Я предполагаю, что Вы - сниффинг пакета...
Если у Вас есть все пакеты с начала соединения, необходимо смочь видеть от первых нескольких пакетов, какой протокол верхнего уровня используется (ssh/https/sftp).
Если это - плоскость поток зашифрованных данных TLS, то необходимо смочь видеть квитирование TLS, где клиент и сервер договаривается что протокол использовать и обмениваться открытыми ключами для использования в шифровании... С тех пор Вы знаете, что это - ssl, зашифрованный, или некоторые другие данные.
Ваш средний анализатор пакетов, такой как wireshark может обычно декодировать эти первоначальные сообщения, но очевидно не зашифрованное содержимое...
Пользовательские crontab обычно находятся в / var / spool / cron
, вы можете найти то, что ищете, в одном из них.
Не редактируйте файл непосредственно файл crontab пользователя, используйте команду
sudo crontab -u user -e
. Если вы хотите удалить использование crontab пользователя
sudo contab -u user -r
Это гарантирует, что демон cron знает, что было изменено.