Aloa

Ich weiß zwar nicht was dein Server so für Hardware / Software Konfigurationen unterliegt aber Punkte, die ich abfragen / auslesen würde, wären:

Bei Root-Rechten / Servern:
• Derzeit laufende Prozesse, am besten mit detailierten Informationen.
• Server-Load, aktuelle Auslastung des Netzwerk-Traffics
• Prozessorauslastung / verbrauchter Arbeitsspeicher

Normale Umgebung:
• httpd Logdatei auslesen (Port Scans? Exploit Tests?)
• error Logdatei auslesen (Irgendwelche Serverseitigen Fehler aufgetreten?)

Dann mal ein komplettes Verzeichnisabbild machen lassen, ob sich "ungewöhnliche" Dateien auf dem Server befinden.
Eventuell mal alle Passwörter der Datenbanken, Administrationsoberflächen ändern.

Die Software-Versionen der installierten Software kontrollieren.

PHP Version, Server Version (sehr wichtig!), MySQL Version (auch sehr wichtig!).
Komplette Port Liste der geöffneten Ports abfragen (Alles über 1000 sollte kontrolliert werden)

Deiner Beschreibung nach zu urteilen könnte es tatsächlich sein, dass irgendwer deinen Server als Dump / Stro benutzt und dir damit dein System runter reißt.

Hoffe dir damit weiter geholfen zu haben.
Wenn du möchtest, kann ich dir auch nen Satz Exploits zukommen lassen, bzw. dir die Quellen zukommen lassen, mit denen du deinen Server selbst mal testen kannst.

Gruß Subby