Все таки это оказался майнер. И простое удаление файлов не помогло. Но как он попадает на сервер не понятно. В файле конфига есть IP адрес и порт

"pools": [
        {
            "algo": null,
            "coin": null,
            "url": "94.130.12.30:80",
            "user": "49dqjpiF82jSzgjJDuCpgD32mkVJy9pqMeo1pb2VhqQLHdb2YgPombYUaT5kAZb8w89rZ4R7gNpPtBNXV7LonQi7NHWi1u1",
            "pass": "lara",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "enabled": true,
            "tls": false,
            "tls-fingerprint": null,
            "daemon": false,
            "socks5": null,
            "self-select": null,
            "submit-to-origin": false
        }
    ],

Если его открыть в браузере то можно понять что это такое

Сомнений нет это майнер. Но как он попал на сервер и где уязвимость?

Написал об это в тех поддержку timeweb. Они ответили, что приняли к сведению и порекомендовали связаться с владельцем сервера xD. Я даже представил себе себе этот диалог:

• Здравствуйте, нашел Ваш Майнер заберите пожалуйста
• Ой спасибо, вечно он он убегает на чужие сервера.

Простое удаление не помогло

Но после того как я закрыл порт процесс больше не запустился

iptables -A OUTPUT -d 94.130.12.30 -j DROP

Буду разбираться дальше. Счастливой разработки </>