Saluts
Avis aux Spécialistes. 
Voilà, j’aurai besoin de vos conseils et connaissances sur ce coup qui me paraît bien délicat !
Je suis en pleine lecture des man concernant les commandes de gestion du systèm, ceci donne suite (ma logique, va comprendre, enfin certainement dû à l’orientation de mes recherches) à ce post l’attaquant à oublié de modifier la date de son rootkit ???, à la suite de quoi après avoir utiliser divers outils de vérification, j’en suis arriver à lancer lynis.
Là, quelques Warning & Suggestion me sont proposés.
Priorité au Warning !
J’en suis au deuxième de la liste sur 8, celui ci : Run grpck manually and check your group files !
man pwck
Ces utilisateurs son encore présent dans /etc/group; shadow; passwd; et gshadow.
Au grès des install/dé-install, je ne suis pas sûr qu’ils aient encore lieu d’être.
Que dois je faire ? Créer, ces divers répertoires ? 
# pwck -r
utilisateur lp : le répertoire « /var/spool/lpd » n'existe pas
utilisateur news : le répertoire « /var/spool/news » n'existe pas
utilisateur uucp : le répertoire « /var/spool/uucp » n'existe pas
utilisateur list : le répertoire « /var/list » n'existe pas
utilisateur irc : le répertoire « /var/run/ircd » n'existe pas
utilisateur gnats : le répertoire « /var/lib/gnats » n'existe pas
utilisateur avahi : le répertoire « /var/run/avahi-daemon » n'existe pas
utilisateur saned : le répertoire « /home/saned » n'existe pas
utilisateur hplip : le répertoire « /var/run/hplip » n'existe pas
utilisateur ntp : le répertoire « /home/ntp » n'existe pas
utilisateur usbmux : le répertoire « /home/usbmux » n'existe pas
utilisateur zeroinst : le répertoire « /home/zeroinst » n'existe pas
utilisateur privoxy : le répertoire « /etc/privoxy » n'existe pas
utilisateur debian-tor : le répertoire « /var/lib/tor » n'existe pas
utilisateur smmta : le répertoire « /var/lib/sendmail » n'existe pas
utilisateur smmsp : le répertoire « /var/lib/sendmail » n'existe pas
utilisateur nobody : le répertoire « /nonexistent » n'existe pas
pwck : aucun changement
#C’est ici que sa ce corse !!! 
man grcpk.
Au grès des modif ?
# grpck -r
le groupe root a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
le groupe adm a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
le groupe sudo a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
le groupe www-data a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
le groupe clamav a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
le groupe pc-1-loreleil a une entrée dans /etc/gshadow, mais le champ du mot de passe dans /etc/group n'est pas « x »
grpck : aucun changement
#d’après le man PWCONV il me faudrait lancer …
# grpconv
Et sans connaître vraiment le bout qui va devant, Cela me paraît Chaud !!!
Puis-je l’exécuter sereinement ? Des recommandations ?
Pour moi, c’est chaud !
Certes avec des .bak Avant mais … le cambouis n’est vraiment pas très loin … 
j’vous en serre cinq, merci … 
-edit-
Pas si chaud que ça … 