tail /var/log/audit/audit.log - в том файле собираются все запросы подъема прав (и ещё куча всего, советую помониторить), получить PID этого шелла, потом ps -ef найти по цепочке кто запустил. Это правда из-под рута, и выполнять проверку нужно с висящим окном запроса рутовых привилегий.