Você pode determinar se algum dado relevante foi roubado?
Potencialmente, sim.
Se um atacante só usasse a injeção de SQL e não conseguisse escalar ainda mais os privilégios, as chances são de que os logs do sistema ainda são confiáveis. Isso pode permitir que você rastreie algumas das etapas dos invasores.
O problema é que, por exemplo, por padrão, a maioria dos servidores da Web registra URLs solicitadas e, embora elas normalmente incluam parâmetros de solicitação GET, elas não contêm os valores de parâmetros para solicitações POST.
O mesmo vale para um servidor de banco de dados MySQL, em sistemas de produção é muito incomum registrar todas as consultas, já que você poderia coletar grandes quantidades de eventos MySQL, e o log de transações mais comumente apenas registra consultas que atualizam o banco de dados. e não instruções SELECT que podem ter sido usadas para roubar seus dados.
Você pode ter "sorte" e encontrar scripts / binários, etc., que foram baixados ou baixados pelo invasor.
Na prática, provavelmente não