Tecnicamente falando, não há uma maneira padrão de identificar um nome de usuário como malicioso / não malicioso. Existem determinados usuários padrão, como nobody , daemon e whoopsie , para que você possa excluí-los com segurança. Eu recomendo criar uma nova instalação no VirtualBox e ter um pico no /etc/passwd ou perguntar a um amigo que tenha um sistema relativamente inalterado.
O nome de usuário que você mencionou nos comentários, toor , é usado com frequência para criar um usuário no nível raiz com permissões extras, deixando uma conta diferente para uso regular. A julgar pelos seus comentários, você não criou isso e não sabemos se essa máquina é de segunda mão ou não. Se foi em segunda mão, é bem possível que tenha sido criado pelo dono anterior. Caso contrário, você pode estar certo em suspeitar de intrusão em seu sistema.
Combater a intrusão pode ser um pouco complicado. A abordagem mais simples e eficaz é fazer backup de arquivos e reinstalar o sistema operacional. Investigar as conexões e quais arquivos / daemons / cronjobs foram comprometidos pode ser demorado.