Ich hatte das gleiche Problem, und ich habe eingegrenzt, dass Hacker in alte und nicht aktualisierte WordPress eindringen konnten.
Der wahrscheinlich beste und schnellste Weg, um zu sehen, wer wie viel Zeit auf Ihrem Ubuntu 16.04.3-Server verbraucht, ist die Installation von htop
sudo apt install htop
Geben Sie dann sudo htop ein
Es zeigt Ihnen, unter welchem Benutzernamen wie viel CPU verbraucht wird 
Und wenn Sie einen Prozess identifizieren, der viel CPU verbraucht, können Sie dies mit lsof -p <pid> überprüfen
lsof steht für list open files, um den vollständigen Befehlssatz anzuzeigen, geben Sie man lsof ein
Es hängt jedoch alles davon ab, wie Ihr PHP ausgeführt wird und was Hacker tatsächlich mit Ihrem System gemacht haben.
Eine weitere gute Möglichkeit zu sehen, was Apache genau tut, ist die Aktivierung von mod_status
Normalerweise ist es auf neueren Ubuntus:
sudo a2enmod status
Und danach fügen Sie dies zu Ihrer 000-default.conf-Website hinzu:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Ersetzen Sie X durch Ihre tatsächliche IP...
Oder Sie können beispielsweise mit Lync von der Konsole Ihres Servers wie
darauf zugreifenlynx 127.0.0.1/server-status
Und die Ausgabe sollte so aussehen:
In meinem anderen Beitrag https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 können Sie sehen, wie Sie die Sicherheit Ihres Servers verbessern und solche Angriffe verhindern können.