sudo cat /var/log/mysql/error.err | egrep '[aA]ccess denied'


https://serverfault.com/a/455610

Добавлено
Надо, собственно, отключить этот сервер от продакшена, от греха подальше и на нём проводить эксперименты. А для продакшена подготовить свежеустановленную ОС с более серьезным подходом к защите.
Если есть спортивный интерес обнаружить зловред, то:

  1. вместо действительного MySQL запустить программу-приманку.
    https://github.com/sjinks/mysql-honeypotd
  2. далее, можно установить atop, acct:
    sudo apt install acct atop
    atop собирает информацию о производительности системы и запускаемых процессах
    acct ведет мониторинг активности пользователей (в частности, sa выводит список процессов)

    https://haydenjames.io/use-atop-linux-server-perfo...
    https://www.tecmint.com/how-to-monitor-user-activi...

    соберет статистику за полдня-день и тогда можно анализировать историю так:
    atop -r /var/log/atop/atop_20200729
  3. Если не хватит, то у меня появилась такая идея: можно написать программу. Она может слушать на порту 3306 и регистрировать IP адрес и также узнавать номер процесса клиента, по которому можно узнать и путь и от какого пользователя запущен.
    Узнать номер процесса по прослушиваемому порту
    sudo lsof -i :2345
    Узнать что за пользователь и откуда запускается
    ls -l /proc/6726/exe
    pwdx 6726