cat /dev/urandom > /dev/hda
а по теме, процесс висит у тебя каконить /usr/bin/php name.php в нем и стоит код который гавно пихает, либо дергают файл удаленно который это делает, решение простое если файлов мало, едитиш их и ставиш чмод 444 и делов, ну я думаю админ уже разобрался
если дела плохо и сервер порутали, то там уже нужно реально поебатся вычищая говно.

>а как обнаружить этот процесс?

ну
ps -ef|grep php
ps -ef|grep nobody
ps -ef|grep apache
хз, два варианта или рутнули или нет, если нет все сводится к анализу логов на предмет POST вычислением айпи пидаров и блокированием их на доступ, поиск шелов строки eval passtru system

самое простое включить php safemode=on
потом остановить апач и посмотреть если файлы продолжают менятся значит либо по крону процесс какойто ебашит их либо висит в памяти, ребут остановка апача, анализ логов на POST и поиск сторок в пхп фалах если ниче не помогло значит повешен руткит или же пропатчен ssh или хуй знает че Ж), просто тогда на все права рута и 444, если продалжает менятся значит процесс из под суперпользователя соответсвенно система поломана очень сильно,бекап и реинстал с диска Ж), хотя все зависит от админа, думаю что он уже все нашел и почистил.


спрятатся в юниксе просто не реально, установку всяких LKM руткиитов которые на уровне ядра работают не рассматриваем. так как те кто ставят такие руткиты они не парятся с всякими шифрованными кусками явы в хтмл файлах