D
10.11 El Capitan OS X complètement disparu
- Créateur du sujet sconie
- Date de début
Mais on n'a aucune idée de ce qui a provoqué l'envoi du dossier Home dans le dossier "Utilisateurs supprimés"...
Non, c'est ça qui est préoccupant. Même si j'avais fait une fausse manoeuvre, je sais que ce n'est pas le cas, on m'aurait tout de même demandé confirmation non ?
M
Membre supprimé 1060554
Invité
Hi ! Hi ! je ne regrette pas d'avoir été hors ligne (Jean & moi avons joué les Carabiniers d'Offenbach)
Finalement l'identité d'utilisatrice sconie n'avait jamais été supprimée - donc il n'y avait pas eu une véritable suppression de compte avec archivage du dossier de départ dans un dmg > simplement un déplacement du dossier de compte à l'intérieur d'un dossier Deleted Users des Utilisateurs. Avec recréation d'un dossier de compte vide sconie lors de l'ouverture de session suivante.
L'épineux a été de désintituler le dossier de compte vide pour ré-intituler sconie le dossier plein recopié - vous avez été héroïques : sconie et r e m y - que ne suis-je Pindare pour célébrer vore victoire par une Épinicie ?
Cette question technique réglée > je rejoins la question plus théorique :
Sachant que l'opération de quarantaine du dossier de départ sconie s'est effectuée à session sconie ouverte...
Je viens de faire un test en me loggeant dans une session admin auxiliaire toto (audacieux mais avec parachute ventral) en utilisant le «Terminal» -->
J'ai donc reproduit le cas de figure de sconie : de la session toto ouverte > sans suppression de l'identité toto > il est possible de mettre en quarantaine le dossier de départ de cette même session ouverte > ce qui induit la recréation d'un dossier de départ toto vide au prochain reloggement dans la session toto.
Alors que la même démarche tentée dans le panneau des Préférences Système > Utilisateurs et groupes est rejetée : le bouton - est indisponible à destination du compte de l'utilisateur connecté.
Cette possibilité expérimentale établie hors panneau des Préférences Système > la question recule d'un cran : qu'est-ce qui a bien pu opérer l'équivalent d'un tel jeu de commandes sur le dossier de départ sconie ? - je n'ai pas de réponse.
Finalement l'identité d'utilisatrice sconie n'avait jamais été supprimée - donc il n'y avait pas eu une véritable suppression de compte avec archivage du dossier de départ dans un dmg > simplement un déplacement du dossier de compte à l'intérieur d'un dossier Deleted Users des Utilisateurs. Avec recréation d'un dossier de compte vide sconie lors de l'ouverture de session suivante.
L'épineux a été de désintituler le dossier de compte vide pour ré-intituler sconie le dossier plein recopié - vous avez été héroïques : sconie et r e m y - que ne suis-je Pindare pour célébrer vore victoire par une Épinicie ?
Cette question technique réglée > je rejoins la question plus théorique :
qu'est-ce qui a pu, à identité d'utilisatrice sconie conservée, mettre en quarantaine le dossier de départ original sconie dans un dossier Utilisateurs supprimés > pour forcer au logging suivant la recréation d'un dossier de compte sconie vide ?
Sachant que l'opération de quarantaine du dossier de départ sconie s'est effectuée à session sconie ouverte...
Je viens de faire un test en me loggeant dans une session admin auxiliaire toto (audacieux mais avec parachute ventral) en utilisant le «Terminal» -->
- je crée un sous-dossier Utilisateurs supprimés dans le répertoire Utilisateurs ;
- je déplace par une commande mv le dossier de départ toto des Utilisateurs dans /Utilisateurs/Utilisateurs supprimés : la commande est honorée en mode live (utilisateur connecté) ;
- je me délogge de la session toto > je me relogge dans le même session toto --> un dossier de départ neuf et vide toto a été créé à la volée dans les Utilisateurs pour permettre l'ouverture de session - tandis que le dossier de compte originel personnalisé réside dans /Utilisateurs/Utilisateurs supprimés.
- je déplace par une commande mv le dossier de départ toto des Utilisateurs dans /Utilisateurs/Utilisateurs supprimés : la commande est honorée en mode live (utilisateur connecté) ;
- je me délogge de la session toto > je me relogge dans le même session toto --> un dossier de départ neuf et vide toto a été créé à la volée dans les Utilisateurs pour permettre l'ouverture de session - tandis que le dossier de compte originel personnalisé réside dans /Utilisateurs/Utilisateurs supprimés.
