Eu tenho o mesmo processo em um dos meus servidores. Eu mato e excluo esses arquivos e diretórios fom / tmp:
config.f
conf.n \
facebook
gameover.so
Loader.sh
Run.sh
scsi_eh_320
Eles são todos feitos pelo usuário "postgres". Eu pesquiso alguma função de malware (\ df +) no banco de dados postgres, mas não encontro nada. A porta 5432 é acessível a partir da internet, então eu acho que eles usam isso para infectar.