Você pode substituir temporariamente esse arquivo por um arquivo muito maior ou por um FIFO (consulte o comando mkfifo ) e depois procurar esse processo novamente.
Eu notei que um usuário do sistema está constantemente baixando um único arquivo JPEG (a cada poucos segundos) via servidor FTP. O IP de origem é, na verdade, atribuído ao próprio servidor. Eu tentei usar ferramentas como lsof, ps, top. Também verifiquei os trabalhos do cron sem sorte. Você poderia, por favor, informar como eu posso rastrear a origem deste processo, script? Por favor, note que este servidor está executando o cPanel.
Eu poderia usar strace, mas o processo não está sendo executado por tempo suficiente para capturá-lo.
# tail /var/log/xferlog
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:27 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Você pode usar a opção -f de strace para rastrear processos filho. Obtenha pid de processo suspeito e execute strace -f -p pid -o /tmp/strace.log . Você deve pesquisar a palavra-chave "connect" ou "RETR".