#1 Le 28/10/2015, à 11:11
- gdebutant
suppression d'un user dans passwd et de group dans group ?
bonjour,
j'ai constaté des bizarreries dans le comportement de mon pc et j'ai installé chkrootkit et rkhunter
qui m'a donné :
chkrootkit
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
Warning: /sbin/init INFECTED
eth0: PACKET SNIFFER(/sbin/dhclient[4455])
user truc deleted or never logged from lastlog!
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1153 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
rkhunter
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/dev/.udev: directory '
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
========>
ce qui m'a un peu affolé, j'ai pensé tout réinstallé
mais je me rends compte que c'est un installant rkhunter que le user postfix a été ajouté ainsi que dans le fichier group avec postdrop en plus.
pensez-vous que doivent tous reinstaller ?
ou bien supprimer simplement le user postfix et les deux groups ajoutés
dans ce cas
je voudrais les supprimer (user postfix et les deux groups en question) sans faire de dégâts.
juste avec gedit ? ou en ligne de commande ?
merci de votre aide.
Modération : merci à l'avenir d'utiliser les balises code (explications ici).
Dernière modification par cqfd93 (Le 28/10/2015, à 11:36)
Hors ligne
#2 Le 28/10/2015, à 12:42
- tiramiseb
Re : suppression d'un user dans passwd et de group dans group ?
Salut,
chkrootkit et rkhunter ne sont pas des outils que l'on lance comme ça à l'arrache sans comprendre le système pour ensuite avoir des alertes bien ciblées.
ils ne font que remonter des alertes que tu dois derrière intelligemment interprétger.
chkrootkit :
* dhclient n'est pas un packet sniffer, c'est un client dhcp, c'est normal qu'il soti là.
* l'utilisateur "truc", c'est probablement un test que tu avais toi-même fait par le passé.
* que le tty du serveur X ne soit pas trouvé, c'est normal.
rkhunter :
* l'alerte sur la commande unhide.rb est courante, oui c'est un script, oui c'est normal.
* l'utilisateur "postfix" et les groupes "postfix" et "postdrop" sont installés par le paquet postfix, qui est un serveur smtp, probablement en effet installé suite à l'installation de rkhunter. Ce n'est qu'une recommandation et pas une dépendance, * mais Ubuntu a la fâcheuse manie d'installer les recommandations sans rien demander. Il ne FAUT PAS supprimer ces utilisateurs. Si tu n'as pas besoin de postfix, désinstalle directement le paquet postfix.
* les "fichiers cachés" dans /dev c'est normal.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 28/10/2015, à 20:12
- gdebutant
Re : suppression d'un user dans passwd et de group dans group ?
hello,
merci pour cette réponse.
par contre je ne comprends pas pourquoi on ne doit pas supprimer le user postfix qui ne sert à rien ? ainsi que les deux groupes ?
ou peut-on trouver de la doc pour l'interpretation de chkrootkit et rkhunter ?
Hors ligne
#4 Le 28/10/2015, à 20:52
- tiramiseb
Re : suppression d'un user dans passwd et de group dans group ?
je ne comprends pas pourquoi on ne doit pas supprimer le user postfix qui ne sert à rien ? ainsi que les deux groupes ?
Ils ne servent pas à rien. Ils sont utilisés par Postfix.
peut-on trouver de la doc pour l'interpretation de chkrootkit et rkhunter ?
À ma connaissance il n'y a pas de doc pour ça : il faut connaître le système, comprendre comment ça fonctionne pour pouvoir interpréter et analyser les erreurs remontées.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 28/10/2015, à 21:00
- gdebutant
Re : suppression d'un user dans passwd et de group dans group ?
> Ils ne servent pas à rien. Ils sont utilisés par Postfix.
même si j'ai viré postfix ?
et les groupes ?
Hors ligne
#6 Le 28/10/2015, à 21:07
- tiramiseb
Re : suppression d'un user dans passwd et de group dans group ?
Si tu vires proprement postfix, les utilisateurs sont automatiquement supprimés.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 28/10/2015, à 21:24
- gdebutant
Re : suppression d'un user dans passwd et de group dans group ?
merci.
autant je connais parfaitement windows autant j'ai l'impression d'être une poule devant un couteau avec linux. vais devoir un peu potasser ... tout me semble parfois très obscur.
Hors ligne
#8 Le 28/10/2015, à 21:25
- tiramiseb
Re : suppression d'un user dans passwd et de group dans group ?
Tu crois connaître parfaitement windows
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne