Citarcomo hicieron para metersere?
Bueno eso es lo que deberías tu investigar. Aunque si se hicieron root de la máquina pueden borrar los logs tranquilamente, e instalar una puerta trasera....
Puedes mirar si hay algún rootkit instalado con el rootkithunter, pero si ves tráfico sospechoso, te recomiendo una reinstalación del sistema limpia.
1) Mira los logs del apache
2) Análisis forense completo de tu máquina
3) Actualizar scripts php, instalar php en modo seguro, suexec, mod_security, tmp en no exec, securizar php, ejemplo:
*) Configuración avanzada PHP + Seguridad en PHP
http://foro.elhacker.net/tutoriales_documentacion/instalar_apache_php_mysql_perl_en_windows_y_linux_configuracion_avanzada-t251.0.html
¿Como puedo saber si un sistema Linux ha sido comprometido? (TEXTO)
http://foro.elhacker.net/hacking_linuxunix/iquestcomo_puedo_saber_si_un_sistema_linux_ha_sido_comprometido_texto-t36767.0.html
DETECTANDO ROOTKITS
http://foro.elhacker.net/seguridad/detectando_rootkits-t85821.0.html
Herramientas Seguridad en Linux
http://foro.elhacker.net/gnulinux/herramientas_seguridad_en_linux-t56677.0.html
Zeppoo v.0.0.2 - Detector de Rootkits
http://foro.elhacker.net/hacking_linuxunix/zeppoo_v002_detector_de_rootkits-t116776.0.html
Que hacer despues de ser atacado
http://foro.elhacker.net/seguridad/que_hacer_despues_de_ser_atacado-t245743.0.html
c99.txt y r57.txt
http://foro.elhacker.net/nivel_web/c99txt_y_r57txt-t214653.0.html