Eu não sei sabe com certeza, mas essa descrição cheira muito como um comprometimento de servidor que envia spam por e-mail. Também poderia ter sido um worm procurando por mais hosts para comprometer, mas o spam de e-mail parece mais provável.
Se você procurar o endereço IP do seu servidor em um site de reputação de e-mail, como SenderScore ou SenderBase ou simplesmente procurá-lo no Google, você pode encontrar alguma evidência disso e até mesmo exemplos do spam. Você também pode fazer check-in nas Listas negras de DNS para ver se o seu servidor está na lista negra.
O nome de usuário que o cron job estava executando, como sugere o comprometimento (se é o que foi) aconteceu através do seu site. O acesso do seu servidor web e os registros de erros nos dias anteriores ao início das tarefas do cronômetro seriam o melhor lugar para começar a procurar.
Quase esqueci o link obrigatório para MEU servidor foi invadido por EMERGÊNCIA . Muito bons conselhos sobre o que fazer e como limpar. Não se esqueça de remover ou restringir o phpMyAdmin.