Взлом Monero переживает перезагрузку в Linux

Недавно у нас было взломано несколько серверов (Ubuntu, различные варианты), на которых был установлен майнер Monero, запускающий процесс под названием watchbog. Мы очистили их и заблокировали доступ к тому месту, откуда они могут обновиться, но при перезагрузке серверы начинают перестраивать установку майнеров (и не удается)

Это создание каталога /tmp/systemd-private-d3883bec41f94ab0b3d927e3022873b1-systemd-timesyncd.service-jVvrE0 и некоторые подкаталоги, а затем останавливается. Случайные биты являются случайными каждый раз

То, что я хочу знать, - то, что восстанавливает это при загрузке. Кажется, что нет ничего очевидного в журналах или различных загрузочных скриптах. Где еще я могу посмотреть?