Tecnicamente, não é um único processo cujo pid está mudando, mas o antigo processo está sendo finalizado e um novo está sendo iniciado.
Por que não tentar encontrar seu ID de processo pai, por exemplo, usando ps -o pid,ppid,cmd -U root (será na segunda coluna). É possível que exista um processo pai que esteja iniciando todos os outros processos.
Parece estranho que não haja nome para esse processo na primeira coluna. Pode haver mais pistas no diretório / proc, por exemplo, ls -l /proc/<pid>/exe e cat /proc/<pid>/cmdline . Experimente também as diferentes opções de comandos ps , por ex. ps -o pid,comm e ps -o pid,args imprimirão informações diferentes. (Adicione -U root ou -p <pid> a esses comandos.)
UPDATE
Se o processo não tiver nome, talvez pgrep '^$' o liste, e você poderá fazer o que quiser com ele, por exemplo
pgrep '^$' | while read pid; do
ps -f $pid
ls -l /proc/$pid/cmdline
netstat -tlp | grep '\<'$pid'\>'
echo kill $pid # remove the echo after testing
done
Se pgrep '^$' não listar nada, talvez um ps -o comm= -U root | od -c normal para entender qual é o nome do processo, portanto, você pode usar pgrep para localizar apenas os processos com esse nome.
Se isso também falhar, procure em auditctl .
Ou você escreve um script que executa ps duas vezes e mata qualquer processo que apareça apenas na saída da segunda execução.
Além disso, se for um rootkit como outros sugeriram, seria uma boa ideia desconectar esse computador da Internet enquanto você investiga. Dessa forma, não é possível enviar seus dados pessoais para outras pessoas ou enviar spams ou qualquer outra coisa desse tipo.