lsof
deveria ter informado o PID do processo. Vamos chamá-lo de $pid
. Investigue o que está dentro de /proc/$pid/
. Alguns dos seguintes comandos podem exigir acesso root (por exemplo, você pode querer sudo su -
).
cd /proc/$pid
readlink exe # the executable
readlink cwd # current working directory
xxd cmdline # command line (xxd useful because items are null-separated)
cd /proc/$pid/fd
ls -l # file descriptors in use
Além disso, interaja com o servidor (por exemplo, faça o download do arquivo) enquanto usa strace
para ver o que ele faz. Veja esta resposta: como investigar o que um processo está fazendo?
Ou você pode fazer o download do arquivo e tentar encontrar uma duplicata comparando o conteúdo. A comparação preliminar por tamanho pode acelerar bastante as coisas.
file="/path/to/the/downloaded/file"
size='<"$file" wc -c'
# now you will probably want to use sudo
find / -type f ! -path "/proc/*" ! -path "/sys/*" ! -path "/dev/*" -size ${size}c -exec cmp -s "$file" {} \; -print
unset -v file size # just to clean
Nota: excluí a /proc/
, /sys/
e /dev/
. Você também pode se familiarizar com -xdev
(veja man 1 find
) e usá-lo talvez .