Saya memiliki masalah yang sama, dan saya telah mempersempit, peretas dapat mengganggu beberapa wordpress lama dan tidak ditingkatkan.
Mungkin cara terbaik dan tercepat untuk melihat siapa yang menghabiskan waktu di server Ubuntu 16.04.3 Anda adalah dengan menginstal htop
sudo apt install htop
lalu ketik sudo htop
Ini akan menunjukkan kepada Anda di mana nama pengguna memakan berapa banyak CPU 
Dan jika Anda mengidentifikasi beberapa proses yang memakan banyak cpu, Anda dapat memeriksanya dengan lsof -p <pid>
lsof adalah singkatan dari list open files, untuk melihat perintah lengkapnya, ketik man lsof
Namun, itu semua tergantung pada bagaimana PHP Anda dieksekusi, dan apa yang sebenarnya telah dilakukan peretas pada sistem Anda.
Cara lain yang bagus untuk melihat, apa sebenarnya yang dilakukan Apache adalah mengaktifkan mod_status
Biasanya, di ubuntu yang lebih baru:
sudo a2enmod status
Dan setelah itu tambahkan ini ke situs web 000-default.conf Anda:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Ganti X dengan IP Anda yang sebenarnya...
Atau Anda dapat mengaksesnya dengan lync misalnya dari konsol server Anda seperti
lynx 127.0.0.1/server-status
Dan hasilnya akan terlihat seperti:
Di posting saya yang lain https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 Anda dapat melihat cara meningkatkan keamanan server Anda dan mencegah serangan semacam itu.