Как видеть то, что выполняли процессы?
Они комментируют строку в конфигурационном файле. Действительно, это работало бы вокруг какой-то ошибки. Другими словами, наличие строки в конфигурационном файле активирует взломанный код. Комментирование его в конфигурационном файле оставляет взломанный код бездействующим, и вещи работают снова.
Это только фиксирует его с пользовательской точки зрения. Пользователь думает, что ошибка "исправлена", потому что их программа работает снова. Но действительно, это - просто обходное решение.
С помощью простого скрипта можно вести журнал процессов. С помощью журнала вы можете вернуться назад и посмотреть, что было запущено, а что нет.
#!/bin/bash
mkdir -p "$HOME/ps_logs"
while true; do
ps aux > "$HOME/ps_logs/ps_$(date +%Y-%m-%d_%H:%M:%S).log"
sleep 60 # Logging interval in seconds.
done
К сожалению, без журнала Вы не сможете вернуться назад во времени и получить список запущенных процессов.
Используйте команду аварии.
# crash /usr/lib/debug/lib/module/vmlinux /var/crash/vmcore
crash> ps
Обратите внимание, что вам нужно настроить систему для сохранения дампов аварий.