Таинственные записи в журнале cron, даже когда cron остановлен

Я использую Ubuntu Trusty и начал замечать некоторые записи системного журнала со случайными временными метками в дополнение к обычным записям журнала. Все записи в журнале roque предназначены для команды sysstat debian-sa1 (пример ниже):

2 декабря 13:24:09 сервер CRON[5167]: (root) CMD (команда -v debian-sa1 > /dev/null && debian-sa1 1 1)

Они приходят с нестандартными интервалами, обычно между 20-50 минутами, но иногда с интервалом более часа. Я решил найти источник этих посторонних записей в журнале и попытался остановить демон cron, а также запустить трассировку sysdig.

Остановка cron не помешала этим мошенническим записям войти в систему. Это действительно остановило реальные записи журнала debian-sa1, но эти посторонние записи продолжают поступать.

Я установил sysdig и запустил полный захват. Ниже вы можете видеть, что процесс 1286 записал запись журнала, но записанная запись идентифицирует себя как процесс 33306, что недопустимо.

17214176 17: 05: 36.330774838 14 rs: main (1286) <запись res = 175 данных = 7 января 18:35:01 сервер CRON [33306]: (root) CMD (команда -v debian-sa1> / dev / nul

Я не эксперт по sysdig и не могу понять, как сказать, что породило PID 1286 или какой двоичный файл выполнялся.

Буду признателен за любую помощь или совет по определению источника этих мошеннических записей журнала.