Isso dispara os alarmes para mim.
Verifique seu ID de processo e veja ls -l /proc/process_id/ para ver, por exemplo o que o executável é (o exe symlink). Você pode copiar para o qual esse link aponta para análise. Além disso, verifique o que está fazendo com strace -p process_id . Se estiver se conectando à Internet, você poderá fazer o firewall dessas conexões de saída enquanto analisa a situação.
Se a localização exe estiver em algum lugar em um diretório temporário ou em algum outro local gravável por, por exemplo, o processo do servidor web é uma aposta bastante segura de que o sistema foi comprometido. Em qual usuário ele está sendo executado? Se não for root, então talvez o dano causado seja limitado e você pode escapar com a limpeza após ele; No entanto, recomendo enfaticamente limpar o sistema, restaurar a partir do backup e descobrir como o sistema foi comprometido para evitar que isso aconteça novamente.