私も同じ問題を抱えていて、ハッカーが古くてアップグレードされていないワードプレスに侵入できた.
おそらく、あなたの Ubuntu 16.04.3 サーバーで誰がどれだけの時間を費やしているかを確認する最善かつ最速の方法は、htop をインストールすることです
sudo apt install htop
次に sudo htop と入力します
どのユーザー名がどれだけのCPUを消費しているかが表示されます 
CPU を大量に消費しているプロセスを特定した場合は、lsof -p <pid> で確認できます。
lsof は、開いているファイルの一覧を表します。コマンドの完全なセットを確認するには、man lsof と入力します。
ただし、それはすべて、PHP がどのように実行されているか、およびハッカーが実際にシステムに何をしたかによって異なります。
mod_status を有効にして、Apache が正確に何をしているのかを確認するもう 1 つの良い方法です。
通常、新しい ubuntu では次のようになります:
sudo a2enmod status
その後、これを 000-default.conf ウェブサイトに追加してください:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
X を実際の IP に置き換えてください...
または、サーバーのコンソールなどから lync を使用してアクセスすることもできます
lynx 127.0.0.1/server-status
出力は次のようになります。 
私の他の投稿 https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 で、サーバーのセキュリティを向上させ、そのような攻撃を防ぐ方法を確認できます。