1)Смотрите что крутиться из процессов подозрительное, какие ресурсы загружают cpu -ps aux, top, htop
2)Если все нормально, то дальше анализируйте сетевую подсистему. netstat -an, sockstat.Также посмотрите логи firewall
3)Если ничего подозрительно нету, то устанавливайте rkhunter.Возможно у вас в системе поселился рутник или прочая скрытая нежить.
4)Еще есть способ - загрузить систему в безопасном однопользовательском режиме, и анализируйте запуск служб, демонов rc.d.

А что за процесс ss от root, загружающие cpu на 18,9%?!Особенно учитывая, что он практически не использует виртуальную память и запущен 36 мин.Посмотрите, случайно не от него происходят fork процессы заняты в /tmp?Если они исполняются с уровнем доступа id 1000...
Кошмар полный, что у вас на сервере творится.Если я на своем серваке увидел такую картину, то мне очень сильно захотелось потянуть руки к револьверу.
1)Как соверовали выше, легче всего переуставновить систему с нуля, buckap основную информацию, а потом dd if=/dev/null of=/dev/sdax.
2)Если восстанавливать систему полностью, то здесь нужен серьезный спец с очень хорошим опытом, да и после его работы, далеко не факт, что не останется скрытых дыр.
Можно дальше копать, но здесь огромная масса всевозможных безд, в которых можно захлебнуться и потерять свое время и нервы.