最近、弊社の Suse Linux Web サーバーの動作が非常に遅くなっており、再起動すると一時的に問題が解消されます。
さらにいくつか確認したところ、ファイアウォールが、perl コマンドから発信されたと思われる奇妙なポート上の送信トラフィックをブロックしていることがわかりました...
ネットスタット:
# netstat -nape | head -2; netstat -nape | grep 185.162.9.131
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 1 192.168.0.1:45781 185.162.9.131:147 SYN_SENT 30 65180 26829/fixit
tcp 0 1 192.168.0.1:45777 185.162.9.131:147 SYN_SENT 30 65175 29159/epim
tcp 0 1 192.168.0.1:45783 185.162.9.131:147 SYN_SENT 30 65182 26052/usel
tcp 0 1 192.168.0.1:45773 185.162.9.131:147 SYN_SENT 30 65067 6265/usel
tcp 0 1 192.168.0.1:45782 185.162.9.131:147 SYN_SENT 30 65181 5885/epim
tcp 0 1 192.168.0.1:45771 185.162.9.131:147 SYN_SENT 30 65065 5529/epim
tcp 0 1 192.168.0.1:45775 185.162.9.131:147 SYN_SENT 30 65161 26432/epim
lsof: perlコマンドであることを示す
# lsof -i :45775
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
perl 26432 wwwrun 4u IPv4 65161 0t0 TCP apache.home:45775->hosted-by.eurohoster.online:iso-ip (SYN_SENT)
pstree で何か役に立つ情報が見つかるのではないかと期待していましたが、まだ何もわかっていません。
# pstree -ap wwwrun
perl,5529 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,5530 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,5885 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,5886 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,6265 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,6266 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
perl,26052 \040\040\040\040\040\040\040\040\040\040
perl,26053 \040\040\040\040\040\040\040\040\040\040
perl,26432 \040\040\040\040\040\040\040\040\040\040
perl,26433 \040\040\040\040\040\040\040\040\040\040
perl,26829 \040\040\040\040\040\040\040\040\040
perl,26830 \040\040\040\040\040\040\040\040\040
perl,28459 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040
これらの Perl プロセスが正確に何であるか、どのように開始されているかを調べる方法について、何かアドバイスはありますか?