Показанная Command может быть подделана запущенным процессом. (Пример с Perl)
Более надежный способ найти двоичный файл процесса - выполнить эту команду, где 1506 - это PID, найденный вами в выводе htop :
sudo file /proc/1506/exe
Образец вывода:
deltik@node51 [~]$ sudo file /proc/1506/exe
/proc/1506/exe: symbolic link to /usr/bin/plasmashell
В приведенном выше примере фактического двоичного файла PID 1506 был /usr/bin/plasmashell .
Обратите внимание, что вы сможете сделать это только для подозрительного процесса, который в данный момент выполняется, а не для процессов, которые уже вышли или были завершены.
Вы также можете узнать, какие файлы выполняет процесс с помощью этой команды (снова заменив 1506 на текущий PID):
sudo lsof -p 1506
И вы можете наблюдать системные вызовы и сигналы процесса и его подпроцессов в реальном времени, например, так:
sudo strace -vfts1000 -p 1506
file , lsof и strace должно быть достаточно, чтобы нарисовать хорошее представление о том, чем на самом деле является процесс, и помочь вам понять, почему он запущен.