No conozco como trabaja cpanel, pero nobody no debería ejecutar apache.

Primero mirate los tmp para ver si te han colado algo en el servidor y se este ejecutando y camuflando bajo la línea /usr/local/apache/bin/httpd -DSSL. Esto es posible, yo mismo lo he visto.

Por otro lado, utiliza chkrootkit o similares para hacer un test al servidor y utiliza strace para ver que hace cada proceso.

Revisando el tmp (mira también el shm del dev) y utilizando el chkrootkit ya tendrás un primer informe (básico), luego con strace o lsof podrás ver que es lo que son cada uno de estos procesos.

Saludos,