Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen waar nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk '{print $2}' | xargs kill -9 > /dev/null 2> /dev/null Mochten er dan processen onder apache gestart worden dan worden ze iig direct weer afgeschoten.
Mijn ervaring is dat je moet uitkijken met het zomaar killen van verdachte processen. Hoewel dat ook mijn eerste reactie zou zijn; heb ik wel eens meegemaakt bij het killen van 1 process, er een ander process het systeem nog verder om zeep hielp. Als ze echt volledig binnen zijn worden bestanden in /bin /sbin en /usr/bin en /usr/sbin vaak overschreven door trojanned versies. Dan ben je overigens aardig ver heen. Uitvoeren van lsof, netstat etc geeft dan helemaal niet de resultaten die je nodig hebt, vaak verbergen die gewoon de zaken die je juist wil zien of voeren doodleuk nog meer zooi uit dan dat er al draaide. Je zal dus eerst moeten checken of de cmd's die je wilt uitvoeren wel de originele zijn. Soms kun je dat zien aan de datum wanneer het bestand is gemaakt. Als je het echt zeker wilt weten moet je regelmatig md5 bestandjes maken en vervolgens bij zo'n hack controleren welke bestanden zijn gewijzigd. Ik heb wel eens zo'n systeem gefixt door simpelweg alle files in /bin /sbin /usr/bin en /usr/sbin uit een verse installatie te cp'en naar de bak vol trojans. Een volledige herinstallatie was denk ik sneller en verstandiger geweest trouwens.