Peça ao seu ISP para produzir registros mostrando o envolvimento do seu servidor no incidente (um gráfico de tráfego suspeito, por exemplo, gerado pelos dados dos roteadores ou switches do seu ISP). Se eles puderem produzir tais evidências, seu sistema é suspeito.
Se a sua máquina estava de fato envolvida em um ataque DoS e você não iniciou essa ação por conta própria, sua máquina está quase certamente comprometida. Se o seu sistema estiver comprometido, o melhor conselho que você obterá é apagá-lo, como em Como faço para lidar com um servidor comprometido? ou qualquer uma das outras questões semelhantes a ele.
Para determinar se o seu sistema foi invadido, lembre-se de que você não pode confiar em quaisquer ferramentas instaladas no sistema, e que um bom atacante não deixará rastros óbvios (exceto tráfego possivelmente estranho, observado por um sistema externo). Se você tem alguma suspeita de que seu sistema foi comprometido, é ainda comprometido até que seja reconstruído com mídia e software limpos conhecidos.