Ну теоретически возможно. Но нужны логи и как можно больше. За период от первого запуска до обнаружения подозрительной активности. Боюсь, с такими вопросами вам лучше идти на ЛОР (linux.org.ru). Местный формат не очень подходит.
Можете попробовать определить сами. В любом случае, вы должны знать, какие коннекты, откуда и/или куда должны направляться на/с сервера. По каким портам и протоколам. Исходя из этих знаний можно поискать сетевую активность. Все доступы на любой сервер должны быть строго регламентированы. Например, доступ только по SSH, только с конкретного компа. Если веб сервер, открываем 80,443. Остальные должны быть закрыты.
В общем, требуется сузить поиски. И на будущее. Не надо использовать юзерскую ОСь для сервера. Если уж вам обязательно использовать именно линейку deb, то используйте Debian. А лучше CentOS, RHEL.
