> Pas nécessairement. C'est dit dans toutes les docs sur le sujet. > Ceci peut arriver quand le nombre de process traités est important et > que ceux-ci ne durent pas longtemps. Cas typique des serveurs web. > Le même test sur "lkm" donne généralement un résultat négatif quelques > secondes plus tard puis redevient positif. > C'est en gros une comparaison entre /proc et un "ps". Entre les deux le > process peut disparaitre. > > Il se peut aussi que ce soit un rootkit. > Il vaut mieux ne pas être trop parano sur ce sujet et vérifier plus > profondément. > > ps : c'est pour ça que l'utilisation des modules n'est pas la meilleure > solution. Il vaut mieux parfois un kernel sur mesure. >
Tu as raison, ce n'est pas un outli efficace et fiable a 100%, mais si on regarde le premier post qui dit que le password ddu root qui a ete change, il y a lieu de se poser de serieuses questions. Ensuite, comme j'ai dit dans mon post, fais une analyse plus poussee... et tu auras probablement reponse a tes questions. P.S: meme un kernel sur mesure, on peut inserer des "modules" (voir les "") via kmem ;-p E.