Use o lsof utils para encontrar o arquivo que está sendo excluído, mas ainda aberto:
$ lsof +L1
Eu tenho um servidor linux, que está reportando como tendo seu disco cheio, mas até onde eu sei - o disco não está cheio, um df -h mostra isso:
/dev/mapper/VolGroup00-LogVol00<br>
19G 18G 0 100% /
/dev/xvda1 99M 27M 67M 29% /boot
tmpfs 1.1G 0 1.1G 0% /dev/shm
/dev/mapper/VolGroup01-LogVol02 58G 7.5G 48G 14% /mnt/somewhere
Este é um servidor virtual (usando o Xencenter), que tem 2 drives, 20gb & 40 gb montado nele. Se eu olhar para o / eu só posso ver aproximadamente 12gb em uso, então onde o resto foi?
Minha primeira pergunta para perguntas como essa é se você verificou o uso do lsof para ver se há arquivos excluídos abertos apesar de estarem marcados como "excluídos". Em segundo lugar, geralmente é para verificar arquivos de log. A terceira é verificar se há tamanhos de diretório para ver se alguma coisa aparece ou se a execução do X usa um utilitário de mapeamento gráfico para percorrer diretórios.
Pensamentos mais assustadores mudam para o que o servidor é usado ... aberto para a Internet? Alguém poderia ter penetrado e comprometido para armazenar arquivos? Verificação de rootkits?