Um novo grupo adicionado no sistema [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 28/01/2017 - 13:35h

Boa tarde, pessoal! Então, ontem fiquei o dia todo sem usar o note, apenas minha mãe mexeu, aí a noite passei o rkhunter e ele deu um warning no group file e no passwd file de que o "guest-ndnqbv" tinha sido adicionado. E então fiquei em dúvida sobre o que era, e fui pesquisar e não consegui achar nada sobre isso. O que pode ser? Devo me preocupar? Ou posso apagar isso do grupo do sistema? Obrigado desde já!

signout
(usa Slackware)

Enviado em 28/01/2017 - 23:01h

Boas...

Algumas sugestões:

1 - Verificar o que foi instalado nesse periodo no /var/log/dpkg.log.

2 - Verificar se existe algum processo "estranho" rodando com esse usuário (ps -fu <<usuario>>)

3 - Bloquear (lock) o usuário que foi criado(passwd <<usuario>> -l).

4 - Criar um backup do passwd, shadow e group e remover o usuário/grupo/senha.

Espero que ajude
[]s

removido
(usa Nenhuma)

Enviado em 29/01/2017 - 01:08h

Muito obrigado, signout!
Fiz as duas primeiras sugestões. Na primeira não foi nada instalado, tá lá que a ultima coisa instalada foi no dia 26, e não consta nada do dia de ontem (27), somente do dia 28 aparecem as atualizações que eu mesmo fiz. A segunda não tem nada estranho rodando em nenhum dos dois usuários.
Depois disso continuei fuçando e vi que no arquivo passwd o ultimo comando adicionado foi o: depois disso eu sai em questionamento e perguntei pra todo mundo aqui de casa e descobri que uma das minhas irmãs tinha utilizado a sessão de convidado, será que pode ser isso? Após isso eu desativei a sessão de convidado. Mas o grupo continua lá!

signout
(usa Slackware)

Enviado em 29/01/2017 - 01:38h

Boas,

Se não há processos ou pacotes "estranhos", voce pode dar um lock no usuário (3), ou seguir o item 4.

[]s

removido
(usa Nenhuma)

Enviado em 29/01/2017 - 13:26h

Desculpa a demora signout! Então, eu tentei excluir o grupo com o comando "groupdel", mas diz: l: não é possível remover o grupo primário do usuário 'guest-ndnqbv'. E quando eu tento dar lock no usuário não dá, diz que o user não existe. Ai vendo aqui só tem 2 user, o meu e o que a família usa. Além disso, o local onde ele estava é na pasta tmp, vasculhei lá de cabo a rabo e não tem nada, nem oculto. Será que não é de alguém ter usado a sessão de convidado?