A entrada da sessão é devido a um trabalho de cron
sendo executado como root
. Está sendo gerado em 06:06.
Verifique as entradas relevantes de cron
para root
e descubra exatamente o que está sendo executado exatamente na ocasião.
Lugares possíveis para se olhar:
-
/etc/crontab
-
/etc/cron.d/*
-
/etc/cron.hourly/*
- Raiz
crontab
:crontab -e
asroot
Se anacron
não estiver ativo:
-
/etc/cron.daily/*
-
/etc/cron.weekly/*
-
/etc/cron.monthly/*
Apenas para adicionar, se seu sistema foi comprometido antes, pare de usá-lo, faça um backup (se necessário), configure o sistema operacional novamente. Mais tarde, você poderá analisar o conteúdo do backup para aprofundar a invasão.