Acontece que havia um arquivo em / tmp / chamado "Silence", mais outro chamado "BoomBoom". Investigações posteriores revelaram que se tratava de um malware do mineiro de criptografia, provavelmente injetado através de uma vulnerabilidade de deserialização de tomcat / apache / apache-commons-collections. Obrigado pelas dicas.