lsof n'est pas modifié par les rootkits courants, est-ce-que tu as une référence tripwire fiable ? Sinon tu peux vérifier des binaires standards comme ps, ls, ... en les comparants à ceux existant sur une machine non compromise, plutôt en l'utilisant avec le disque de la machine à vérifier, tu ne peux pas être sûr des résultats que tu obtient à partir de celle-là. Alain
Bon, tout d'abord merci pour vos reponses et remarques.J'ai fait un checksum des progs sensibles, ca n'a pas l'air modifié (meme en important les fichiers sur une machine fiable).
J'ai aussi lancé un chkrootkit (www.chkrootkit.org) et il ne trouve rien (contrairement au autres serveurs -solaris 8- en stand-bye qui se sont fait piratés) Je me suis peut-etre un peu affolé. Les log de la machine m'indique un arret d'activité a partir du 3 au soir (aucune trace dans /var/log/message et syslog) et une reprise ce matin. Comme si elle avait été arrétée physiquement.
PS : Je sais pas comment utilisé lsof pour qu'il me montre des fichiers sensibles ouverts et je ne sais pas ce que c'est qu'un tripwire (RTFM qd j'aurais le temps ;-)
-- Nicolas Ronayette +33 (0)6 74 93 67 85 Alphacsp - +33 (0)1 41 37 75 75 -- love, n.: When it's growing, you don't mind watering it with a few tears.