lsof n'est pas modifi� par les rootkits courants, est-ce-que tu as une r�f�rence tripwire fiable ? Sinon tu peux v�rifier des binaires standards comme ps, ls, ... en les comparants � ceux existant sur une machine non compromise, plut�t en l'utilisant avec le disque de la machine � v�rifier, tu ne peux pas �tre s�r des r�sultats que tu obtient � partir de celle-l�.
Alain
Bon, tout d'abord merci pour vos reponses et remarques.
J'ai fait un checksum des progs sensibles, ca n'a pas l'air modifi� (meme en important les fichiers sur une machine fiable).
J'ai aussi lanc� un chkrootkit (www.chkrootkit.org) et il ne trouve rien (contrairement au autres serveurs -solaris 8- en stand-bye qui se sont fait pirat�s)
Je me suis peut-etre un peu affol�. Les log de la machine m'indique un arret d'activit� a partir du 3 au soir (aucune trace dans /var/log/message et syslog) et une reprise ce matin. Comme si elle avait �t� arr�t�e physiquement.
PS : Je sais pas comment utilis� lsof pour qu'il me montre des fichiers sensibles ouverts et je ne sais pas ce que c'est qu'un tripwire (RTFM qd j'aurais le temps ;-)
-- Nicolas Ronayette +33 (0)6 74 93 67 85 Alphacsp - +33 (0)1 41 37 75 75 --
love, n.:
When it's growing, you don't mind watering it with a few tears.
