Верно говорят, майнер чтобы быть полезным обязан жрать процессор. Все ядра на сервере грузятся почти на 100%.
Поможет Вам команда top
А netstat -nap | grep -i 'established' покажет все установленные TCP сессии
и tcpdump поможет отловить исходящий трафик.
Буквально недавно боролся с майнером на дырявом сервере.
Аплоадят через php в папку /tmp
потом смотрят нет ли майнера в памяти ps afx и запускают его через nohup.
Так как дырявыми сайтами занимаются другие люди, пришлось запретить php запускать процессы.
С майнером это помогло. Потом началась борьма со спамом, и с использованием сервера для взлома и атаки других сайтов. Пришлось отрубить апачу возможность инициировать исходящие соединения и дропнуть весь UDP трафик. Это единственная возможность так как разработчики полгода не могут пропатчить сайты. Сайты до сих пор дярявы но майнеры не приживаются, спам не рассылается и атаки не ведутся. Хостер не жалуется. Сайты работают.
htop 
