Acontece que foi um peru chilando xmlrpc.php várias vezes por segundo em um site WordPress que eu não estava monitorando com o apachetop. Bloquear o endereço IP ofensivo resolveu bem o problema!
Caso alguém venha procurar aqui novamente, usei mod_status para me ajudar a chegar ao fundo disso. Especificamente, com o mod_status instalado e ativado, ativei o caminho / server-status em um dos meus hosts virtuais da seguinte maneira (substituindo <my-current-ip>
pelo endereço IP atual do meu PC cliente):
<VirtualHost *:443>
ServerName myhost.com
...
<Location /server-status>
SetHandler server-status
Require ip <my-current-ip>
</Location>
...
</VirtualHost>
Em seguida, visitou https://myhost.com/server-status
para obter uma visão completa do tráfego da web no sistema. Isso rapidamente revelou a maior parte do tráfego vindo do script xmlrpc.php no host virtual em questão.
De lá, acompanhei os registros de acesso desse host virtual e pude ver o padrão de atividade e o endereço IP de origem. Foi então uma questão de bloquear o endereço IP usando o ufw da seguinte forma:
sudo ufw insert 1 deny from <the-bad-ip>
Nota: o uso de 'insert 1' nesse comando garante que ele seja aplicado antes de qualquer regra de 'default allow' na configuração do firewall, como as portas 80 e 443, que tornam o filtro tão inútil quanto um bule de chocolate!