¿Cómo puedo determinar si estos procesos de Perl son maliciosos?

tag-icon tag-icon security apache-httpd perl php process-management
¿Cómo puedo determinar si estos procesos de Perl son maliciosos?

Nuestro servidor web Suse Linux ha estado funcionando bastante lento últimamente y reiniciarlo soluciona el problema temporalmente.

Después de algunas comprobaciones adicionales, descubrí que el firewall está bloqueando parte del tráfico saliente en puertos extraños, que parecen provenir de un comando de Perl...

netstat:

# netstat -nape | head -2; netstat -nape | grep 185.162.9.131
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name   
tcp        0      1 192.168.0.1:45781       185.162.9.131:147       SYN_SENT    30         65180      26829/fixit         
tcp        0      1 192.168.0.1:45777       185.162.9.131:147       SYN_SENT    30         65175      29159/epim          
tcp        0      1 192.168.0.1:45783       185.162.9.131:147       SYN_SENT    30         65182      26052/usel          
tcp        0      1 192.168.0.1:45773       185.162.9.131:147       SYN_SENT    30         65067      6265/usel           
tcp        0      1 192.168.0.1:45782       185.162.9.131:147       SYN_SENT    30         65181      5885/epim           
tcp        0      1 192.168.0.1:45771       185.162.9.131:147       SYN_SENT    30         65065      5529/epim           
tcp        0      1 192.168.0.1:45775       185.162.9.131:147       SYN_SENT    30         65161      26432/epim

lsof: muestra que es un comando perl

# lsof -i :45775
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
perl    26432 wwwrun    4u  IPv4  65161      0t0  TCP apache.home:45775->hosted-by.eurohoster.online:iso-ip (SYN_SENT)

Esperaba que pstree pudiera revelar información útil, pero todavía no estoy más cerca:

# pstree -ap wwwrun
perl,5529 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5530 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5885 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,5886 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,6265 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,6266 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

perl,26052 \040\040\040\040\040\040\040\040\040\040

perl,26053 \040\040\040\040\040\040\040\040\040\040

perl,26432 \040\040\040\040\040\040\040\040\040\040

perl,26433 \040\040\040\040\040\040\040\040\040\040

perl,26829 \040\040\040\040\040\040\040\040\040

perl,26830 \040\040\040\040\040\040\040\040\040

perl,28459 \040\040\040\040\040\040\040\040\040\040\040\040\040\040\040\040

¿Alguien tiene alguna sugerencia sobre cómo puedo saber exactamente qué son estos procesos de Perl y cómo se inician?

información relacionada