Hi roger,

wie kriege ich den übeltäter?

zunächst einmal: Wie genau kannst Du den noch verfüg-baren Hauptspeicher des Systems messen?
Such Dir mal ein geeignetes Kommando dafür, starte
dieses per cron alle 1-5 Minuten und schau Dir die
Entwicklung des Speicherverbrauchs genauer an.
Gibt es eine Zunahme sofort ab Apache-Start, oder
beginnt diese zu einem erkennbaren Zeitpunkt?
Falls letzteres, untersuche die Aufrufe von serversei-
tigen Programmen basierend auf dem access_log des ent-
sprechenden Zeitpunktes ... damit kannst Du immerhin
schon mal versuchen, die Verdächtigen einzuschränken.

Ob Du dann den Übeltäter dadurch überführst, daß Du
seinen Quelltext liest, oder dadurch, daß Du ihn
separat abschaltest, dürfte eine Frage Deiner Kennt-
nisse sein.
Interessant ist zunächst einmal, einen "begründeten
Anfangsverdacht" zu bekommen - mit den entsprechenden
Unterlagen kannst Du Deinen Benutzern gegenüber ggf.
sogar eine spezifische Abschaltung rechtfertigen, um
"weitere Ermittlungen" vorzunehmen.

Viele Grüße
<img src="http://www.schroepl.net/projekte/gzip_cnc/gzip_cnc.ico" border=0 alt=""> Michael