Respondendo minha própria pergunta aqui (o que não desvaloriza a resposta de JakeGould)
Eu finalmente encontrei a causa disso, em vez de um writeup, tudo está bem resumido nesta página:
Usando a orientação nessa página (e os artigos vinculados) eu olhei para os módulos do Apache carregados e encontrei o mod_view_proxy.so que não é um módulo do Apache conhecido. Isso estava sendo carregado no Apache através de uma diretiva LoadModule em /etc/httpd/conf.d/perl.conf. Todos os arquivos foram tocados, portanto, o carimbo de data e hora neles não parece suspeito. Como a entrada do blog menciona que o SSHD também foi substituído por uma versão diferente.
Sobre como isso ficou comprometido, não totalmente seguro - a suposição é que isso foi causado pela versão antiga e em execução do vBulletin e / ou de um de seus plugins (o que é totalmente minha culpa).
Também preciso dar a esses caras suas contribuições:
Como você pode ver neste tópico, eu esgotara todas as minhas idéias e também minha habilidade técnica, então como último recurso eu fui à Sucuri com tudo o que eu sabia e tinha feito. Sim, é um serviço pago, mas eles encontraram o problema, resolveu - o seu serviço foi fantástico. Eles estavam genuinamente interessados em me ajudar a navegar por essa questão, um serviço de nível que nem sempre vemos nos dias de hoje. Não tenho nada a não ser elogios para eles e não hesitaria em recomendá-los a qualquer um em minha posição.