Apenas olhando para o seu resultado postado, eu posso ver uma mineradora de criptomo xmrig rodando. Se você não pretendia iniciar esse processo, alguém com acesso suficiente foi capaz de fazê-lo.
Você publicou dois processos, cada um deles parece muito suspeito:
30741 www-data 20 0 89556 10264 4 S 213.6 0.1 26636:45 /tmp/sshm -c /tmp/.u
Este é um processo de propriedade de www-data executando um executável, /tmp/sshm , com o argumento /tmp/.u . Você deve poder inspecionar esses dois arquivos para determinar se eles são mal-intencionados ou não.
18575 www-data 20 0 725948 10244 56 S 212.3 0.1 6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+
Este é outro processo pertencente a www-data , e este é o mineiro de criptomoeda. Ele se instalou em /tmp/.FILE . Se você não instalou e executou isto, então certamente você está explorado em algum lugar.
Se esses processos são mal-intencionados, você quer matá-los para que eles parem de ser executados. Você então deseja procurar o ponto de entrada desses arquivos maliciosos. Como eles são de propriedade de www-data , é mais provável que você tenha um processo legítimo neste servidor executando como esse usuário, possivelmente um servidor ou aplicativo da web, que permite a criação e a execução desses arquivos.
Você precisa encontrar o ponto de entrada o mais rápido possível e corrigi-lo, ou os arquivos mal-intencionados provavelmente voltarão novamente. Observar seus arquivos de log deve ajudar. Certifique-se de verificar qualquer coisa que o usuário www-data seja capaz de fazer. Verifique seu servidor da Web e / ou aplicativos da Web para verificar se eles não estão permitindo a instalação e a execução desses arquivos.
Uma etapa de proteção do servidor que vi para atenuar esses tipos de problemas é não permitir exec de /tmp : mount -o noexec,remount /tmp .