:):):) Создали каталог, запустили прогу, удалили прогу с каталогом. Файл проги остаётся открытым и будет неприкосновенным до завершения проги (пройдёт сискол закрытия файла, который окончательно удалит удалённый файл) или перезагрузки системы. Это только в шинде открытый файл удалить сложно, в юнихе такой функционал изначально был нормальным, при чём после удаления даже форк нормально работает. Чаще всего используется хацкерами для обмана начинающих админов, ну ещё некоторые так заботятся об удалении временных файлов или скрытия рабочих данных. lsof поможет. Обязательно проверяйте скрипты запуска системы - туда наверняка что-то добавили.
Зависит от вашей системы. У линухов чаще всего /usr/sbin/cron . НО /usr/sbin/cron и /USR/SBIN/CRON - это абсолютно разные вещи.
Вы попробуйте посмотреть с помощью lsof -p 15351 (где 15351 - PID капсованного крона) строки с полем FD типа "cwd" и "txt" - текущий каталог и полный путь исполняемого файла. ИМХО, если на картинках не было опечаток и крон - капсованный, система взломана и занимается чем-то не хорошим.
Крон, который крон, лежит где-то в /usr. /USR - это уже не нормально. /USR/SBIN - просто фантастика. Всё что в /USR/SBIN - предмет детального исследования. Можно конечно предположить, что Вы используете файловую систему не чувствительную к регистру, FAT32 на пример... Но у вас есть в списке процессов /usr/sbin/mysqld - в нижнем регистре.