Este padrão de nome de arquivo é padrão para o mktemp
(ou mkstemp
) função, quando passou o modelo mais simples possível ( "XXXXXX"
durante a execução no diretório raiz). Então, isso pode ser praticamente qualquer programa.
Se o programa parou de fazer isso, é impossível descobrir com absoluta certeza qual programa é o culpado após o fato. No entanto, há uma boa chance de que o programa ainda esteja fazendo isso e, se for, você pode pegá-lo em flagrante.
Este programa é evidentemente defeituoso, já que não deve criar muitos arquivos temporários. Se os arquivos aparecessem enquanto o disco estava cheio, há uma boa chance de que o programa de fato crie freqüentemente esses arquivos temporários; mas sob operação normal, ele os preenche com conteúdo, os processa e, finalmente, os exclui. Quando o disco está cheio, a etapa de preenchimento falha, mas o arquivo não é removido porque o programa não se recupera do erro corretamente.
Você pode usar o recurso de auditoria do Linux para observar a atividade em um diretório. Certifique-se de que auditd
esteja instalado e configure um watch no próprio diretório raiz (não é um relógio recursivo!):
auditctl -a exit,always -F path=/
Você receberá mensagens de log em /var/log/audit/audit.log
quando um processo gravar no diretório raiz. Isso nunca deve acontecer em operação normal, então o processo problemático se destacará.