Ho avuto lo stesso problema e ho ristretto il campo, gli hacker sono stati in grado di intromettersi in alcuni wordpress vecchi e non aggiornati.
Probabilmente il modo migliore e più veloce per vedere chi sta consumando quanto tempo sul tuo server Ubuntu 16.04.3 è installare htop
sudo apt install htop
quindi digita sudo htop
Ti mostrerà sotto quale nome utente sta mangiando quanta CPU 
E se identifichi qualche processo che consuma molta CPU, puoi controllarlo con lsof -p <pid>
lsof sta per list open files, per vedere il set completo di comandi, digita man lsof
Tuttavia, tutto dipende da come viene eseguito il tuo PHP e da ciò che gli hacker hanno effettivamente fatto al tuo sistema.
Un altro buon modo per vedere cosa sta esattamente facendo Apache è abilitare mod_status
Di solito, su Ubuntu più recente è:
sudo a2enmod status
E poi aggiungi questo al tuo sito web 000-default.conf:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Sostituisci X con il tuo attuale IP...
Oppure puoi accedervi con lync, ad esempio dalla console del tuo server come
lynx 127.0.0.1/server-status
E l'output dovrebbe essere simile a:
Nell'altro mio post https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 puoi vedere come migliorare la sicurezza del tuo server e prevenire tali attacchi.