inicia o httpd a partir da conta de um cliente

Estou executando um servidor web (apache, mysql, php, cpanel) e enfrentei um problema que alguns usuários iniciam o servidor httpd a partir de suas contas. Isso causa sobrecarga enorme.

Parte do comando ps auxf :

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND    
infor8 30135  0.0  0.0  28996  3372 ?        SN   08:42   0:00 /usr/sbin/httpd
infor8 30136  0.0  0.0  28996  3440 ?        SN   08:42   0:00 /usr/sbin/httpd
infor8 30137  0.0  0.0  28996  3364 ?        SN   08:42   0:00 /usr/sbin/httpd

Na verdade, existem centenas desses processos do usuário infor8 . Estou pesquisando de qual diretório o processo foi iniciado da seguinte maneira:

lsof -p 30135

perl    25631 infor8  cwd    DIR      8,3    4096 76735848 /home/infor8/public_html
perl    25631 infor8  rtd    DIR      8,3    4096        2 /
perl    25631 infor8  txt    REG      8,3 1184862 42976810 /usr/local/bin/perl
perl    25631 infor8  mem    REG      8,3   23736 63414584 /lib64/libnss_dns-2.5.so

Usando o scanner de malware 'maldet', eu encontrei (e removi) muitos arquivos como:

{HEX}php.sessmasq.renata.519 : ./images/a96b6.php
{HEX}php.sessmasq.renata.519 : ./images/7fec3.php
{HEX}php.sessmasq.renata.519 : ./images/b1d10.php

Alguém poderia ajudar como bloquear o apache em execução localmente a partir das contas dos clientes no servidor web?

Obrigado por qualquer ajuda.

Atualização:

Permissões para httpd:

root@server [~]# which /usr/sbin/httpd
/usr/sbin/httpd
root@server [~]# ll /usr/sbin/httpd
lrwxrwxrwx 1 root root 31 Jul 15  2008 /usr/sbin/httpd -> /usr/local/apache/bin/apachectl*
root@server [~]# ll /usr/local/apache/bin/apachectl
-rwxr-xr-x 1 root root 2971 Sep  9  2009 /usr/local/apache/bin/apachectl*
root@server [~]#