É possível que um intruso reinicie um servidor Linux remotamente (sem ter acesso interno)?

De um modo geral, sim: se você tiver uma falha que leve à execução remota de código com acesso root, poderá fazê-lo.

De fato, é possível que uma falha específica não leve a uma execução remota de código, mas ainda leve a um pânico no kernel e reinicialização do servidor.

Dado o modo como você formulou sua pergunta, no entanto, duvido que você tenha o conhecimento necessário para executar um post-mortem em um sistema e detectar esse tipo de ataque: eu sugiro que você contrate um profissional de segurança se realmente quiser o sistema examinado.

Você precisa de acesso root para reiniciar um servidor Linux. Se sua conta root foi comprometida e você tem o ssh habilitado, então é totalmente possível que alguém reinicie remotamente seu servidor. A julgar pela qualidade desta questão, recomendo vivamente que contrate um consultor com a experiência de revelação, se isso estiver a afetar os sistemas de produção.

Sim, mas sugiro que você não leve isso em consideração ainda.

A maioria dos invasores invade os servidores por motivos como:

• Execute ataques do DOS ou C & C de outros servidores comprometidos.
• Hospede conteúdo com violação de direitos autorais.
• Faça declarações políticas ou sociais desfigurando sites da Web.
• Faça concessões adicionais a servidores remotos para clientes.

Não há nenhum benefício real para a maioria dos invasores invadir o servidor apenas para reinicializá-lo. Embora seja possível, considerando os motivos da maioria dos intrusos, é mais provável que o problema é outra coisa - seja a manutenção pelo provedor de hospedagem, uma interrupção ou, no pior dos casos, alguém acidentalmente reiniciando a máquina e não está confessando isso. :)

Claro que é possível. Veja /var/log/auth.log para verificar qualquer log suspeito.