Eigentlich sollte er in /etc/passwd zu finden sein.

Stimmt ... da steht er auch drin. Ich war nur nicht drauf gekommen, weil ich nach etwas gesucht hatte, was da nicht hin gehört. ;)

Ja, ein Hauptprozess und vier davon abgespaltete, die sich um jeweils eine aktive Verbindung kümmern bzw. auf eine Verbindung warten. Je mehr Anfragen kommen, desto mehr Kindprozesse werden gestartet; es können durchaus auch mehrere Dutzend in der Liste auftauchen. Diese Prozesse laufen unter einem explizit für den Webserver eingerichtenen Nutzerkonto, das außer den für den Webbetrieb nötigen Rechten keine weiteren auf dem System hat.

Danke für die Aufklärung ...

Schöne Grüße, Till