Primeiro, verifique se o computador está desconectado de qualquer rede.
Em segundo lugar, certifique-se de obter todos os dados importantes das unidades antes de inicializar o sistema operacional hackeado novamente.
Comece verificando os carimbos de hora nos arquivos em questão. Muitas vezes eles são precisos.
Faça referência cruzada àqueles com o registro httpd e o log de autenticação, se não tiverem sido apagados. Se um outro o outro foi apagado, você pode apostar que era o meio de entrada. Se eles ainda estiverem intactos, você poderá coletar mais informações sobre como eles chegaram do log.
Se eles estão todos apagados, você está muito ferrado. Provavelmente, levaria mais tempo para descobrir o que aconteceu do que vale a pena.
Você mencionou que esses dois serviços estavam em execução; havia um bom firewall para evitar que todo o restante fosse acessado? Você permitiu o SSH na porta 22; é seu login razoavelmente fácil de adivinhar; você permitiu logins de senha; você tinha algum tipo de limitação de taxa real para logins de senha? Você tem algum software adicional instalado com o lighttpd? perl; php; cgi; um CMS ou similar? Você estava executando uma versão atualizada de todo o software? você assina notificações de segurança para todo o software que você executa e avalia cuidadosamente todas as notificações para ver se elas se aplicam ao software que você executa / expõe ao público?