Что это за маленькое диалоговое окно на картинке? Как это удалить?

Просто взглянув на опубликованный вами вывод, я вижу работающий майнер криптовалюты xmrig. Если вы не собирались запускать этот процесс, это мог сделать кто-то с достаточным доступом.

Вы разместили два процесса, каждый из них выглядит очень подозрительно:

30741 www-data  20   0   89556  10264      4 S 213.6  0.1  26636:45 /tmp/sshm -c /tmp/.u

Это процесс, принадлежащий пользователю www-data, который запускает исполняемый файл /tmp/sshmс аргументом /tmp/.u. Вы должны иметь возможность проверить эти два файла, чтобы определить, являются ли они вредоносными или нет.

18575 www-data  20   0  725948  10244     56 S 212.3  0.1   6608:57 /tmp/.FILE/stak/ld-linux-x86-64.so.2 --library-path /tmp/.FILE/stak /tmp/.FILE/stak/xmrig -o 195.22.126.117:443 -u 45ENzNUptUrV8nLM2Cwwwb1r98M7ZPocmdsmg1SKWAL6b8DJQcU3+

Это еще один процесс, принадлежащий www-data, и это майнер криптовалюты. Он установил себя в /tmp/.FILE. Если вы не устанавливали и не запускали это, то вас наверняка где-то эксплуатируют.

Если эти процессы являются вредоносными, их нужно убить, чтобы они перестали работать. Затем вы захотите найти точку входа этих вредоносных файлов. Поскольку они принадлежат www-data, у вас, скорее всего, есть законный процесс на этом сервере, работающий от имени этого пользователя, возможно, веб-сервер или приложение, которое позволяет создавать и выполнять эти файлы.

Вам нужно как можно скорее найти эту точку входа и исправить ее, иначе вредоносные файлы, вероятно, просто вернутся снова. Просмотр файлов журнала должен помочь. Обязательно проверьте все, что может сделать пользователь www-data. Дважды проверьте свой веб-сервер и/или веб-приложения, чтобы убедиться, что они не разрешают установку и выполнение этих файлов.

Один из шагов по усилению защиты сервера, который я видел для смягчения проблем такого рода, заключается в запрете выполнения exec из /tmpвообще:mount -o noexec,remount /tmp.