A primeira coisa que você deve fazer, se ainda não o fez, é bloquear o servidor tanto quanto você pode realisticamente enquanto determina qual é a causa. Em um mundo ideal, eu deixaria a máquina desligada enquanto descobria o que estava acontecendo.
Tente determinar qual foi a causa raiz disso (com o perdão do trocadilho). Se isso for algum tipo de ataque sobre http, saiba de onde veio e o que mais poderia ter sido comprometido. Pode ser um compromisso de toda a caixa?
Seu kernel tem cerca de 2 anos, seu PHP não é o mais atualizado para esse ramo. Eu acho que sua instalação do apache também não é. Você está usando um pacote do tipo CMS instalado para o site? Isso está atualizado? Você removeu algum diretório de instalação? Quais são as permissões nos arquivos?
Se fosse eu:
- Tire a máquina da linha
- Verifique se o problema está contido (possivelmente uma reinstalação para ter certeza)
- Assegure-se de que o software esteja atualizado e que todos os furos de segurança conhecidos sejam cobertos
- Restaurar conteúdo de um backup válido (você tem um backup, certo?)
- Veja algo como o Tripwire
Isso pode ser uma reação exagerada ao seu problema, mas até você saber a escala do "desfiguramento", você não saberá o quanto levar isso em consideração.