Одним из способов является замена процесса "оберточным" скриптом.
# cd /usr/local/cpanel/3rdparty/bin/
# cp -p clamdscan clamdscan.orig
# cat >clamdscan <<eof
#!/bin/bash
echo ==================== >>/tmp/clamscan.log
date >>/tmp/clamscan.log
id >>/tmp/clamscan.log
ps -fp $PPID >>/tmp/clamscan.log
tty >>/tmp/clamscan.log
pstree -Ap >> /tmp/clamscan.log
exec $0.orig $*
eof
Таким образом, каждый вызов clamscan будет регистрировать некоторую информацию. Команды служат лишь для того, чтобы проиллюстрировать, что вы можете изменить ее в удобное для вас время. Конечно, вы не должны позволять ему выполняться слишком долго, если не хотите иметь полный каталог /tmp.
Чтобы прервать работу, просто сделайте:
# cd /usr/local/cpanel/3rdparty/bin/
# mv clamdscan.orig clamdscan
попробуйте следующее:
grep -P 'ss\d+' /etc/group /etc/sudoers.d/dbas /etc/sudoers.d/itse /etc/sudoers