Sim, o seu VPS está sempre sob ataque. Mas não, não é isso que esta entrada de log mostra.
Esta é uma atividade legítima. É anacron, executando o trabalho diário /etc/cron.daily/lighttpd, como você viu. No script cron (light) do (corrigido) lighttpd, você pode ver que o script está rodando su www-data
, e o arquivo de log mostra root alterando o usuário para www-data.