LDAP присваивают пользователю CRUD privs в определенном DN

Это полностью зависит от того, что было взломано, но в целом,

Проверьте метки времени файлов, которые были изменены неуместно, и перекрестная ссылка те времена с успешным ssh (в/var/log/auth*) и ftp (в/var/log/vsftp*, если Вы используете vsftp в качестве сервера) узнать, какая учетная запись была поставлена под угрозу и из которого IP прибыло нападение.

Можно, вероятно, узнать, была ли учетная запись вынуждена скотами, если было много неудачных попыток входа в систему на той же учетной записи. Если было не или только несколько неудавшихся попыток входа в систему для той учетной записи, то, вероятно, пароль был обнаружен некоторыми другими способами, и владельцу той учетной записи нужна лекция по безопасности пароля.

Если IP от где-нибудь поблизости, это могло бы быть "в задании"

Если бы корневая учетная запись была поставлена под угрозу, конечно, Вы находитесь в большой проблеме, и я, если это возможно, переформатировал бы и восстановил бы поле с нуля. Конечно, необходимо изменить все пароли так или иначе.