Tuve el mismo problema, y lo reduje, los piratas informáticos pudieron entrometerse en algunos wordpress antiguos y no actualizados.
Probablemente la forma mejor y más rápida de ver quién consume cuánto tiempo en su servidor Ubuntu 16.04.3 es instalar htop
sudo apt install htop
luego escribe sudo htop
Le mostrará bajo qué nombre de usuario está consumiendo cuánta CPU 
Y si identifica algún proceso que consume mucha CPU, puede verificarlo con lsof -p <pid>
lsof significa lista de archivos abiertos, para ver su conjunto completo de comandos, escriba man lsof
Sin embargo, todo depende de cómo se ejecute su PHP y de lo que los piratas informáticos le hayan hecho realmente a su sistema.
Otra buena manera de ver qué está haciendo exactamente Apache es habilitar mod_status
Por lo general, en los ubuntu más nuevos es:
sudo a2enmod status
Y luego agregue esto a su sitio web 000-default.conf:
<Location /server-status>
SetHandler server-status
Require ip 127.0.0.1
Require ip ::1
Require ip X.X.X.X
</Location>
Reemplace X con su IP actual...
O puede acceder a él con Lync, por ejemplo, desde la consola de su servidor como
lynx 127.0.0.1/server-status
Y la salida debería verse así:
En mi otra publicación https://security.stackexchange.com/questions/172396/some-bot-keeps-posting-this-to-my-server/172571 puede ver cómo mejorar la seguridad de su servidor y prevenir tales ataques.