Você pode começar por pesquisa se o usuário nagent for o proprietário dos arquivos em seu sistema:
find / -user nagent -iname "*" -exec ls -l {} \;
E você pode verificar se algum processo foi iniciado e não foi interrompido novamente por este usuário:
ps -ef | grep nagent
Nos seus logs, você pode ver a atividade do seu servidor por volta de 27 de outubro de 21:10, algo assim:
cat /var/log/<your file> | grep "Oct 27 21:1"
EDIT 1: Alguns arquivos foram modificados / criados durante o mesmo tempo do userdel e useradd:
-rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf -rw-r--r--. 1 root root 615 Oct 27 21:11 nagent.conf.Save -rwxr-xr-x. 1 root root 5510 Oct 27 21:11 nagent_download.sh -rwxr-xr-x. 1 root root 1665 Oct 27 21:11 uninstall.sh
Você pode ler nagent.conf
e nagent_download.sh
?
EDIT 2: Você pode verificar se você tem um processo que escuta na porta TCP 80:
netstat -antp | grep 80
Você fez uma atualização / atualização talvez em 27 de outubro às 21h?
EDIT 3:
Do netstat command
, você tem a porta 80 aberta por um processo com PID de 2027: java. Além disso, este processo abre o 8089 e o 443 que tem uma conexão com uma máquina:
::ffff:192.168.1.18:443 ::ffff:70.192.192.180:10757 ESTABLISHED 2027/java
Para ter mais informações, você pode fazer ps -ef | grep 2027
e ver detalhes sobre os comandos e o processo pai dele.
A partir do seu comando ps, você tem um serviço chamado nagent em /etc/init.d/nagent
Em conclusão, você ou alguém instalou o agente do software N-central (os arquivos e processos correspondem ao documento feito por @ojs em sua solução). Agora, você deve pesquisar quem e como esse software foi instalado.
Para saber qual pacote foi instalado:
ls -ltr /var/lib/dpkg/info/*.list
Você pode procurar a .bash_history no diretório inicial dos usuários do seu servidor