La cuenta de usuario de Linux 'nagent' se eliminó y se volvió a agregar en el registro seguro

Las siguientes líneas aparecen en mi securearchivo de registro de CentOS :

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

No hice esto, y soy el único que tengo conocimiento que tiene acceso a este servidor.

¿Qué significan estas entradas de registro? ¿Hay algún proceso que pueda hacer esto o alguien más ha entrado en mi sistema?

Edición 1 - Sugerencias de ejecución:

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No such file or directory
find: `/proc/14041/fd/5': No such file or directory
find: `/proc/14041/fdinfo/5': No such file or directory
total 28
drwx------. 2 root root 4096 Oct 27 21:11 CMData
drwx------. 2 root root 4096 Oct 27 21:11 CMSetting
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
-rw-r--r--. 1 nagent nagent 18 Sep 22 12:40 /home/nagent/.bash_logout
total 0
-rw-r--r--. 1 nagent nagent 124 Sep 22 12:40 /home/nagent/.bashrc
-rw-r--r--. 1 nagent nagent 176 Sep 22 12:40 /home/nagent/.bash_profile
total 8
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 extensions
drwxr-xr-x. 2 nagent nagent 4096 Aug 18  2010 plugins
total 0
total 0

No estoy seguro de cómo interpretar esta salida ...? ¿Esto es parte de SendMail, creo que podría ser? Buscar en Google SendMail "nagent"devuelve resultados discutiendo SendMail Network Agent. Aunque no estoy seguro de esto. Estoy funcionando SendMail SMTP server.

Edición 2 - contenido de /etc/nagent.conf

[main]
    logfilename=/var/log/n-central/nagent.log
    loglevel=2
    homedir=/home/nagent/
    thread_limitation=50
    poll_delay=1
    datablock_size=20

[soap]
    Server=127.0.0.1
    Port=80
    Protocol=http
    ApplianceID=1
    Server_ro=no

FYI: el puerto 80 está bloqueado en este servidor con la entrada iptables:

-A INPUT -p tcp -m tcp --dport 80 -j DROP

Los contenidos de /home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh:

#!/bin/bash

# Exit on failure --------------------------------------------------------------
function exitOnFailure {
        echo "" >> $LOGGER
        echo "Download failed" >> $LOGGER
        echo "==================================== END DOWNLOAD ================================" >> $LOGGER
        exit 1
}

# Show usage -------------------------------------------------------------------
function usage {
        echo "" >> $LOGGER
        echo "Usage: nagent_download.sh URL InstallerName FileSize MD5Sum Destination [Proxy] [ProxyUsername] [ProxyPassword]" >> $LOGGER
        echo "Example: nagent_download.sh http://192.168.20.128/download/100.0.0.0/rhel5.1_64/N-central/nagent-rhel5.1_64.tar.gz nagent-rhel5.1.tar.gz 2785964 aea43c12d2a86d76ea95bbbf0bf625e9 /tmp" >> $LOGGER

        exitOnFailure
}

# Verify given arguments -------------------------------------------------------
function verifyArguments {
        if [ -z "$URL" ]
        then
                echo "No download url provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER" ]
        then
                echo "No installer name provided" >> $LOGGER
                usage
        fi

        if [ -z "$INSTALLER_FILESIZE" ]
"/home/ncm/nable/nagent-rhel5.1_64/nagent_download.sh" 167L, 5335C

Editar 3

netstat -antp | grep 80
tcp        0      0 0.0.0.0:57808               0.0.0.0:*                   LISTEN      2190/rpc.statd      
tcp        0      0 ::ffff:127.0.0.1:8005       :::*                        LISTEN      2027/java           
tcp        0      0 :::8009                     :::*                        LISTEN      2027/java           
tcp        0      0 :::80                       :::*                        LISTEN      2027/java           
tcp        0      0 ::ffff:127.0.0.1:58580      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58380      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java           
tcp        0      0 ::ffff:127.0.0.1:58280      ::ffff:127.0.0.1:3306       TIME_WAIT   -                   
tcp        0      0 ::ffff:127.0.0.1:58480      ::ffff:127.0.0.1:3306       TIME_WAIT   - 

Editar 4

La carpeta nagent en homese creó con los secureeventos de registro. No sé si eso es significativo:

drwx------.  6 nagent   nagent    4096 Oct 27 21:11 nagent

También mostrar procesos en ejecución ps aux | lesstiene estos resultados relacionados

...
root      7393  0.0  0.0 108432  1176 ?        S    Oct27   0:00 /bin/sh /etc/init.d/nagent start
root      7396  0.0  0.0 108164  1404 ?        S    Oct27   0:00 /bin/bash -c ulimit -S -c 0 >/dev/null 2>&1 ; nagent -f /home/nagent/nagent.conf
root      7397  0.0  0.0 219960  7100 ?        Sl   Oct27   0:15 nagent -f /home/nagent/nagent.conf
...

Puede comenzar buscando si el usuario nagent es el propietario de los archivos en su sistema:

find / -user nagent -iname "*" -exec ls -l {} \;

Y puede ver si se ha iniciado algún proceso y este usuario no lo ha detenido nuevamente:

ps -ef | grep nagent

En sus registros, puede ver la actividad de su servidor alrededor del 27 de octubre a las 21:10, algo así:

cat /var/log/<your file> | grep "Oct 27 21:1"

EDITAR 1: Algunos archivos se han modificado / creado durante el mismo tiempo que userdel y useradd:

-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf
-rw-r--r--. 1 root root  615 Oct 27 21:11 nagent.conf.Save
-rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh
-rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh

¿Puedes leer nagent.confy nagent_download.sh?

EDIT 2: ¿Puede verificar si tiene un proceso que escucha en el puerto TCP 80:

 netstat -antp | grep 80

¿Has hecho una actualización / actualización quizás el 27 oct 21h?

EDITAR 3:

Desde el netstat command, tiene el puerto 80 abierto por un proceso con PID de 2027: java. Además, este proceso abre el 8089 y el 443 que tiene una conexión con una máquina:

  ::ffff:192.168.1.18:443     ::ffff:70.192.192.180:10757 ESTABLISHED     2027/java

Para tener más información, puede hacer ps -ef | grep 2027y ver detalles sobre los comandos y el proceso principal de los mismos.

Desde su comando ps, tiene un servicio llamado nagent en /etc/init.d/nagent

En conclusión, usted o alguien ha instalado el agente del software N-central (los archivos y el proceso coinciden con el documento realizado por @ojs en su solución). Ahora, debe buscar quién y cómo se ha instalado este software.

Para saber qué paquete se ha instalado: ls -ltr /var/lib/dpkg/info/*.list

Puede buscar .bash_history en el directorio de inicio de los usuarios de su servidor

Esto parece apuntar al producto de Solarwinds N-able . Al menos solían usar /home/nagenty sus paquetes fueron nombrados nagent-rhel. Encontré referencia a esto en un documento antiguo de ellos.

¿Instalaste Neptune ?

nagentpodría ser el usuario del agente de Neptune, que se agrega automáticamente cuando instala el paquete. Por defecto, el usuario es neptuneioagent, pero su distribución podría haber cambiado el nombre de usuario.