ps aux
Deve mostrar o usuário que está executando o processo e a linha de comando completa. Você pode encontrar mais informações com
lsof | grep pid
Isso mostrará qualquer um dos processos de arquivos abertos, incluindo bibliotecas, terminais, etc.
Verifique também os arquivos em / proc / pid . (/ proc / pid / environ, / proc / pid / cmdline, / proc / pid / status):
man proc
Mas se você suspeitar de alguma trapaça mal-intencionada, não pode confiar em nenhuma dessas coisas. Eu estaria fazendo backup de dados importantes e verificando sua integridade. Se você realmente não deseja limpar a unidade, pelo menos, levá-lo off-line para dd o disco para análise, ou usar um liveCD para montá-lo e verificar md5s, executar varreduras, etc.