Поверните файл, это открыто и записало в любом случае

Во-первых, удостоверьтесь, что компьютер отключен от любых сетей.
Во-вторых, удостоверьтесь, что Вы получаете любые важные данные от дисков прежде, чем загрузить взломанную ОС снова.

Запустите с проверки меток времени на рассматриваемых файлах. Часто они точны.
Перекрестная ссылка, которую те, которые имеют httpd, регистрируют и подлинный журнал, если они не были вытерты. Если еще один другой был вытерт, можно держать пари, что это было средствами записи. Если они находятся все еще в такте, Вы смогли подбирать больше информации о том, как они вошли от журнала.

Если они все вытерты, Вы довольно завинчены. Вероятно, потребовалось бы больше времени для выяснения то, что произошло, чем это стоит.

Вы упомянули, что те две услуги работали, был там хороший брандмауэр на месте, чтобы препятствовать тому, чтобы все остальное было получено доступ? Сделал Вы позволяете SSH на порте 22; Ваш вход в систему, довольно легкий предположить; сделал Вы позволяете логины пароля; у Вас был какой-либо вид реального ограничения уровня для логинов пароля? Сделал у Вас есть любое дополнительное программное обеспечение, установленное с lighttpd; жемчуг; php; cgi; CMS или подобный? Были Вы выполняющий обновленную версию всего программного обеспечения; Вы подписываетесь на уведомления о безопасности для всего программного обеспечения, Вы выполняете и тщательно оцениваете все уведомления, чтобы видеть, относятся ли они к программному обеспечению, Вы выполняете/выставляете общественности?