lsof deveria ter informado o PID do processo. Vamos chamá-lo de $pid . Investigue o que está dentro de /proc/$pid/ . Alguns dos seguintes comandos podem exigir acesso root (por exemplo, você pode querer sudo su - ).
cd /proc/$pid
readlink exe # the executable
readlink cwd # current working directory
xxd cmdline # command line (xxd useful because items are null-separated)
cd /proc/$pid/fd
ls -l # file descriptors in use
Além disso, interaja com o servidor (por exemplo, faça o download do arquivo) enquanto usa strace para ver o que ele faz. Veja esta resposta: como investigar o que um processo está fazendo?
Ou você pode fazer o download do arquivo e tentar encontrar uma duplicata comparando o conteúdo. A comparação preliminar por tamanho pode acelerar bastante as coisas.
file="/path/to/the/downloaded/file"
size='<"$file" wc -c'
# now you will probably want to use sudo
find / -type f ! -path "/proc/*" ! -path "/sys/*" ! -path "/dev/*" -size ${size}c -exec cmp -s "$file" {} \; -print
unset -v file size # just to clean
Nota: excluí a /proc/ , /sys/ e /dev/ . Você também pode se familiarizar com -xdev (veja man 1 find ) e usá-lo talvez .