Você mencionou o cronjob sendo executado aleatoriamente; você verificou os cronjobs com crontab -l para algo incomum? A conta que foi comprometida na conta raiz? Mesmo que não seja, você verificou os últimos logins e as entradas do cron para a conta root também, se você tem acesso root?
Eu tenho visto ataques de dicionário de endereços IP em todo o mundo regularmente para um servidor SSH que eu gerencio. Se você estiver usando autenticação por senha e não usar uma senha strong , alguém poderá adivinhar sua nova senha também.
Se você controla o servidor, ou seja, você tem acesso root, se você sabe que só precisará se conectar ao servidor usando SSH de um número limitado ou intervalo de endereços IP, crie uma regra de firewall para permitir somente o acesso SSH os endereços IP dos quais você precisa se conectar.
Neste ponto, se o invasor tiver ganho acesso root, pode ser difícil eliminar a possibilidade de que o invasor não tenha instalado algum software para permitir acesso a ele por outros meios, possivelmente modificando os arquivos do sistema. O curso mais seguro seria reinstalar o sistema operacional e todos os aplicativos necessários. Se isso não for possível, você pode controlar e monitorar o acesso ao sistema a partir de um ponto externo ao sistema, por exemplo, um firewall na frente do servidor?
Veja também a questão de falha no servidor Como sei se meu servidor Linux foi invadido? para sugestões sobre ações que você pode realizar. Por exemplo, a sugestão de Ian Purton de usar o comando find /etc /var -mtime -2 para ver se os arquivos foram alterados nos últimos dois dias nesses diretórios. Substitua um número apropriado de dias por -2 . Você também pode executar chkrootkit como outra pessoa sugeriu.
Se você estiver usando um software de firewall que permita especificar um fqdn além dos endereços IP das regras de firewall, poderia especificar que você deseja permitir o acesso de algo como muki.mydomain.com e, em seguida, usar um serviço DDNS , como < href="http://no-ip.com"> Sem IP , para que qualquer novo endereço IP seja associado a muki.mydomain.com. O No-IP oferece um nível de serviço gratuito no qual você usa um dos seus domínios, mas pode especificar algo como muki.noipdomain.com para o seu host. Em seguida, você instala o software no sistema que você usa para o cliente SSH que relata periodicamente seu endereço IP para servidores DNS não-IP. Esses servidores traduzirão muki.mydomain.com ou muki.noipdomain.com para qualquer endereço IP atual atribuído ao sistema a partir do qual você está tentando estabelecer a conexão SSH.
Ou você pode controlar o acesso por chaves públicas / privadas , em vez de senhas. Ou seja, alguém só pode fazer login em uma conta no servidor SSH, se tiver uma chave privada que corresponda à chave pública da conta no servidor. Se a autenticação por senha estiver desativada e o acesso for restrito por chaves públicas / privadas, a adivinhação de senha não funcionará. Somente alguém que tenha a chave privada correspondente à chave pública de uma conta no servidor pode acessar essa conta via SSH. Eu não uso o WHM, mas há um artigo WHM / cPanel: SSH com Login Root desabilitado sobre como fazer isso usando o WHM.