Небольшая предыстория. Однажды зайдя на виртуалку, находящуюся в моей юрисдикции я заметил, что ssh странно подтормаживает, после чего обнаружил в топе кучу питоновских скриптов. Разбор полетов показал, что они брутали какого-то австралийского SIP-провайдера и судя по всему были залиты через уязвимость в веб-приложении, которое самописное кто-то там когда-то написал. Приложение было не critical, поэтому виртуалка была сразу стопнута, скопирована для дальнейшего аудита, а для приложения была развернута новая из шаблона, ну и естественно было делегировано программистам в т.ч. разобраться с дырявым кодом. Вообще хорошая практика такая, что скомпрометированную машину не лечат, а целиком переустанавливают, сняв перед этим копию для аудита, а иногда даже и просто выводят в оффлайн и там ее ковыряют насрав уже на downtime.
Совет практический такой. Посмотреть что происходит с сетью. Посмотреть нет ли чего странного по netstat (открытые порты и сокеты), можно даже послушать трафик tcpdump. Можно действительно потрейсить перл и посмотреть откуда ноги растут.
А вообще рестарнуть нафиг апач, если процесс не исчезнет (а скорее всего так и будет, не помню, чтобы апач юзал перл), убить его к черту по pid и kill -9. Дальше сидеть и смотреть не появиться-ли он вновь. Просмотреть руками все возможные логи и пользовательские директории, вообще полазить по файловой системе по всей. Затем поставить rkhunter и еще одна утилита есть забыл название. Просканировать есть на предмет странной активности. Но все же лучше всего переставить систему.
А вообще надо апдейты вовремя ставить и следить за security issues хотя бы поверхностно, относительно дистра и используемых пакетов, cms всяких и прочего.