Sarebbero necessarie altre informazioni che però non mi sento di chiederti perchè metteresti ancora più a rischio il tuo server rendendole pubbliche, quindi posso consigliarti solo su come procedere. Il primo è di rivolgerti alle autorità competenti, come la Polizia Postale, ma se scrivi qui credo vuoi procedere da solo.

In sintesi alcuni passi che effettuerei io:

1) back up del sito su un CD o DVD e di tutti i file di logs che hai già a disposizione;
2) scansione totale del server con un antivirus e antirootkit;
3) verificare i processi in esecuzione e se sono in ascolto su porte strane (potrebbe aver sfruttato una falla di java, ma se è entrato e ti ha installato un software di spamming potrebbe averti intallato anche altro in modo da permettergli di rientrare più agevolmente);
4) aumentare al massimo i logs generati dal server, sia dal sistema operativo sia dal web (serve per capire che falla ha sfruttato per capire se c'è un rimedio);
5) eventualmente mettere un firewall, lasciando aperte esclusivamente le porte necessarie al web, sarebbe ideale che questo firewall sia un altro componente hardware;

Questo purtroppo non ti assicura che non ci proverà di nuovo.