>>15 つーかそれデフォルト。俺なんかバックドアらしいものが仕掛けられてたよ。
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0 /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
10 3 * * * /etc/cron.d/syschecker
一番下のがそれ。ちなみに1時間毎日にuptime、3時間毎にps記録して判明できた。
以前、arp -a取っておいたおかげでIPアドレス偽ってアクセスした奴を挙げれた。