E' probabile che abbiano usato un proxy per lanciare qualcosa ed un altro per altri scopi come ad esempio scaricare tutto. C'e' qualche entry con
http://, ftp:// contenuta nell'access.log?
Sei sicuro di aver configurato bene il logging degli accessi ? Non è che hai diversi VirtualHosts con diversi files per il logging delle visite?
Comunque, se apache ha accesso in scrittura a quei logfiles puo' darsi abbiano pensato bene di rimuovere le loro azioni.
Se apache e' aggiornato all'ultima versione penso proprio che la intrusione sia stata provocata, come ho detto, da scripts in PHP con bugs sfruttabili per esecuzione arbitraria di comandi o inclusione di files remoti contenenti codice ad hoc per lanciare comandi.
Quindi la sicurezza globale del server dovrebbe essere intatta, se nel kernel o in altri applicativi non ci sono bugs che consentono di diventare root.
Cercherei comunque i files creati dall'utente apache con find, e se non leciti, li cancellerei.
Puo darsi ci siano altre files, per i processi se il sistema e' OK con ps aux | grep apache dovresti vederli.
Controlla anche il crond per quell'utente.
Mettere in un ambiente chrootato apache2 e' una bella idea, che richiede pero' abbastanza tempo se si usano molte librerie o molti softwares esterni come ImageMagick e NetBPM.
Inoltre, safe_mode di PHP puo' essere utili in questi casi, ma come detto precedentemente per il chroot del demone, non e' una vera e propria soluzione anche se allontana gli scripts kiddies.
La vera soluzione è controllare periodicamente eventuali CMS, PhotoGallery e forums installati e controllare globalmente il codice scritto a mano, sopratutto per quanto riguarda gli include di variabili passate tramite GET e POST.
Ciao