で、

>>480
> ・誰かがMD5ハッシュを突破してログイン、PHPとHTMLファイルを削除
>>482
> あと株ガチャ等のphpが削除されてます

が起こったかどうかで、だいぶ違いますね。

つまり、このサーバに実際にログインできたやつがいたのか、
ということになります。

とりあえず、表(普通にsshなどで入る)からログインできた、
つまり普通に /etc/passwd にあるアカウントを突破された形跡は、
私が今見た範囲では、どうやら、なさそうです。

他の脆弱性突かれてバックドアをしかけられた、とか、
ログインの履歴も含めて巧妙に消されたとか、
そういう可能性がまったくない、とは言えないですが、
普通にログインした履歴は残っているので、
この可能性(普通にログインされた)は、とりあえず薄いだろうと見ています。