As tentativas de autenticação SSH são normalmente armazenadas no arquivo /var/log/auth.log. Portanto, pode haver algo útil se o atacante tiver acesso via SSH.
O mais provável é que seja uma vulnerabilidade em um de seus aplicativos da Web que permitiu o acesso do invasor. Agora você não menciona qual pilha de servidores da Web você usa ou que tipos de aplicativos você executa, por isso é difícil ser específico. Mas, em geral, você deve vasculhar os registros do servidor da Web e procurar por entradas suspeitas.
E se você executar coisas como o WordPress, certifique-se de que ele esteja atualizado e atualize todos os plug-ins. No caso do WordPress, muitas vezes é um plugin mal escrito que permite que o atacante assuma o controle do seu servidor.