Árvore de processos
Enquanto o processo está em execução, tente usar ps
com a opção f
para ver a hierarquia do processo:
ps axuf
Então você deve obter uma árvore de processos, o que significa que você deve ver qual é o processo pai do gzip
.
Se gzip
for um descendente direto de init
, provavelmente seu pai já saiu, pois é muito improvável que init
crie o processo gzip
.
Crontabs
Além disso, você deve verificar seu crontab
s para ver se há algo criando-o. Do sudo crontab -l -u <user>
onde user
é o usuário do processo gzip
que você está vendo (no seu caso, parece ser root
).
Se você tiver outros usuários nesse sistema que possam ter feito coisas como configurar serviços de segundo plano, verifique também o crontab
s. O fato de gzip
ser executado como root
não garante que o processo original que acionou o gzip
esteja sendo executado como root
também. Você pode ver uma lista de todos os crontab
s existentes fazendo sudo ls /var/spool/cron/crontabs
.
Registros
Verifique todos os registros de sistemas que você possui, procurando por entradas suspeitas no momento em que o processo é criado. Não tenho certeza se o Kubuntu nomeia seus arquivos de log de maneira diferente, mas no Ubuntu padrão você deve pelo menos verificar /var/log/syslog
.
Última escolha: um wrapper gzip
Se nada disso resultar em algum resultado, você pode renomear seu gzip
binário e colocar um pequeno invólucro no lugar que lance gzip
com os parâmetros passados, mas também capture o estado do sistema naquele momento.