Měl jsem stejný problém, a když jsem to zúžil, hackeři byli schopni proniknout do nějakého starého a neupgradovaného wordpressu.
Pravděpodobně nejlepší a nejrychlejší způsob, jak zjistit, kdo spotřebovává kolik času na vašem serveru Ubuntu 16.04.3, je instalace htop
sudo apt install htop
potom zadejte sudo htop
Ukáže vám, pod kterým uživatelským jménem žere kolik CPU 
A pokud identifikujete nějaký proces, který hodně spotřebovává CPU, můžete to zkontrolovat pomocí lsof -p <pid>
lsof znamená seznam otevřených souborů, chcete-li zobrazit celou sadu příkazů, zadejte man lsof
Vše však závisí na tom, jak je vaše PHP prováděno a co hackeři skutečně provedli s vaším systémem.
Dalším dobrým způsobem, jak zjistit, co přesně Apache dělá, je povolit mod_status
Na novějších ubuntu je to obvykle:
sudo a2enmod status
A poté přidejte toto na svůj web 000-default.conf:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Nahraďte X svou skutečnou IP...
Nebo k němu můžete přistupovat pomocí lyncu například z konzole vašeho serveru jako
lynx 127.0.0.1/server-status
A výstup by měl vypadat takto:
Na mém dalším příspěvku https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 můžete vidět, jak zlepšit zabezpečení vašeho serveru a zabránit takovým útokům.