Ich nehme kaum an, dass Du irgendwelche Spuren des Angriffs in den Apache Logs finden wirst, eher in /var/dump/auth.log; über das Shell-Kommando "w" kannst Du außerdem herausfinden, welche user eingeloggt sind und was sie machen.

Gruß, LX