J'ai donc reproduit le cas de figure de sconie : de la session toto ouverte > sans suppression de l'identité toto > il est possible de mettre en quarantaine le dossier de départ de cette même session ouverte > ce qui induit la recréation d'un dossier de départ toto vide au prochain reloggement dans la session toto.
Alors que la même démarche tentée dans le panneau des Préférences Système > Utilisateurs et groupes est rejetée : le bouton - est indisponible à destination du compte de l'utilisateur connecté.
Cette possibilité expérimentale établie hors panneau des Préférences Système > la question recule d'un cran : qu'est-ce qui a bien pu opérer l'équivalent d'un tel jeu de commandes sur le dossier de départ sconie ? - je n'ai pas de réponse.
Dernière édition par un modérateur:
Un hacker (quelqu'un ayant accédé au Mac) ne se serait pas embêté à creer un dossier Deleted Users pour y placer le dossier Home.
Il l'aurait envoyé à la corbeille ou déplacé n'importe où ailleurs sur le disque.
Je suis persuadé que c'est le système qui est à l'origine de ce déplacement curieux, ou l'installation d'une application quelconque...
Il l'aurait envoyé à la corbeille ou déplacé n'importe où ailleurs sur le disque.
Je suis persuadé que c'est le système qui est à l'origine de ce déplacement curieux, ou l'installation d'une application quelconque...
D
Deleted member 1099514
Invité
C'est souvent entre la chaise et l'écran que se logent les malwares.
Une erreur est toujours possible, mais on se serait retrouvé
- soit avec un utilisateur totalement supprimé (et pas simplement son dossier Home déplacé vers Deleted Users),
- soit un dossier Home déplacé accidentellement dans un autre dossier du Mac (voire à la corbeille)
- soit encore un dossier Home renommé et plus reconnu comme le dossier Home légitime
Là on a un dossier Deleted Users qui a ete créé, le dossier Home déplacé à l'intérieur, mais l'utilisateur toujours actif le système lui recréant instantanément un nouveau Home. Je ne vois pas sconie faire ca accidentellement...
M
Membre supprimé 1060554
Invité
Pas exactement. La recréation d'un dossier de départ vide ${HOME} ne s'opère qu'au reloggement de l'utilisateur après déloggement de la session (il n'y a pas d'automatisme recréatif en cours de session) > en cas de quarantaine - ou de suppression - du dossier de départ sur la base duquel la session s'est ouverte.
Par contre > il est exact que le dossier ${HOME} sur la base duquel l'utilisateur a ouvert sa session > peut se trouver effectivement mis en quarantaine (le cas de sconie) voire supprimé en cours de connexion --> auquel cas la session ouverte a l'air de garder une consistance en vertu des processus actuellement sustentés en RAM > mais s'achemine inéluctablement vers le plantage.
Pourtant sconie a constaté que chaque fois qu'elle renommait le dossier Home en Bidon (depuis une autre session...), un nouveau dossier Home se recréait instantanément l'empêchant de renommer correctement le dossier Home légitime ... (j'en ai déduit qu'elle n'avait pas correctement fermé la session de son User habituel, mais peut être est-ce plus vicieux avec un processus tournant en tâche de fond pour recreer encore et toujours ce dossier Home véreux)
Il a fallu qu'elle envoie ce faux dossier Home à la Corbeille, pour ne plus être embêtée.
M
Membre supprimé 1060554
Invité
Je viens de me livrer aux tests suivants (2 comptes utilisés : maco et toto - tous les 2 admin ; un dossier vide créé dans /Users intitulé Deleted\ Users avec un fichier .localized interne --> traduction en Français par le Finder en Utilisateurs supprimés) -->
=> je maintiens mes dires sur la base de ces expérimentations : aucun dossier ${HOME} n'est recréé dans les Utilisateurs après mise en quarantaine de l'original dans les Utilisateurs supprimés s'il n'y a pas formellement fermeture et ré-ouverture de session. En cas de permutation rapide de session > la session toto est sustentée en RAM sans dossier ${HOME} toto de référence présent ni recréé dans les Utilisateurs.
=> je conjecture qu'un facteur tiers ait été à l'œuvre chez sconie ou un dysfonctionnement des automatismes par défaut du Système tels que décrits ci-dessus.
- session maco --> commande :
=> le dossier toto est déplacé dans les Utilisateurs supprimés et aucun dossier toto de remplacement n'est recréé ;
commande inverse :
replaçant le dossier toto dans les Utilisateurs.
