

OJS
แหล่งที่มา
1

คุณติดตั้งเนปจูนแล้วหรือยัง?

nagentอาจเป็นผู้ใช้สำหรับตัวแทนของเนปจูนเพิ่มโดยอัตโนมัติเมื่อคุณติดตั้งแพคเกจ โดยค่าเริ่มต้นผู้ใช้คือneptuneioagentแต่ distro ของคุณอาจมีการเปลี่ยนแปลงชื่อผู้ใช้

dr_
แหล่งที่มา
ไม่ - ฉันไม่รู้ว่ามันคืออะไร
Roy Hinkley
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.