Er kann auch über Telnet, SSH, HTTP, SMTP, IMAP oder sogar über einen rein datenbankbasierten Angriff die Log-Dateien löschen (sofern die DB mit entsprechenden Rechten außerhalb eines chroot läuft). Alles, was Zugang zur Festplatte und zum Netzwerk hat, kommt als Angriffsmöglichkeit in Betracht.

Prüfe am Besten mal Deine Scripte auf Möglichkeiten zu SQL Injections (klassischer Anfängerfehler). Ansonsten schau mal in die /etc/passwd, ob sich der Angreifer einen eigenen Account angelegt hat. Ändere sämtliche Passwörter auf einigermaßen sichere Kombinationen aus Buchstaben und Zahlen (mindestens 8 Zeichen, Groß- und Kleinschreibung gemischt, Sonderzeichen optional). Bringe solche Serverdienste, die nur beschränkten Plattenzugang brauchen, in einem chroot-jail unter.

Gruß, LX