J'ai eu le même problème, et j'ai précisé, les pirates ont pu s'introduire dans certains wordpress anciens et non mis à jour.
Probablement le moyen le meilleur et le plus rapide de voir qui consomme combien de temps sur votre serveur Ubuntu 16.04.3 est d'installer htop
sudo apt install htop
puis tapez sudo htop
Il vous montrera sous quel nom d'utilisateur consomme combien de CPU 
Et si vous identifiez un processus qui consomme beaucoup de CPU, vous pouvez le vérifier par lsof -p <pid>
lsof représente la liste des fichiers ouverts, pour voir son ensemble complet de commandes, tapez man lsof
Cependant, tout dépend de la manière dont votre PHP est exécuté et de ce que les pirates ont réellement fait à votre système.
Une autre bonne façon de voir ce que fait Apache exactement est d'activer mod_status
Habituellement, sur les nouveaux ubuntu, c'est :
sudo a2enmod status
Et après cela, ajoutez ceci à votre site Web 000-default.conf :
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Remplacez X par votre IP actuelle...
Ou vous pouvez y accéder avec lync par exemple depuis la console de votre serveur comme
lynx 127.0.0.1/server-status
Et la sortie devrait ressembler à :
Sur mon autre article https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571, vous pouvez voir comment améliorer la sécurité de votre serveur et empêcher de telles attaques.