пассажиру (mod_rails) не удается запустить марионеточное ведущее устройство под nginx

Командная строка может быть изменена, если процесс изменяет argv [0]. Попробовать ls -l /proc/[pid]/exe

От man 5 proc

этот файл является символьной ссылкой, содержащей фактический путь выполняемой команды. Эта символьная ссылка может обычно разыменовываться; попытка открыть его откроет исполняемый файл. Можно даже ввести/proc / [число]/exe для выполнения другой копии того же исполняемого файла, как выполняется процессом [число]. В многопоточном процессе содержание этой символьной ссылки не доступно, если основной поток уже завершился

ps auxwf | less высказывает Вам "лесное мнение" процессов, которые могут показать Вам, какой процесс запустил этот процесс (если руткит не скрывает его, или родитель приложения вышел, и это было повторно порождено к init).

Это было бы главным образом академическим и вероятно просто timewaster, но strings -n 10 /proc/[pid]/mem могла бы быть забава наблюдать прокрутку мимо. Вы могли также echo 0x7 > /proc/[pid]/coredump_filter и используйте gdb gcore для принуждения coredump со всем возможным в нем но затем процесс умирает, который мог заблокировать дальнейший анализ.

Но определенно послушайте совет Arenstar. Создайте резервную копию данных только, восстановите все исполняемый файл от резервных копий и запуститесь. Необходимо, вероятно, восстановить веб-сайт от резервных копий также, мог быть злонамеренный JavaScript, добавленный к каждому HTML или php файлу. Если Вы рассмотрите судебный иск, то Вы захотите просто отложить машину, отключите ее от сети и остановите то, что это, Вы делаете, пока судебно-медицинские эксперты не сделали свое задание.