লিনাক্স ব্যবহারকারী অ্যাকাউন্ট 'নাগেন্ট' মুছে ফেলা হয়েছে এবং সুরক্ষিত লগটিতে পুনরায় যুক্ত হয়েছে

নিম্নলিখিত লাইনগুলি আমার সেন্টস secureলগ ফাইলে উপস্থিত হবে:

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

আমি এটি করিনি, এবং আমার জ্ঞানের একমাত্র আমি এই সার্ভারটিতে অ্যাক্সেস পেয়েছি।

এই লগ এন্ট্রি মানে কি? এমন কোনও প্রক্রিয়া রয়েছে যা এটি করতে পারে বা অন্য কেউ আমার সিস্টেমে প্রবেশ করেছে?

সম্পাদনা 1 - চলমান পরামর্শ:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

এই আউটপুটটি কীভাবে ব্যাখ্যা করবেন আমি নিশ্চিত নই ...? এটি কি সেন্ডমেলের অংশ, আমি বিশ্বাস করি এটি হতে পারে? গুগলিং SendMail "nagent"আলোচনার ফলাফল নিয়ে আসে SendMail Network Agent। যদিও এটি সম্পর্কে নির্দিষ্ট নয়। আমি দৌড়াচ্ছি SendMail SMTP server।

2 সম্পাদনা করুন - /etc/nagent.conf এর বিষয়বস্তু

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI - 80 পোর্ট iptables এন্ট্রি সহ এই সার্ভারে অবরুদ্ধ:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

বিষয়বস্তু /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

সম্পাদনা 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

সম্পাদনা 4

লগ ইভেন্টগুলি homeসহ নাগেন্ট ফোল্ডারটি তৈরি করা হয়েছিল secure। আমি তা জানি না কি তা উল্লেখযোগ্য:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

চলমান প্রক্রিয়াগুলি প্রদর্শনের ps aux | lessক্ষেত্রেও এই সম্পর্কিত ফলাফল রয়েছে

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

ব্যবহারকারী নাগেন্ট যদি আপনার সিস্টেমে ফাইলগুলির মালিক হন তবে আপনি অনুসন্ধানের মাধ্যমে শুরু করতে পারেন:

find / -user nagent -iname "*" -exec ls -l {} \;

এবং আপনি দেখতে পারেন যে কোনও প্রক্রিয়া চালু হয়েছে এবং এই ব্যবহারকারীর দ্বারা আবার বন্ধ হয়নি:

ps -ef | grep nagent

আপনার লগগুলিতে, আপনি 27 অক্টোবর 21:10 এর আশেপাশে আপনার সার্ভারের ক্রিয়াকলাপটি দেখে নিতে পারেন:

cat /var/log/<your file> | grep "Oct 27 21:1"

সম্পাদনা 1: কিছু ফাইল একই সময়ে ইউরডেল এবং ব্যবহারের সময় সংশোধন / তৈরি করা হয়েছে:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

আপনি পড়তে পারেন nagent.confএবং nagent_download.sh?

সম্পাদনা 2: টিসিপি পোর্ট 80 শুনলে এমন কোনও প্রক্রিয়া থাকলে আপনি যাচাই করতে পারেন:

 netstat -antp | grep 80

আপনি কি কোনও আপডেট / আপগ্রেড করেছেন সম্ভবত 27 অক্টোব 21 ঘন্টা?

সম্পাদনা 3:

থেকে netstat command, আপনি 2027 এর পিআইডি সহ একটি প্রক্রিয়া দ্বারা 80 পোর্টটি খোলা আছে: জাভা। তদুপরি, এই প্রক্রিয়াটি 8089 এবং 443 খোলায় যার একটি মেশিনের সাথে সংযোগ রয়েছে:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

আরও ইনফোস রাখতে, আপনি ps -ef | grep 2027আদেশগুলি এবং এর প্যারেন্ট প্রক্রিয়া সম্পর্কে বিশদটি করতে এবং দেখতে পারেন।

আপনার পিএস কমান্ড থেকে আপনার /etc/init.d/nagent এ নাগেন্ট নামে একটি পরিষেবা রয়েছে

উপসংহারে, আপনি বা কেউ এন-সেন্ট্রাল সফ্টওয়্যার এর এজেন্ট ইনস্টল করেছেন (ফাইলগুলিতে এবং প্রক্রিয়া ম্যাচগুলি তার সমাধানে @ প্রকল্পের দ্বারা সম্পাদিত ডকের সাথে মিলিত হয়)। এখন, আপনাকে অবশ্যই অনুসন্ধান করতে হবে কে এবং কীভাবে এই সফ্টওয়্যারটি ইনস্টল করা হয়েছে।

কোন প্যাকেজ ইনস্টল করা হয়েছে তা জানতে: ls -ltr /var/lib/dpkg/info/*.list

আপনি আপনার সার্ভারের ব্যবহারকারীদের হোম ডিরেক্টরিতে .bash_history দেখতে পারেন

এটি সৌরউইন্ডস এন-সক্ষম দ্বারা পণ্য নির্দেশ করে বলে মনে হচ্ছে । কমপক্ষে তারা ব্যবহার করত /home/nagentএবং তাদের প্যাকেজগুলির নাম দেওয়া হয়েছিল nagent-rhel। তাদের কাছ থেকে একটি পুরানো নথিতে আমি এর উল্লেখ পেয়েছি ।

আপনি নেপচুন ইনস্টল করেছেন ?

nagentআপনি প্যাকেজ ইনস্টল করার সময় নেপচুন এজেন্টের ব্যবহারকারী হতে পারে automatically ডিফল্টরূপে ব্যবহারকারী neptuneioagent, তবে আপনার ডিস্ট্রো ব্যবহারকারীর নাম পরিবর্তন করতে পারে।