まず見たいのはログの改ざんの有無です。ある程度高度な攻撃者だと仮定すると該当範囲の操作ログを丸々消したり、正常に見えるものに書き換えることはよく行われます。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。
攻撃の痕跡もログ以外で探したいところです。例えばぬくすきへの投稿や、SSHやシェルのログにそれらしい痕跡はないでしょうか。
それ以外では、何を使っているかは存じ上げませんがミドルウェアのCVEや設定、MITREのATT&CK一覧を見てみるとインセキュアな部分が見えてくるかもしれません。