Добрый день. Ситуация: заметил страный процесс от одного из рядовых пользователей.

/proc/$PID/exe - /usr/bin/perl /proc/$PID/cmdline - /sbin/syslogd (такой файл есть, но это бинарник, а не перл, да и не должен он запускаться от данного пользователя. В /proc/$PID/fd симлинки на IN, OUT, ERR и 1 сокет который ведет на совершенно левый ip-адрес. Если сказать strace -fp $PID, то там ничего кроме такого нет:

select(0, NULL, NULL, NULL, {0, 10000}) = 0 (Timeout)
select(8, [3], NULL, NULL, {0, 0})      = 0 (Timeout)

Собственно вопрос: как найти что это, откуда взялось. То есть не «как провести аудит аккаунта\сервера», а именно «как понять откуда взялся данный процесс, откуда он запустилса, как назывался и где лежал этот перловый скрипт (если он был) или какие переменные были переданы перлу при запуске».

Ваши советы/предложения?

Всем привет, посоветуйте пожалуйста систему виртуализации, в которой можно отобрать дисковое устройство у гостевой системы не выключая эту самую гостевую систему (сэмулировать вылит диска).

Желательно открытую или бесплатную.