Toll!
wäre es natürlich wenn du uns mitteilen würdest wie die 4 user hießen.
Auf Anhieb würde ich hier keinen Prozess finden der nicht reinpasst, jedoch kann sich dieser auch ganz schnell als einer der beiden Apache Prozesse getarnt haben. Das wär dann der um 2017 oder um 2022...
Schau mal mit "chkrootkit" ob eventuell ein rootkit installiert wurde, auf jeden Fall musst du deinen Server plattmachen wenn du dir nicht sicher bist ob eingebrochen wurde!
So, nun ans eingemachte!
Sehe ich es richtig dass du alle Prozesse als root laufen hasst ohne irgendeiner Absicherung? (ja, screen ist keine Sicherung! )
Ich kenn mich mit dem CSserver ja nicht aus, denke aber nicht dass dieser _ROOT_ rechte benötigt.
Die Krönung ist jedoch dass du nichtmal die Ip-Adresse auf dem Screenshot "wegradierst" damit man wenigstens nicht weiß wer du bist.
nein, ich werde jetzt meiner Lust nicht folgen versuchen in deinem Server auf einfachste Weise einzubrechen, will dich aber der Gelegenheit mal fragen ob du denn wirklich Reif bist für einen Rootserver, immerhin ist das ja eine gefährliche Waffe um Angriffe gegen Firmennetze zu begehen...