- permutation rapide en session toto (session maco toujours ouverte) - session toto ouverte sur le dossier toto des Utilisateurs --> commande :
=> la commande est obéie : le dossier ${HOME} toto est déplacé en mode live dans les Utilisateurs supprimés et non recréé dans les Utilisateurs > la session continue sur la base de la RAM à être utilisable.
- permuation rapide en session maco (session toto toujours ouverte) --> le dossier ${HOME} toto n'a pas été recréé dans les Utilisateurs (mais demeure dans les Utilisateurs supprimés)
- permutation rapide en session toto (session maco toujours ouverte) --> le dossier ${HOME} toto n'a pas été recréé dans les Utilisateurs (mais demeure dans les Utilisateurs supprimés)
- fermeture régulière de la session toto > LoginWindow --> reloggement en toto --> un dossier ${HOME} toto vide a été recréé dans les Utilisateurs > l'ancien dossier toto demeurant dans les Utilisateurs supprimés
- fermeture régulière de la session toto > LoginWindow --> reloggement en maco > même topo : un dossier ${HOME} toto vide dans les /Users > et l'original toto dans les Utilisateurs supprimés.
Bloc de code:
sudo mv /Users/toto /Users/Deleted\ userscommande inverse :
Bloc de code:
sudo mv /Users/Deleted\ users/toto /Users- permutation rapide en session toto (session maco toujours ouverte) - session toto ouverte sur le dossier toto des Utilisateurs --> commande :
Bloc de code:
sudo mv /Users/toto /Users/Deleted\ users- permuation rapide en session maco (session toto toujours ouverte) --> le dossier ${HOME} toto n'a pas été recréé dans les Utilisateurs (mais demeure dans les Utilisateurs supprimés)
- permutation rapide en session toto (session maco toujours ouverte) --> le dossier ${HOME} toto n'a pas été recréé dans les Utilisateurs (mais demeure dans les Utilisateurs supprimés)
- fermeture régulière de la session toto > LoginWindow --> reloggement en toto --> un dossier ${HOME} toto vide a été recréé dans les Utilisateurs > l'ancien dossier toto demeurant dans les Utilisateurs supprimés
- fermeture régulière de la session toto > LoginWindow --> reloggement en maco > même topo : un dossier ${HOME} toto vide dans les /Users > et l'original toto dans les Utilisateurs supprimés.
=> je maintiens mes dires sur la base de ces expérimentations : aucun dossier ${HOME} n'est recréé dans les Utilisateurs après mise en quarantaine de l'original dans les Utilisateurs supprimés s'il n'y a pas formellement fermeture et ré-ouverture de session. En cas de permutation rapide de session > la session toto est sustentée en RAM sans dossier ${HOME} toto de référence présent ni recréé dans les Utilisateurs.
=> je conjecture qu'un facteur tiers ait été à l'œuvre chez sconie ou un dysfonctionnement des automatismes par défaut du Système tels que décrits ci-dessus.
Oui je suis egalement convaincu d'un dysfonctionnement, voire d'une action tierce via un processus véreux tournant en tâche de fond car je n'avais jamais vu cette re-création spontanée d'un dossier Home telle que l'a vécue sconie (et qui a retardé la remise en place de son dossier Home original car je n'avais pas anticipé ce comportement )
oui c'est juste
Quand même, j'ai pas encore perdu toute ma tête.
Quel faux dossier ? j'ai tout jeté, tous les "bidons", le dossier avec "utilisateurs supprimés" Il ne reste plus dans le dossier UTILISATEURS que, partagé, invité et la petite maison sconieuntel. C'est bon ?
Dernière édition par un modérateur:
En passant : où l'on voit qu'avoir un second compte de secours est bien pratique. Plutôt de type administrateur.
Cela permet de nombreuses manipulations.
As-tu procédé à une évaluation de l'ordinateur par EtreCheck, ou autre chose du même genre ?
Cela permet de nombreuses manipulations.
On n'en a pas l'impression
As-tu procédé à une évaluation de l'ordinateur par EtreCheck, ou autre chose du même genre ?
D
Deleted member 1099514
Invité
En passant : où l'on voit qu'avoir un second compte de secours est bien pratique. Plutôt de type administrateur.
Cela permet de nombreuses manipulations.
On n'en a pas l'impression
As-tu procédé à une évaluation de l'ordinateur par EtreCheck, ou autre chose du même genre ?
Hi hi elle veut pas. Peut être qq chose à cacher.
