Potresti provare a eseguire il comando
sudo dtrace -qn 'syscall::open:entry /arg1&O_CREAT/ {printf("%5d %s file:%s\n",pid,execname,copyinstr(arg0));}' | grep '[:/]0$'
in una finestra di terminale. L'output dtrace elencherà l'ID del processo, il nome del processo e l'argomento nomefile per qualsiasi chiamata open() con il flag O_CREAT impostato, il che significa che creerà il file se non esiste già. Rilascia il bit di grep finale se vuoi vedere tutte le chiamate potenzialmente create da open() , ma l'output potrebbe forse sopraffarti. Premi Ctrl-C quando hai finito.
Se qualcosa continua a creare file denominati 0 , il colpevole deve apparire nell'output.
(Modifica: risolto il richiamo di grep.)